Fonctionnalités Tarifs Référence API

Data Processing Agreement (DPA)

v1.0 -- En vigueur mars 2026

Morlivo s'engage à traiter les données personnelles en conformité avec le Règlement général sur la protection des données (UE) 2016/679 (« GDPR »), le GDPR du Royaume-Uni et toutes les autres lois applicables en matière de protection des données. Le présent accord de traitement des données régit le traitement des données personnelles par Morlivo (« sous-traitant ») pour le compte de nos clients (« responsable du traitement »).

1. Définitions

Aux fins du présent accord de traitement des données :

  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'article 4, paragraphe 1, du GDPR
  • « Traitement » désigne toute opération effectuée sur des données personnelles, y compris la collecte, le stockage, l'utilisation, la divulgation ou la suppression, telle que définie à l'article 4, paragraphe 2, du GDPR
  • « Responsable du traitement » désigne le client qui détermine les finalités et les moyens du traitement des données personnelles
  • « Sous-traitant » désigne Morlivo, qui traite les données personnelles pour le compte du responsable du traitement
  • « Sous-traitant ultérieur » désigne tout tiers engagé par le sous-traitant pour traiter des données personnelles pour le compte du responsable du traitement
  • « Personne concernée » désigne une personne physique identifiée ou identifiable dont les données personnelles font l'objet d'un traitement

2. Détails du traitement

Le sous-traitant ne doit traiter les données personnelles que sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers, sauf si le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis l'y oblige.

Les détails du traitement sont les suivants :

  • Objet : Fourniture de services de traduction, de transcription et de traitement linguistique
  • Durée : Pour la durée du contrat de service sous-jacent
  • Nature et finalité : Traitement du contenu client pour fournir des traductions, des transcriptions et des services linguistiques associés
  • Catégories de personnes concernées : Utilisateurs finaux et personnes dont les données sont contenues dans le contenu client
  • Types de données personnelles : Noms, coordonnées et toute autre donnée personnelle contenue dans les documents soumis au traitement

3. Mesures de sécurité

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du GDPR. Ces mesures comprennent :

  • Chiffrement des données personnelles au repos (AES-256) et en transit (TLS 1.2+)
  • Capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement
  • Capacité à rétablir la disponibilité et l'accès aux données personnelles dans un délai approprié en cas d'incident physique ou technique
  • Tests, évaluations et vérifications réguliers de l'efficacité des mesures techniques et organisationnelles
  • Pseudonymisation des données personnelles lorsque cela est techniquement possible et approprié
  • Contrôles d'accès stricts basés sur le principe du moindre privilège
  • Journalisation complète des audits et surveillance des accès aux données

Le sous-traitant doit s'assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

4. Sous-traitants

Le responsable du traitement accorde une autorisation générale au sous-traitant pour faire appel à des sous-traitants ultérieurs. Le sous-traitant doit maintenir une liste à jour des sous-traitants ultérieurs et la mettre à disposition du responsable du traitement sur demande. La liste actuelle des sous-traitants ultérieurs est publiée sur notre page de politique de confidentialité.

Le sous-traitant doit informer le responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en donnant au responsable du traitement une opportunité raisonnable de s'opposer à ces changements. Lorsque le sous-traitant fait appel à un sous-traitant ultérieur, le sous-traitant doit imposer à ce sous-traitant ultérieur, par voie contractuelle, les mêmes obligations de protection des données que celles prévues dans le présent DPA.

Le sous-traitant reste pleinement responsable envers le responsable du traitement de l'exécution des obligations de tout sous-traitant ultérieur en vertu du présent DPA.

5. Droits des personnes concernées

Le sous-traitant doit aider le responsable du traitement à remplir son obligation de répondre aux demandes des personnes concernées exerçant leurs droits en vertu du chapitre III du GDPR, notamment :

  • Droit d'accès (article 15)
  • Droit de rectification (article 16)
  • Droit à l'effacement (article 17)
  • Droit à la limitation du traitement (article 18)
  • Droit à la portabilité des données (article 20)
  • Droit d'opposition (article 21)

Si le sous-traitant reçoit une demande directement d'une personne concernée, le sous-traitant doit transmettre rapidement la demande au responsable du traitement et ne doit pas répondre directement à la personne concernée sauf autorisation du responsable du traitement.

6. Transferts internationaux

Le sous-traitant ne doit pas transférer de données personnelles vers un pays tiers ou une organisation internationale à moins que des garanties appropriées ne soient en place comme l'exige le chapitre V du GDPR. Les mécanismes de transfert approuvés comprennent :

  • Clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision d'exécution de la Commission (UE) 2021/914)
  • Décisions d'adéquation conformément à l'article 45 du GDPR
  • Règles d'entreprise contraignantes approuvées par une autorité de contrôle compétente

Les clients entreprise peuvent configurer les paramètres de résidence des données pour restreindre le traitement et le stockage des données personnelles à des régions géographiques spécifiques (UE, États-Unis ou APAC), réduisant ainsi le besoin de transferts transfrontaliers.

7. Notification de violation

Le sous-traitant doit notifier le responsable du traitement sans délai excessif, et en tout état de cause au plus tard quarante-huit (48) heures après avoir pris connaissance d'une violation de données personnelles, telle que définie à l'article 4, paragraphe 12, du GDPR.

La notification doit inclure :

  • Une description de la nature de la violation des données personnelles, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés
  • Le nom et les coordonnées du point de contact du sous-traitant en matière de protection des données
  • Une description des conséquences probables de la violation
  • Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à atténuer ses effets négatifs

8. Audits et inspections

Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité avec les obligations prévues à l'article 28 du GDPR. Le sous-traitant doit permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un auditeur mandaté par le responsable du traitement, sous réserve d'un préavis raisonnable et d'obligations de confidentialité.

9. Durée et suppression des données

Le présent DPA reste en vigueur pendant la durée du contrat de service sous-jacent. À la résiliation du contrat de service, le sous-traitant doit, au choix du responsable du traitement, supprimer ou restituer toutes les données personnelles et supprimer les copies existantes, sauf si le droit de l'Union ou de l'État membre exige la conservation des données personnelles. Le sous-traitant doit certifier par écrit qu'il s'est conformé à cette obligation à la demande du responsable du traitement.

Demander un DPA

Pour demander un Data Processing Agreement, contactez notre équipe de conformité. Nous travaillerons avec vous pour mettre en place un DPA répondant aux exigences de protection des données de votre organisation.

Contacter l'équipe de conformité Télécharger le modèle DPA