Cet Accord de Traitement (« DPA ») fait partie de l'accord de services entre Multiuniversal UAB (« Sous-traitant ») et le client (« Responsable »). Il s'applique automatiquement à tous les engagements où Multiuniversal traite des données personnelles pour le compte du Responsable.
Pour questions sur ce DPA, contactez privacy@multiuniversal.com.
- Définitions
- Portée et rôles
- Obligations du Sous-traitant
- Obligations du Responsable
- Sous-traitants ultérieurs
- Mesures de sécurité
- Droits des personnes
- Violations de données
- Transferts internationaux
- Droits d'audit
- Durée et résiliation
- Loi applicable
- Calendrier de traitement
Définitions
Dans ce DPA :
- « Responsable » signifie le client qui détermine les fins et moyens du traitement.
- « Sous-traitant » signifie Multiuniversal UAB, agissant sur les instructions du Responsable.
- « Données Personnelles », « Personne Concernée », « Traitement », « Autorité de Contrôle » et « Violation » ont les sens RGPD.
- « RGPD » signifie Règlement (UE) 2016/679.
- « Services » signifie services d'infrastructure IA, automatisation ou intégration du Sous-traitant.
- « Sous-traitant ultérieur » signifie tout tiers engagé par le Sous-traitant.
Portée et rôles
Le Sous-traitant fournit des services d'infrastructure IA qui peuvent impliquer traitement de données personnelles. Dans ce contexte :
- Le Responsable détermine la base légale et le but du traitement.
- Le Sous-traitant traite uniquement sur instructions documentées et pour aucun autre but.
- Catégories, nature et durée sont fixées dans le Calendrier par engagement.
Obligations du Sous-traitant
Le Sous-traitant :
- Traite les données uniquement sur instructions documentées du Responsable, sauf obligation légale UE ou État membre.
- Garantit que les personnes autorisées sont liées par la confidentialité.
- Met en œuvre les mesures techniques et organisationnelles appropriées.
- Assiste le Responsable dans la réponse aux demandes des personnes concernées.
- Assiste le Responsable dans le respect des articles 32–36 RGPD.
- Au choix du Responsable, supprime ou retourne toutes les données à la fin des Services.
- Met à disposition les informations nécessaires pour démontrer la conformité et coopère aux audits.
- Notifie immédiatement le Responsable si une instruction viole le RGPD.
Obligations du Responsable
Le Responsable :
- Garantit une base légale valide sous RGPD Art. 6 pour toutes les données fournies.
- Fournit des instructions documentées et notifie tout changement.
- Garantit que les personnes concernées ont été informées selon RGPD Art. 13 et 14.
- N'instruit pas de traitement violant la loi applicable.
Sous-traitants ultérieurs
Le Sous-traitant n'engage pas de sous-traitants ultérieurs sans autorisation écrite préalable. Avec autorisation générale, il notifie les changements en accordant 14 jours pour s'opposer.
Tout sous-traitant ultérieur est lié par obligations équivalentes. Le Sous-traitant reste pleinement responsable.
La liste actuelle des sous-traitants approuvés est maintenue à privacy@multiuniversal.com. Lorsque l'inférence IA fait partie de la prestation, les sous-traitants impliqués figurent dans la même liste et sont notifiés au Responsable selon la clause 5.1.
Mesures de sécurité
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles adaptées au risque :
| Mesure | Mise en œuvre |
|---|---|
| Chiffrement en transit | TLS 1.2+ pour toutes transmissions |
| Chiffrement au repos | Stockage chiffré pour BDD avec données personnelles |
| Contrôle d'accès | Par rôles ; moindre privilège ; authentification forte |
| Minimisation | Seulement données nécessaires |
| Contrôles du traitement IA | Inférence IA à l'intérieur du périmètre de la mission ; contrôles d'accès et journalisation alignés sur le reste du traitement |
| Réponse aux incidents | Procédures documentées |
Le Sous-traitant revoit et met à jour ces mesures périodiquement.
Droits des personnes
Compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable pour répondre aux demandes des personnes concernées sous le Chapitre III RGPD.
Si le Sous-traitant reçoit une demande directe, il la transmet rapidement au Responsable et ne répond pas directement sans instruction.
Violations de données
Le Sous-traitant notifie le Responsable sans délai — au plus tard dans les 48 heures — après avoir eu connaissance d'une Violation. La notification inclut :
- Description de la nature, catégories et nombre approximatif de personnes et enregistrements
- Nom et coordonnées du contact protection des données
- Description des conséquences probables
- Description des mesures prises
Le Sous-traitant coopère pour atténuer les effets. Le Responsable reste responsable des notifications sous RGPD Art. 33 et 34.
Transferts internationaux
L'infrastructure et le personnel du Sous-traitant sont en Lituanie, État membre UE. Par défaut, les données ne sont pas transférées hors EEE.
Si un engagement nécessite transfert vers un pays tiers, le Sous-traitant notifie à l'avance. Tel transfert est soumis aux garanties RGPD Chapitre V.
Droits d'audit
Le Sous-traitant met à disposition les informations nécessaires. Le Responsable peut auditer sous :
- Préavis écrit raisonnable d'au moins 14 jours
- Audit pendant heures normales sans perturbation déraisonnable
- Auditeur lié par confidentialité équivalente
Le Responsable supporte les coûts d'audit sauf si l'audit révèle un manquement matériel.
Durée et résiliation
Ce DPA reste en vigueur pour la durée de l'accord. À la fin, le Sous-traitant dans 30 jours retournera ou supprimera toutes les données au choix du Responsable. Une copie peut être conservée jusqu'à 3 ans pour règlement de litiges.
Si conservation au-delà de 3 ans est exigée par loi UE ou État membre, le Sous-traitant informera le Responsable.
Loi applicable
Ce DPA est régi par la loi lituanienne. Les litiges relèvent de la juridiction exclusive des tribunaux de Vilnius.
Si le Responsable est soumis aux lois d'un autre État UE, rien ne limite son droit de plainte auprès de son autorité locale.
Calendrier de traitement
Le calendrier suivant est complété par engagement et fait partie de ce DPA.
| Nom et adresse du Responsable | À compléter par engagement |
| Description des services | À compléter par engagement |
| But du traitement | À compléter par engagement |
| Catégories de données personnelles | À compléter par engagement |
| Catégories de personnes concernées | À compléter par engagement |
| Durée de conservation | À compléter par engagement |
| Sous-traitants approuvés | Aucun par défaut ; listés si applicable |
| Transferts internationaux | Aucun par défaut ; mécanisme listé si applicable |
Pour un Calendrier complété, contactez privacy@multiuniversal.com.