Addendum sur le traitement des données (DPA) — MultiLipi

Date d’entrée en vigueur : 10 sept. 2025

Le présent ATD fait partie de l’accord entre MultiLipi Technologies Private Limited ("MultiLipi ») et l’entité identifiée dans la Commande/l’Abonnement (« Client "). Il régit le traitement des données personnelles par MultiLipi pour le compte du client en vertu des lois applicables en matière de protection des données, y compris le RGPD et le RGPD britannique. Voir aussi notre Politique de confidentialité et actuel Sous-traitants ultérieurs .

1) Définitions

Les termes commençant par une majuscule qui ne sont pas définis ici ont le sens du Contrat. " Lois sur la protection des données » désigne l’ensemble des lois et réglementations applicables au Traitement des Données à caractère personnel en vertu de l’Accord, y compris le RGPD (UE) 2016/679 et le RGPD britannique, ainsi que toute loi locale de mise en œuvre. Données personnelles ", " Contrôleur ", " Processeur ", " Personne concernée ", " Traitement », et « Autorité de contrôle » ont le sens du RGPD.

« Données sensibles » désigne les informations nécessitant une protection supplémentaire ou soumises à des règles spéciales (par exemple : données de catégorie spéciale en vertu de l’article 9 du RGPD, telles que les données de santé/biométriques/génétiques ; les données personnelles d’enfants de moins de 16 ans ; les identifiants délivrés par le gouvernement ; les données de compte financier ou de paiement ; la géolocalisation précise ; ou les identifiants/mots de passe/clés API/secrets). Les Services ne sont pas conçus pour traiter des Données sensibles.

2) Portée et rôles

  1. Le client est un Contrôleur , et MultiLipi est un Processeur en ce qui concerne les données personnelles décrites dans Annexe I .
  2. Lorsque le Client agit en tant que Sous-traitant pour un Responsable de traitement tiers, MultiLipi agit en tant que Sous-traitant ultérieur . Le Client garantit qu’il dispose de l’autorisation du Responsable du traitement pour désigner MultiLipi.
  3. MultiLipi traitera les données personnelles uniquement : (a) pour fournir les services ; (b) tel que documenté par le Client dans le Contrat et le présent ATD ; et (c) comme l’exige la loi.

3) Instructions pour le client

  1. Le Client demande à MultiLipi de traiter les Données à caractère personnel afin de fournir et d’améliorer les Services (dans le respect de la confidentialité), y compris la traduction, le routage par langue, le glossaire/TM, la traduction multimédia, l’analyse et les fonctionnalités de référencement activées par le Client.
  2. Le Client ne soumettra pas ou ne fera pas traiter les Services Données sensibles . Si le Client soumet néanmoins des Données sensibles, le Client est seul responsable de l’obtention de tous les consentements et garanties nécessaires ; MultiLipi n’a aucune obligation de surveillance des Données Sensibles.
  3. MultiLipi informera le Client s’il ne peut pas suivre les instructions en raison d’une obligation légale, sauf interdiction.
  4. MultiLipi ne vendra pas de Données Personnelles, ni ne les utilisera pour construire ou entraîner des modèles d’IA généralisés sans l’accord explicite du Client.

4) Confidentialité

MultiLipi veille à ce que les personnes autorisées à traiter les données personnelles soient liées par des obligations de confidentialité et reçoivent une formation appropriée en matière de protection des données.

5) Mesures de sécurité

MultiLipi met en œuvre et maintient des mesures techniques et organisationnelles appropriées (« Toms ») pour protéger les données personnelles telles que décrites dans Annexe II , en tenant compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités des Traitements, ainsi que des risques pour les droits et libertés des personnes physiques.

6) Sous-traitants ultérieurs

  1. Le Client fournit une autorisation générale à MultiLipi d’engager des Sous-traitants ultérieurs pour fournir les Services. Les sous-traitants actuels sont répertoriés à l’adresse suivante /légaux/sous-traitants ultérieurs .
  2. MultiLipi imposera aux Sous-traitants ultérieurs des obligations de protection des données équivalentes au présent ATD et reste responsable de leur exécution.
  3. S’il n’est pas satisfait des Sous-traitants ultérieurs, le Client doit contacter MultiLipi et lui donner la possibilité de s’y opposer pour des motifs raisonnables liés à la protection des données. S’il n’est pas résolu de bonne foi, le Client peut suspendre ou résilier les Services concernés (remboursement au prorata des frais prépayés).

7) Assistance, AIPD et consultations préalables

Compte tenu de la nature du Traitement et des informations dont dispose MultiLipi, nous aiderons le Client à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notifications de violation, DPIA et consultations préalables), y compris en fournissant une documentation pertinente sur nos TOM et sous-traitants ultérieurs.

8) Notification de violation de données personnelles

  1. MultiLipi informera le Client sans retard injustifié après avoir pris connaissance d’une Violation de Données à caractère personnel affectant les Données du Client. La notification comprendra des informations raisonnablement disponibles pour MultiLipi à ce moment-là, notamment : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements, les conséquences probables et les mesures prises ou proposées pour remédier à la violation.
  2. MultiLipi prendra rapidement des mesures pour atténuer les effets négatifs et coopérera avec les demandes raisonnables du Client afin de répondre à toute obligation de notification de violation.

9) Demandes des personnes concernées

Dans la mesure où la loi l’autorise, MultiLipi informera rapidement le Client si nous recevons une demande d’une Personne concernée exerçant des droits en vertu des Lois sur la protection des données relatives aux Données du Client. MultiLipi ne répondra que sur les instructions documentées du Client et fournira une assistance raisonnable au Client pour répondre à ces demandes.

10) Retour et suppression des données

  1. Sur demande documentée du Client, MultiLipi supprimera ou restituera toutes les Données à caractère personnel (et supprimera les copies existantes) dans un délai commercialement raisonnable, à moins que la conservation ne soit exigée par la loi.
  2. Les sauvegardes sont écrasées selon les cycles planifiés ; La suppression des sauvegardes aura lieu dans le cours normal des choses.

11) Transferts internationaux de données (CCT/addendum du Royaume-Uni)

  1. Transferts EEE. Lorsque le Traitement implique un transfert de Données à caractère personnel soumises au RGPD vers un pays tiers sans décision d’adéquation, les parties conviennent que le Clauses contractuelles types approuvée par la Commission européenne dans la décision (UE) 2021/914 (la « Sccs ») sont incorporés par renvoi et font partie du présent ATD, comme indiqué ci-dessous :
    • Module 2 (Responsable du traitement vers Sous-traitant) et/ou Module 3 (Sous-traitant vers Sous-traitant ultérieur), selon le cas.
    • Article 7 (clause d’accostage) : S' applique .
    • Article 11 (Réparation) : ne le fait pas appliquer.
    • Article 17 (Droit applicable) : lois de Irlande .
    • Article 18 (Forum et compétence) : tribunaux Irlande .
    • Les annexes I à III des CCT sont complétées par les informations figurant dans Annexe I , Annexe II et Annexe III du présent ATD.
  2. Transferts au Royaume-Uni. Pour les transferts soumis au RGPD du Royaume-Uni, les parties conviennent de l’addendum B de l’ICO sur le transfert international de données (IDTA) aux CCT de l’UE, incorporé par référence. En cas de conflit, l’addendum britannique prévaut pour les transferts au Royaume-Uni.
  3. Virements suisses. Pour les transferts soumis à la LPD suisse, les références au RGPD dans les CCT doivent être lues comme des références à la LPD ; les références aux États membres de l’UE deviennent la Suisse ; et l’autorité compétente est le PFPDT.

13) Responsabilité et indemnisation

La responsabilité en vertu du présent ATD est soumise aux limitations et exclusions de responsabilité prévues dans le Contrat, sauf dans la mesure interdite par la loi applicable. Chaque partie est responsable de ses propres actes et omissions en vertu des Lois sur la protection des données.

14) Divers

  1. En cas de conflit entre le présent ATD et l’Accord, le présent ATD prévaut dans la mesure du conflit en matière de protection des données.
  2. Si l’une quelconque des dispositions du présent ATD est jugée invalide, le reste reste en vigueur.
  3. MultiLipi peut mettre à jour le présent ATD pour refléter les modifications apportées à la loi ou à nos Services.

Annexe I — Description du traitement

A. Parties

Exportateur de données Client (contrôleur) — détails selon la commande/l’abonnement.
Importateur de données MultiLipi Technologies Private Limited (processeur). Contact: privacy@multilipi.com

B. Détails du traitement

Contenu Fourniture des services de référencement et de traduction multilingues MultiLipi.
Durée Pendant la durée du Contrat et si cela est nécessaire pour la suppression/le retour et les sauvegardes.
Nature et objectif Traitement pour fournir les fonctionnalités sélectionnées par le Client (traduction, routage linguistique, glossaire/TM, traduction multimédia, analyses, référencement), support, facturation et sécurité. Flux de traduction : pour fournir des traductions, le contenu textuel des pages Web du Client est transmis aux serveurs de MultiLipi et à notre fournisseur de traduction tiers (par exemple, Azure Translation Services) agissant en tant que notre Sous-traitant. Pour l’optimisation des performances et la mise en cache, MultiLipi peut stocker le texte original et sa traduction correspondante.
Catégories de personnes concernées Le personnel du client (administrateurs, utilisateurs), les utilisateurs finaux/visiteurs du client et toute personne dont les données apparaissent dans le contenu fourni par le client.
Catégories de données personnelles Données de contact (nom, e-mail), identifiants de compte, journaux d’utilisation (IP, user-agent, horodatage), contenu fourni pour la traduction/localisation (peut incidemment contenir des données personnelles), préférences (par exemple, la langue), identifiants de facturation (gérés par le processeur de paiement).
Données sensibles (le cas échéant) Non requis pour les Services. Le client ne doit pas soumettre Données sensibles ; les Services ne sont pas conçus pour les traiter.
Fréquence Continue, telle qu’initiée par l’utilisation des Services par le Client.
Rétention Comme spécifié dans la Politique de confidentialité et l’Accord ; conservés pas plus longtemps que nécessaire aux fins prévues, puis supprimés ou anonymisés.
Transferts Comme décrit à l’article 12 du présent ATD.

C. Autorité de contrôle compétente

Pour les CCT, l’autorité compétente est déterminée conformément à la Clause 13 des CCT (par exemple, l’autorité de l’État membre de l’établissement principal du Client dans l’UE ou les Personnes concernées).

Annexe II — Mesures techniques et organisationnelles (TOM)

  1. Programme de sécurité de l’information. Politiques écrites couvrant le contrôle d’accès, la gestion des données, la réponse aux incidents, la gestion des changements, le risque lié aux fournisseurs et le développement sécurisé.
  2. Contrôle d’accès. Accès basé sur les rôles, moindre privilège, authentification forte, MFA pour les administrateurs, gestion des sessions, révisions régulières des accès, révocation immédiate en cas de changement/résiliation de rôle.
  3. Chiffrement. TLS pour les données en transit ; chiffrement des secrets et des clés stockés ; rotation des clés et accès limité aux matériaux clés.
  4. Sécurité des réseaux et des applications. Réseaux segmentés ; pare-feu/WAF ; Protections DDoS (via CDN/edge le cas échéant) ; durcissement des lignes de base ; SDLC sécurisé, y compris la révision du code et l’analyse des dépendances.
  5. Journalisation et surveillance. Enregistrement centralisé des événements liés à la sécurité ; l’alerte en cas d’anomalies ; synchronisation temporelle ; Stockage des journaux inviolable.
  6. Gestion des vulnérabilités et des correctifs. Analyse régulière des vulnérabilités ; remédiation en temps opportun ; des tests par des tiers, le cas échéant.
  7. Continuité des activités et reprise après sinistre. Infrastructure redondante pour les composants critiques ; des sauvegardes testées ; objectifs RTO/RPO documentés.
  8. Ségrégation des données. Séparation logique des environnements et des données des clients.
  9. Sécurité et formation du personnel. Vérifications des antécédents dans la mesure permise par la loi ; l’intégration/la formation annuelle sur la sécurité et la confidentialité ; engagements de confidentialité.
  10. Réponse aux incidents. Plan documenté avec des rôles définis, le triage, le confinement, l’éradication, la récupération, les leçons apprises et les flux de notification aux clients.
  11. Gestion des fournisseurs et des sous-traitants. Évaluation basée sur les risques, obligations contractuelles de sécurité/confidentialité, surveillance continue.
  12. Sécurité physique. Centres de données exploités par des fournisseurs vérifiés avec des contrôles conformes aux normes de l’industrie (badges, vidéosurveillance, registres des visiteurs).
  13. Minimisation des données. Ne collecter que ce qui est nécessaire ; limites de rétention ; l’anonymisation/pseudonymisation le cas échéant.
  14. Contrôles du client. Outils d’administration pour la gestion des accès ; pistes d’audit dans le tableau de bord (le cas échéant) ; la gestion des clés API ; Prise en charge de l’authentification multifacteur.

Annexe III — Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs approuvés est tenue à l’adresse https://multilipi.com/legal/subprocessors. Pour chaque Sous-traitant ultérieur, MultiLipi divulguera : le nom, la finalité, le(s) lieu(x) de traitement et le mécanisme de transfert (par exemple, les CCT).

Signatures

Client MultiLipi Technologies Private Limited
Nom:___________________________
Titre:___________________________
Date:___________________________
Signature:______________________ 		Nom : Kunal Singh Shekhawat
Titre : Co-fondateur @MultiLipi
Date de l’expédition : 09/10/2025
Signature: Signature de Kunal Singh Shekhawat

En signant, les parties conviennent que les CCT de l’UE (Décision (UE) 2021/914) et, le cas échéant, l’Addendum sur le transfert international de données du Royaume-Uni, sont incorporés par référence et complétés comme indiqué dans le présent ATD.