Addendum sur le traitement des données (DPA) — MultiLipi
Dernière mise à jour : 10 septembre 2025
Le présent ATD fait partie de l’accord entre MultiLipi Technologies Private Limited (« MultiLipi ») et l’entité identifiée dans l’Ordre/Abonnement ( « Client » ). Elle régit le traitement des données personnelles par MultiLipi au nom du client en vertu des lois applicables sur la protection des données, y compris le RGPD et le RGPD britannique. Voir également notre Politique de confidentialité et les sous-traitants actuels.
Sur cette page
Définitions
Les termes majuscules non définis ici ont la signification de l’Accord. « Lois sur la protection des données » désigne toutes les lois et réglementations applicables au traitement des données personnelles en vertu de l’Accord, y compris le RGPD (UE) 2016/679 et le RGPD britannique, ainsi que toute loi locale d’application. « Données personnelles », « Responsable du traitement », « Responsable », « Personne concernée », « Traitement », et « Autorité de surveillance » ont la signification du RGPD.
« Données sensibles » désigne des informations nécessitant une protection supplémentaire ou soumises à des règles particulières (par exemple : données de catégorie spéciale selon l’article 9 du RGPD, telles que données de santé/biométriques/génétiques ; données personnelles d’enfants de moins de 16 ans ; identifiants émis par le gouvernement ; données de comptes financiers ou de paiement ; géolocalisation précise ; ou identifiants/mots de passe/clés API/secrets). Les services ne sont pas conçus pour traiter des données sensibles.
Champs d’action et rôles
Le client est un Contrôleur , et MultiLipi est un Processeur en lien avec les données personnelles décrites à l’annexe I. Lorsque le client agit en tant que processeur pour un contrôleur tiers, MultiLipi agit en tant que responsable du client Sous-traitant ultérieur . Le client garantit qu’il a l’autorisation du Contrôleur pour nommer MultiLipi. MultiLipi traitera uniquement les données personnelles : (a) pour fournir les services ; (b) tel que documenté par le Client dans l’Accord et dans cette DPA ; et (c) selon l’exigence de la loi.
Instructions pour le client
Le Client demande à MultiLipi de traiter les Données à caractère personnel afin de fournir et d’améliorer les Services (dans le respect de la confidentialité), y compris la traduction, le routage par langue, le glossaire/TM, la traduction multimédia, l’analyse et les fonctionnalités de référencement activées par le Client.
Le client ne soumettra pas et ne fera pas traiter les données sensibles par les services. Si le client soumet néanmoins des données sensibles, le client est seul responsable de l’obtention de tous les consentements et garanties nécessaires ; MultiLipi n’a aucune obligation de surveiller les données sensibles.
MultiLipi informera le client s’il ne peut pas suivre les instructions en raison d’une obligation légale, sauf interdiction. MultiLipi ne vendra pas de données personnelles, ni ne les utilisera pour construire ou entraîner des modèles d’IA généralisés sans l’adhésion explicite du client.
Confidentialité
MultiLipi veille à ce que les personnes autorisées à traiter les données personnelles soient tenues par des obligations de confidentialité et reçoivent une formation appropriée à la protection des données.
Mesures de sécurité
MultiLipi met en œuvre et maintient des mesures techniques et organisationnelles appropriées (« TOM ») pour protéger les données personnelles telles que décrites à l’Annexe II, en tenant compte de l’état de l’art, des coûts de mise en œuvre, ainsi que de la nature, du champ d’application, du contexte et des objectifs du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Sous-traitants ultérieurs
Le client fournit une autorisation générale à MultiLipi pour engager des sous-processeurs afin de fournir les services. Les sous-processeurs actuels sont listés sous /legal/subprocessors. MultiLipi imposera aux sous-traiteurs des obligations de protection des données équivalentes à cette DPA et reste responsable de leurs performances.
En cas de insatisfaction des sous-traiteurs, le client doit contacter MultiLipi et offrir la possibilité de s’opposer sur des motifs valables liés à la protection des données. Si cela n’est pas résolu de bonne foi, le client peut suspendre ou résilier les services concernés (remboursement prorata des frais prépayés).
Assistance, AIPD et consultations préalables
En tenant compte de la nature du traitement et des informations disponibles pour MultiLipi, nous assisterons le Client à garantir le respect des obligations prévues par les articles 32–36 du RGPD (sécurité, notifications de violation, DPIA et consultations préalables), notamment en fournissant la documentation pertinente concernant nos TOM et sous-traiteurs.
Notification de violation de données personnelles
MultiLipi informera le client sans délai injustifié après avoir pris connaissance d’une violation de données personnelles affectant les données clients. La notification inclura des informations raisonnablement accessibles à MultiLipi à ce moment-là, notamment : la nature de la violation, les catégories et le nombre approximatif de sujets de données et d’enregistrements, les conséquences probables, ainsi que les mesures prises ou proposées pour y remédier.
MultiLipi prendra rapidement des mesures pour atténuer les effets négatifs et coopérera avec les demandes raisonnables des clients pour respecter toute obligation de notification de violation.
Demandes des personnes concernées
Dans la mesure où la loi est autorisée, MultiLipi informera rapidement le client si nous recevons une demande d’une personne concernée exerçant des droits en vertu des lois sur la protection des données relatives aux données clients. MultiLipi ne répondra que sur les instructions documentées du Client et fournira une assistance raisonnable pour répondre à de telles demandes.
Retour et suppression des données
À la demande documentée du client, MultiLipi supprimera ou retournera toutes les données personnelles (et supprimera les copies existantes) dans un délai commercialement raisonnable, sauf si la loi exige la conservation. Les sauvegardes sont écrasées lors des cycles programmés ; La suppression des sauvegardes se fera dans le cours normal.
Transferts internationaux de données (SCC/Addendum du Royaume-Uni)
Transferts EEE. Lorsque le traitement implique un transfert de données personnelles sous réserve du RGPD vers un pays tiers sans décision d’adéquation, les parties conviennent que les clauses contractuelles standard approuvées par la Commission européenne dans la décision (UE) 2021/914 (les « CSC ») sont incorporées par référence et font partie de cette DPA comme indiqué ci-dessous :
Module 2 (Responsable du traitement vers Sous-traitant) et/ou Module 3 (Sous-traitant vers Sous-traitant ultérieur), selon le cas.
Clause 7 (clause d’amarrage) : s’applique.
Clause 11 (Recours) : ne s’applique pas.
Clause 17 (loi applicable) : lois d’Irlande.
Clause 18 (Forum et juridiction) : tribunaux d’Irlande.
Les annexes I–III des SCC sont complétées par les informations des annexes I, II et III de cette DPA. Transferts au Royaume-Uni. Pour les transferts soumis au RGPD britannique, les parties acceptent l’Addendum International Data Transfer (IDTA) Addendum B de l’ICO aux SCC de l’UE, incorporé par référence. En cas de conflit, l’Addendum britannique prévaut pour les transferts britanniques. Transferts suisses. Pour les transferts soumis au FADP suisse, les références au RGPD dans les SCS doivent être interprétées comme des références au FADP ; les références aux États membres de l’UE deviennent la Suisse ; et l’autorité compétente est le FDPIC.
Responsabilité et indemnité
La responsabilité en vertu de cette DPA est soumise aux limitations et exclusions de responsabilité prévues par l’Accord, sauf dans la mesure où la loi applicable est interdite. Chaque partie est responsable de ses propres actes et omissions en vertu des lois sur la protection des données.
Divers
En cas de conflit entre cette DPA et l’Accord, cette DPA contrôle dans la mesure du conflit concernant la protection des données. Si une disposition de cette DPA est jugée invalide, le reste reste en vigueur. MultiLipi peut mettre à jour cette DPA pour refléter les changements de la législation ou de nos services.
Annexe I — Description du traitement
R : Fêtes
| Exportateur de données | Client (contrôleur) — détails selon la commande/l’abonnement. |
| Importateur de données | MultiLipi Technologies Private Limited (Processeur). Contact : privacy@multilipi.com |
B : Détails du traitement
| Contenu | Fourniture des services de référencement et de traduction multilingues MultiLipi. |
| Durée | Pendant la durée du Contrat et si cela est nécessaire pour la suppression/le retour et les sauvegardes. |
| Nature et objectif | Traitement pour fournir les fonctionnalités sélectionnées par le Client (traduction, routage linguistique, glossaire/TM, traduction média, analyses, SEO), support, facturation et sécurité. Flux de traduction : pour fournir des traductions, le contenu textuel des pages web du client est transmis aux serveurs de MultiLipi et à notre fournisseur tiers de traduction (par exemple, Azure Translation Services) agissant en tant que sous-traiteur. Pour l’optimisation des performances et la mise en cache, MultiLipi peut stocker le texte original et sa traduction correspondante. |
| Catégories de personnes concernées | Le personnel client (administrateurs, utilisateurs), les utilisateurs/visiteurs finaux du client, ainsi que toute personne dont les données apparaissent dans le contenu fourni par le client. |
| Catégories de données personnelles | Données de contact (nom, e-mail), identifiants de compte, journaux d’utilisation (IP, user-agent, horodatage), contenu fourni pour la traduction/localisation (peut incidemment contenir des données personnelles), préférences (par exemple, la langue), identifiants de facturation (gérés par le processeur de paiement). |
| Données sensibles (le cas échéant) | Ce n’est pas obligatoire pour les Services. Le client ne doit pas soumettre de données sensibles ; les services ne sont pas conçus pour le traiter. |
| Fréquence | Continu, initié par l’utilisation des services par le client. |
| Rétention | Comme spécifié dans la Politique de confidentialité et l’Accord ; conservés pas plus longtemps que nécessaire aux fins prévues, puis supprimés ou anonymisés. |
| Transferts | Comme décrit à l’article 12 de cette DPA |
C : Autorité de surveillance compétente
Pour les CSS, l’autorité compétente est déterminée conformément à l’article 13 des CSS (par exemple, l’autorité de l’État membre du principal établissement européen du client ou des personnes concernées).
Annexe II — Mesures techniques et organisationnelles (TOM)
Programme de sécurité de l’information. Politiques écrites couvrant le contrôle d’accès, la gestion des données, la réponse aux incidents, la gestion du changement, les risques pour les fournisseurs et le développement sécurisé.
Contrôle d’accès. Accès basé sur le rôle, minimum de privilèges, authentification forte, MFA pour les admins, gestion de session, revues d’accès régulières, révocation immédiate au changement ou terminaison de rôle.
Chiffrement. TLS pour les données en transit ; le chiffrement des secrets et clés stockés ; rotation des clés et accès limité au matériel clé.
Sécurité réseau et application. Réseaux segmentés ; pare-feu/WAF ; Protections DDoS (via CDN/edge lorsque cela est applicable) ; durcissement des lignes de base ; SDLC sécurisé incluant la revue de code et l’analyse des dépendances.
Journalisation et surveillance. Journalisation centralisée des événements liés à la sécurité ; alerter en cas d’anomalies ; synchronisation temporelle ; Stockage de billes résistant à la falsification.
Gestion des vulnérabilités et des correctifs. Analyse régulière des vulnérabilités ; la remise en état en temps voulu ; Tests tiers selon le cas.
Continuité des activités et reprise après sinistre. Infrastructure redondante pour les composants critiques ; testé les sauvegardes ; des cibles RTO/RPO documentées.
Séparation des données. Séparation logique des environnements clients et des données.
Sécurité et formation du personnel. Vérifications des antécédents telles que permises par la loi ; l’intégration/formation annuelle sur la sécurité et la confidentialité ; engagements de confidentialité.
Intervention en cas d’incident. Plan documenté avec des rôles définis, triage, confinement, éradication, récupération, leçons apprises et flux de travail de notification aux clients.
Gestion des fournisseurs et sous-processeurs. Évaluation basée sur les risques, obligations contractuelles de sécurité/confidentialité, surveillance continue.
Sécurité physique. Des centres de données exploités par des fournisseurs vérifiés avec des contrôles standards de l’industrie (badges, CCTV, registres de visiteurs).
Minimisation des données. Ne collectez que ce qui est nécessaire ; les limites de rétention ; l’anonymisation/pseudonymisation lorsque cela est approprié.
Contrôles clients. Outils administratifs pour la gestion des accès ; les traces d’audit dans le tableau de bord (lorsque disponible) ; gestion des clés API ; Support MFA.
Annexe III — Sous-traitants ultérieurs
La liste actuelle des sous-processeurs approuvés est maintenue à https://multilipi.com/legal/subprocessors. Pour chaque sous-processeur, MultiLipi divulguera : nom, objectif, lieu(s) de traitement et mécanisme de transfert (par exemple, SCC).
Signatures
| Client | MultiLipi Technologies Privée Limitée |
|---|---|
| Nom:___________________________ Titre : ___________________________ Date:___________________________ Signature:______________________ | Nom : Kunal Singh Shekhawat Titre : Co-fondateur @MultiLipi Date de l’expédition : 09/10/2025 Signature:  |