Addendum de traitement des données (DPA) — MultiLipi

Date d’entrée en vigueur : 10 sept trimesmen 2025

Cette DPA fait partie de l’accord entre MultiLipi Technologies Privée Limitée ("MultiLipi ») et l’entité identifiée dans l’Ordre/Abonnement (« Client "). Elle régit le traitement des données personnelles par MultiLipi au nom du client en vertu des lois applicables sur la protection des données, y compris le RGPD et le RGPD britannique. Voir aussi notre Politique de confidentialité et actuel Sous-processeurs .

1) Définitions

Les termes majuscules non définis ici ont la signification de l’Accord. " Lois sur la protection des données « désigne toutes les lois et réglementations applicables au traitement des données personnelles en vertu de l’Accord, y compris le RGPD (UE) 2016/679 et le RGPD britannique, ainsi que toute loi locale d’application. » Données personnelles ", " Contrôleur ", " Processeur ", " Sujet de la Personne ", " Traitement « , et » Autorité de surveillance « ont la signification du RGPD.

« Données sensibles » désigne des informations nécessitant une protection supplémentaire ou soumises à des règles particulières (par exemple : données de catégorie spéciale selon l’article 9 du RGPD, telles que données de santé/biométriques/génétiques ; données personnelles d’enfants de moins de 16 ans ; identifiants émis par le gouvernement ; données de comptes financiers ou de paiement ; géolocalisation précise ; ou identifiants/mots de passe/clés API/secrets). Les services ne sont pas conçus pour traiter des données sensibles.

2) Portée et rôles

  1. Le client est un Contrôleur , et MultiLipi est un Processeur en relation avec les données personnelles décrites dans Annexe I .
  2. Lorsque le client agit en tant que processeur pour un contrôleur tiers, MultiLipi agit en tant que responsable du client Sous-processeur . Le client garantit qu’il a l’autorisation du Contrôleur pour nommer MultiLipi.
  3. MultiLipi traitera uniquement les données personnelles : (a) pour fournir les services ; (b) tel que documenté par le Client dans l’Accord et dans cette DPA ; et (c) selon l’exigence de la loi.

3) Instructions aux clients

  1. Le client demande à MultiLipi de traiter les données personnelles afin de fournir et d’améliorer les services (de manière préservant la vie privée), y compris la traduction, le routage par langue, le glossaire/TM, la traduction média, l’analyse et les fonctionnalités SEO activées par le client.
  2. Le client ne soumettra pas et ne fera pas traiter les services Données sensibles . Si le client soumet néanmoins des données sensibles, le client est seul responsable de l’obtention de tous les consentements et garanties nécessaires ; MultiLipi n’a aucune obligation de surveiller les données sensibles.
  3. MultiLipi informera le client s’il ne peut pas suivre les instructions en raison d’une obligation légale, sauf interdiction.
  4. MultiLipi ne vendra pas de données personnelles, ni ne les utilisera pour construire ou entraîner des modèles d’IA généralisés sans l’adhésion explicite du client.

4) Confidentialité

MultiLipi veille à ce que les personnes autorisées à traiter les données personnelles soient tenues par des obligations de confidentialité et reçoivent une formation appropriée à la protection des données.

5) Mesures de sécurité

MultiLipi met en œuvre et maintient des mesures techniques et organisationnelles appropriées (« » Toms ") pour protéger les données personnelles comme décrit dans Annexe II , en tenant compte de l’état de l’art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des objectifs du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

6) Sous-processeurs

  1. Le client fournit une autorisation générale à MultiLipi pour engager des sous-processeurs afin de fournir les services. Les sous-processeurs actuels sont listés à /légal/sous-processeurs .
  2. MultiLipi imposera aux sous-traiteurs des obligations de protection des données équivalentes à cette DPA et reste responsable de leurs performances.
  3. En cas de insatisfaction des sous-traiteurs, le client doit contacter MultiLipi et offrir la possibilité de s’opposer sur des motifs valables liés à la protection des données. Si cela n’est pas résolu de bonne foi, le client peut suspendre ou résilier les services concernés (remboursement prorata des frais prépayés).

7) Assistance, DPIA et consultations préalables

En tenant compte de la nature du traitement et des informations disponibles pour MultiLipi, nous assisterons le Client à garantir le respect des obligations prévues par les articles 32–36 du RGPD (sécurité, notifications de violation, DPIA et consultations préalables), notamment en fournissant la documentation pertinente concernant nos TOM et sous-traiteurs.

8) Notification de violation de données personnelles

  1. MultiLipi informera le client sans délai excessif après avoir pris connaissance d’une violation de données personnelles affectant les données des clients. La notification inclura des informations raisonnablement accessibles à MultiLipi à ce moment-là, notamment : la nature de la violation, les catégories et le nombre approximatif de sujets de données et d’enregistrements, les conséquences probables, ainsi que les mesures prises ou proposées pour y remédier.
  2. MultiLipi prendra rapidement des mesures pour atténuer les effets négatifs et coopérera avec les demandes raisonnables des clients pour respecter toute obligation de notification de violation.

9) Demandes de personnes concernées

Dans la mesure où la loi est autorisée, MultiLipi informera rapidement le client si nous recevons une demande d’une personne concernée exerçant des droits en vertu des lois sur la protection des données relatives aux données clients. MultiLipi ne répondra que sur les instructions documentées du Client et fournira une assistance raisonnable pour répondre à de telles demandes.

10) Retour et suppression des données

  1. À la demande documentée du client, MultiLipi supprimera ou retournera toutes les données personnelles (et supprimera les copies existantes) dans un délai commercialement raisonnable, sauf si la loi exige la conservation.
  2. Les sauvegardes sont écrasées lors des cycles programmés ; La suppression des sauvegardes se fera dans le cours normal.

11) Transferts internationaux de données (SCC/Addendum Royaume-Uni)

  1. Transferts EEE. Lorsque le traitement implique un transfert de données personnelles sous réserve du RGPD vers un pays tiers sans décision d’adéquation, les parties conviennent que le Clauses contractuelles standard approuvée par la Commission européenne dans la décision (UE) 2021/914 (la " Sccs ") sont incorporés par référence et font partie de cette DPA comme indiqué ci-dessous :
    • Module 2 (Contrôleur vers Processeur) et/ou Module 3 (Processeur vers Sous-processeur), selon le cas.
    • Clause 7 (clause d’amarrage) : S' applique .
    • Clause 11 (Réparation) : ne le fait pas appliquer.
    • Clause 17 (Droit applicable) : lois de Irlande .
    • Clause 18 (Forum et compétence) : tribunaux de Irlande .
    • Les annexes I–III des SCC sont complétées par les informations dans Annexe I , Annexe II et Annexe III de cette DPA.
  2. Transferts au Royaume-Uni. Pour les transferts soumis au RGPD britannique, les parties acceptent l’Addendum International Data Transfer (IDTA) Addendum B de l’ICO aux SCC de l’UE, incorporé par référence. En cas de conflit, l’Addendum britannique prévaut pour les transferts britanniques.
  3. Transferts suisses. Pour les transferts soumis au FADP suisse, les références au RGPD dans les SCS doivent être interprétées comme des références au FADP ; les références aux États membres de l’UE deviennent la Suisse ; et l’autorité compétente est le FDPIC.

13) Responsabilité et indemnité

La responsabilité en vertu de cette DPA est soumise aux limitations et exclusions de responsabilité prévues par l’Accord, sauf dans la mesure où la loi applicable est interdite. Chaque partie est responsable de ses propres actes et omissions en vertu des lois sur la protection des données.

14) Divers

  1. En cas de conflit entre cette DPA et l’Accord, cette DPA contrôle dans la mesure du conflit concernant la protection des données.
  2. Si une disposition de cette DPA est jugée invalide, le reste reste en vigueur.
  3. MultiLipi peut mettre à jour cette DPA pour refléter les changements de la législation ou de nos services.

Annexe I — Description du traitement

R. Partis

Exportateur de données Client (Contrôleur) — détails selon la commande/abonnement.
Importateur de données MultiLipi Technologies Private Limited (Processeur). Contact: privacy@multilipi.com

B. Détails du traitement

Contenu Fourniture des services multilingues de SEO et de traduction MultiLipi.
Durée Pendant la durée de l’Accord et si nécessaire pour la suppression/retour et les sauvegardes.
Nature et objectif Traitement pour fournir les fonctionnalités sélectionnées par le Client (traduction, routage linguistique, glossaire/TM, traduction média, analyses, SEO), support, facturation et sécurité. Flux de travail de traduction : pour fournir des traductions, le contenu textuel des pages web des clients est transmis aux serveurs de MultiLipi et à notre fournisseur tiers de traduction (par exemple, Azure Translation Services) agissant en tant que sous-traiteur. Pour l’optimisation des performances et la mise en cache, MultiLipi peut stocker le texte original et sa traduction correspondante.
Catégories de sujets de données Le personnel client (administrateurs, utilisateurs), les utilisateurs/visiteurs finaux du client, ainsi que toute personne dont les données apparaissent dans le contenu fourni par le client.
Catégories de données personnelles Données de contact (nom, email), identifiants de compte, journaux d’utilisation (IP, user-agent, horodatages), contenu fourni pour la traduction/localisation (pouvant contenir accessoirement des données personnelles), préférences (par exemple, langue), identifiants de facturation (gérés via un processeur de paiement).
Données sensibles (le cas échéant) Ce n’est pas obligatoire pour les Services. Le client ne doit pas soumettre Données sensibles ; les services ne sont pas conçus pour le traiter.
Fréquence Continu, initié par l’utilisation des services par le client.
Rétention Comme spécifié dans la Politique de confidentialité et l’Accord ; conservé pas plus longtemps que nécessaire pour les usages, puis supprimé ou anonymisé.
Transferts Comme décrit à l’article 12 de cette DPA.

C. Autorité de surveillance compétente

Pour les CSS, l’autorité compétente est déterminée conformément à l’article 13 des CSS (par exemple, l’autorité de l’État membre du principal établissement européen du client ou des personnes concernées).

Annexe II — Mesures techniques et organisationnelles (TOM)

  1. Programme de sécurité de l’information. Politiques écrites couvrant le contrôle d’accès, la gestion des données, la réponse aux incidents, la gestion du changement, les risques pour les fournisseurs et le développement sécurisé.
  2. Contrôle d’accès. Accès basé sur le rôle, minimum de privilèges, authentification forte, MFA pour les admins, gestion de session, revues d’accès régulières, révocation immédiate au changement ou terminaison de rôle.
  3. Chiffrement. TLS pour les données en transit ; le chiffrement des secrets et clés stockés ; rotation des clés et accès limité au matériel clé.
  4. Sécurité réseau et application. Réseaux segmentés ; pare-feu/WAF ; Protections DDoS (via CDN/edge lorsque cela est applicable) ; durcissement des lignes de base ; SDLC sécurisé incluant la revue de code et l’analyse des dépendances.
  5. Journalisation et surveillance. Journalisation centralisée des événements liés à la sécurité ; alerter en cas d’anomalies ; synchronisation temporelle ; Stockage de billes résistant à la falsification.
  6. Gestion des vulnérabilités et des correctifs. Analyse régulière des vulnérabilités ; la remise en état en temps voulu ; Tests tiers selon le cas.
  7. Continuité des activités et reprise après sinistre. Infrastructure redondante pour les composants critiques ; testé les sauvegardes ; des cibles RTO/RPO documentées.
  8. Séparation des données. Séparation logique des environnements clients et des données.
  9. Sécurité et formation du personnel. Vérifications des antécédents telles que permises par la loi ; l’intégration/formation annuelle sur la sécurité et la confidentialité ; engagements de confidentialité.
  10. Intervention en cas d’incident. Plan documenté avec des rôles définis, triage, confinement, éradication, récupération, leçons apprises et flux de travail de notification aux clients.
  11. Gestion des fournisseurs et sous-processeurs. Évaluation basée sur les risques, obligations contractuelles de sécurité/confidentialité, surveillance continue.
  12. Sécurité physique. Des centres de données exploités par des fournisseurs vérifiés avec des contrôles standards de l’industrie (badges, CCTV, registres de visiteurs).
  13. Minimisation des données. Ne collectez que ce qui est nécessaire ; les limites de rétention ; l’anonymisation/pseudonymisation lorsque cela est approprié.
  14. Contrôles clients. Outils administratifs pour la gestion des accès ; les traces d’audit dans le tableau de bord (lorsque disponible) ; gestion des clés API ; Support MFA.

Annexe III — Sous-processeurs

La liste actuelle des sous-processeurs approuvés est maintenue à l’adresse suivante https://multilipi.com/legal/subprocessors. Pour chaque sous-processeur, MultiLipi divulguera : nom, objectif, lieu(s) de traitement et mécanisme de transfert (par exemple, SCC).

Signatures

Client MultiLipi Technologies Privée Limitée
Nom:___________________________
Titre:___________________________
Date:___________________________
Signature:______________________ 		Nom : Kunal Singh Shekhawat
Titre : Co-fondateur @MultiLipi
Date : 09/10/2025
Signature: Signature de Kunal Singh Shekhawat

En signant, les parties conviennent que les CSC de l’UE (Décision (UE) 2021/914) et, le cas échéant, l’Addendum sur le transfert international de données du Royaume-Uni, soient incorporés par référence et complétés conformément à ce DPA.