Docebo – l’Accord de sous-traitance des données

Docebo – l’Accord de sous-traitance des données

Version 7.8 de janvier 2022

Le présent avenant relatif au traitement des données (le présent « DPA ») représente l’accord des parties concernant le traitement des données client, y compris les données à caractère personnel du Client, par Docebo pour le compte du Client aux fins de l’exécution des Services. Celui-ci fait partie du contrat, tel que mis à jour de temps à autre. Les termes en majuscules utilisés dans le présent DPA, mais qui n’y sont pas autrement définis dans les présentes, ont la même signification dans le présent DPA que celle qui leur est donnée dans le contrat. La signature du contrat par le Client vaut signature du présent DPA et des clauses contractuelles types, y compris les annexes et les appendices (le cas échéant).

1. Définitions.

« Affilié » désigne une entité qui, directement ou indirectement, est contrôlée par ou est sous contrôle commun avec une entité, le terme « contrôle » désignant quant à lui, aux fins de la présente définition, une participation, un droit de vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts alors en circulation de l’entité en question.

Les « Données à caractère personnel du Client » désignent toutes les données à caractère personnel appartenant au Client, qui sont traitées par Docebo dans le cadre de la fourniture des Services en vertu du contrat.

« Responsable du traitement des données » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

« Sous-traitant des données » désigne toute personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte d’un responsable du traitement ou sur instruction d’un autre sous-traitant agissant pour le compte d’un responsable du traitement.

Le terme « Lois sur la protection des données » désigne toutes les lois et réglementations applicables relatives au traitement des données à caractère personnel et à la confidentialité qui peuvent exister dans les juridictions concernées, y compris, le cas échéant, la loi sur la protection des données de l’UE et les lois sur la protection des données hors UE.

« Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.

« Affilié Docebo » désigne les sociétés affiliées, filiales ou sociétés sœurs de Docebo (sociétés contrôlées par la même société mère) qui peuvent aider à exécuter les Services et être engagées dans le traitement des données à caractère personnel du Client.

« Loi sur la protection des données de l’UE » désigne toutes les lois et réglementations en matière de protection des données applicables au sein de l’Europe, y compris (a) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la la libre circulation de ces données (Règlement général sur la protection des données) (le « RGPD ») ; b) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la confidentialité dans le secteur des communications électroniques ; et (c) les mises en œuvre nationales applicables de (a) et (b).

Le terme « Lois sur la protection des données hors UE » désigne la loi britannique sur la protection des données ; la loi californienne sur la protection de la confidentialité des consommateurs (California Consumer Privacy Act, Cal. Civ. Code) § 1798.100 et suivants, et ses règlements d’application (la « CCPA., and its implementing regulations (the « LPRPDE »), la loi brésilienne générale sur la protection des données (« LGPD»), la loi fédérale nº 13 709/2018 ; la Privacy Act 1988 (Cth) australienne, telle que modifiée (« Loi australienne sur la confidentialité ») ; et la loi sur la protection des informations personnelles de la République populaire de Chine (« (“PIPL »).

Les « Données personnelles » désignent toute information relative à une personne vivante identifiée ou identifiable, y compris les informations qui peuvent être liées, directement ou indirectement, à une personne concernée particulière

« Traiter », « Traitement » ou « Traitées » désigne toute opération ou ensemble d’opérations effectuées sur les données du Client, y compris les données à caractère personnel, que ce soit par des moyens automatisés ou non, conformément aux définitions données à ces termes dans le RGPD.

« « Violation de la sécurité » désigne une violation de la sécurité de Docebo entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux données à caractère personnel du Client.

« Données sensibles » désigne toute information nécessitant un degré accru de protection des données en vertu des lois sur la protection des données, y compris, mais sans s’y limiter : (a) le numéro de sécurité sociale, le numéro de passeport, le numéro de permis de conduire ou un identifiant similaire (ou toute partie de celui-ci) ; (b) le numéro de carte de crédit ou de débit (autre que les quatre derniers chiffres tronqués d’une carte de crédit ou de débit) ; (c) des informations financières, génétiques, biométriques ou de santé ; (d) l’appartenance, l’origine ethnique, l’opinion politique ou religieuse, l’affiliation à un syndicat ou les informations relative à la vie sexuelle ou l’orientation sexuelle ; ou (e) d’autres informations qui relèvent de la définition des « catégories spéciales de données » en vertu de la loi européenne sur la protection des données.

Les «Services » désignent tous les Services fournis par Docebo conformément au contrat et tels que définis dans celui-ci.

Le terme « Clauses contractuelles types » désigne les clauses contractuelles types telles qu’approuvées par la Commission européenne, l’Autorité fédérale suisse de protection des données ou le Bureau du Commissaire à l’information du Royaume-Uni (selon le cas).

« Sous-traitant ultérieur » désigne tout affilié de Docebo et tout sous-traitant engagé dans le traitement des données à caractère personnel du Client en relation avec les Services.

« Autorité de contrôle » désigne toute autorité réglementaire, de surveillance, gouvernementale ou autre autorité compétente ayant juridiction ou surveillant le respect des lois relatives à la protection des données.

« Loi britannique sur la protection des données » désigne l’ensemble des lois et réglementations relatives à la protection des données applicables au Royaume-Uni, y compris (a) la loi sur la protection des données de 2018 (Data Protection Act 2018) et (b)le règlement sur la protection des données, la confidentialité et les communications électroniques (amendement, etc.) (sortie de l’UE)) de 2019 (« UK GDPR »), chacun tel que modifié, complété ou remplacé de temps à autre.

2. Nomination et traitement des données..

2.1     Sous réserve des termes du contrat, le Client est le responsable du traitement des données à caractère personnel du Client ou a été chargé par le ou les responsable(s) du traitement des données et a obtenu son(leur) autorisation pour conclure le présent DPA au nom et pour le compte du ou desdits responsable(s) du traitement des données. Le Client est responsable de l’obtention de toutes les autorisations et approbations nécessaires pour saisir, utiliser, fournir, stocker et traiter les données à caractère personnel du Client afin de permettre à Docebo de fournir les Services.

2.2    Le Client, en tant que responsable du traitement, désigne par la présente Docebo en tant que sous-traitant pour toutes les opérations de traitement doit effectuer par Docebo sur les données à caractère personnel du Client afin de fournir les Services conformément aux termes du contrat.

2.3    Docebo ne collectera, conservera, utilisera, divulguera et traitera les données à caractère personnel du Client que conformément aux instructions documentées et légales du Client telles qu’énoncées dans le contrat et le présent DPA, dans la mesure nécessaire pour se conformer aux lois applicables sur la protection des données, ou autrement convenu par écrit. Les parties conviennent que le contrat et le présent DPA définissent les instructions complètes du Client à Docebo en ce qui concerne le traitement des données à caractère personnel du Client. Tout traitement sortant du cadre de ces instructions (le cas échéant) devra faire l’objet d’un accord écrit préalable entre les parties et sera soumis à tous les frais supplémentaires que Docebo pourrait encourir pour mettre en œuvre ces instructions supplémentaires. Si, pour quelque raison que ce soit, Docebo refuse de se conformer à de telles instructions supplémentaires, le Client peut alors résilier le contrat (et le présent DPA), sauf si les instructions du Client enfreignent les lois sur la protection des données ou toute autre loi applicable.

2.4    Le Client donne instruction à Docebo de traiter les données à caractère personnel du Client collectées aux fins suivantes : (a) traitement conformément au contrat et au présent DPA ; (b) traitement initié par les utilisateurs du logiciel Docebo dans le cadre de leur utilisation des Services ; et (c) traitement pour se conformer à d’autres instructions raisonnables documentées fournies par le Client lorsque ces instructions sont compatibles avec les termes du contrat. Docebo traitera les données à caractère personnel du Client conformément au présent DPA pendant la durée des Services, et le présent DPA prendra fin lorsque les données à caractère personnel du Client ne seront plus stockées et traitées par Docebo.

2.5    Docebo reconnaît n’avoir aucun droit, titre ou intérêt sur les données à caractère personnel du Client et ne peut pas vendre, louer ou louer les données à caractère personnel du Client à quiconque.

2.6    L’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel qui seront traitées, et les catégories de personnes concernées dont les données à caractère personnel sont transférées à Docebo comme indiqué dans le contrat, y compris le présent DPA, sont spécifiés dans l’annexe B, jointe aux présentes.

2.7   Sauf accord contraire de Docebo, le Client ne fournira pas (ou ne fera pas fournir) de données sensibles à Docebo pour traitement dans le cadre du contrat, et Docebo n’aura aucune responsabilité quelle qu’elle soit pour les données sensibles, que ce soit en lien avec une violation de sécurité ou autre.

2.8    Docebo tiendra des registres écrits complets, précis et à jour de toutes les activités de traitement effectuées pour le compte du Client, contenant les informations requises par les lois applicables sur la protection des données.

2.9    Par l’utilisation du logiciel Docebo, au moyen des fonctions d’intégration de la place de marché de Docebo, comme décrit plus en détail dans le contrat, le Client, via son ou ses administrateurs, peut choisir d’accorder à des tiers la visibilité des données du Client. Rien dans le présent DPA n’interdit (et, pour éviter tout doute, les clauses 3, 7 et 10 ne s’appliquent pas) à Docebo de transférer ou de rendre visibles les données du Client à des tiers conformément à la présente clause 2.9, selon les instructions du Client ou des utilisateurs finaux par le biais du logiciel Docebo.

3. Dispositions relatives au sous-traitement..

3.1  Généralités.

(a) Le Client reconnaît et accepte que les sociétés affiliées de Docebo puissent être retenues comme sous-traitants, et que Docebo et les sociétés affiliées de Docebo, respectivement, puissent engager des sous-traitants tiers dans le cadre de la fourniture des Services, pour remplir ses obligations contractuelles en vertu du présent DPA, ou pour fournir certains Services en son nom, comme la fourniture de Services de support à Docebo. Docebo et les sociétés affiliées de Docebo ont conclu et maintiendront un accord écrit avec chaque sous-traitant contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne la protection des données à caractère personnel du Client dans la mesure applicable à la nature des Services fournis par ce sous-traitant.

(b) Docebo utilise actuellement les sous-traitants indiqués à l’annexe D. Docebo notifiera au Client toute(s) modification(s) de la liste des sous-traitants (y compris tout ajout ou tout remplacement à la liste). Le Client notifiera à Docebo dans les trente (30) jours à compter de la date de réception de la notification de Docebo s’il accepte la ou les modification(s) de la liste des sous-traitants ultérieurs ou s’il a des objections, auquel cas les parties se rencontreront pour discuter des objections du Client, agissant raisonnablement et de bonne foi. Si Docebo ne peut raisonnablement trouver une solution à l’objection du Client, celui-ci peut alors résilier le Contrat et le présent DPA, en adressant une notification à Docebo. Si le Client ne s’oppose pas à la ou aux modifications dans les trente (30) jours à compter de la date de réception de la notification de Docebo, la ou les modifications de la notification et le recours au nouveau sous-traitant ultérieur seront réputés acceptée par le Client.

(c) Docebo restera responsable de tout acte ou omission de ses sous-traitants ultérieurs dans la même mesure que Docebo serait responsable si Docebo exécutait les Services de chaque sous-traitant ultérieur directement selon les termes du présent DPA.

3.2.  Affiliés Docebo. Les parties comprennent, reconnaissent et acceptent qu’à la date de signature et de livraison du contrat, Docebo SpA – Via Parco 47 – 20853 Biassono (MB) – ITALIE, est l’affilié Docebo qui possède, développe, maintient et exploite le logiciel Docebo.

4. Conformité aux lois..

4.1   Chaque partie se conformera aux lois sur la protection des données qui lui sont applicables et qui la lient dans son accès et son exécution respectifs des Services.

4.2    Le Client reconnaît que Docebo n’est pas responsable de la détermination des exigences de toutes les lois applicables à l’activité du Client ou que la fourniture des Services par Docebo répond ou répondra aux exigences de ces lois. Le Client s’assurera que le traitement par Docebo des données à caractère personnel du Client, lorsqu’il est effectué conformément à ses instructions, n’amènera pas Docebo à enfreindre une loi, un règlement ou une règle applicable, y compris, mais sans s’y limiter, les lois sur la protection des données. Docebo informera rapidement le Client, par écrit, à moins que les lois sur la protection des données ne l’interdisent, si Docebo apprend ou estime qu’une instruction de traitement des données client viole les lois sur la protection des données.

4.3    Le Client déclare et garantit que (a) il s’est conformé et continuera de se conformer aux lois sur la protection des données, en ce qui concerne le traitement des données à caractère personnel du Client qu’il effectuera et toutes instructions de traitement qu’il fournit à Docebo ; et (b) il a fourni, et continuera de fournir, tous les avis ; a obtenu, et continuera d’obtenir, tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Docebo traite les données à caractère personnel du Client aux fins décrites dans le contrat.

4.4    Le Client aura la responsabilité exclusive de l’exactitude, de la qualité et de la légalité des données à caractère personnel ainsi que des moyens par lesquels il les a acquises. Sans préjudice de la généralité de ce qui précède, le Client convient qu’il est responsable de se conformer à toutes les lois (y compris les lois sur la protection des données) applicables à tout contenu créé, envoyé ou géré via les Services.

5. Responsabilités de Docebo en matière de sécurité.
.

5.1    Docebo mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées, conçues pour protéger les données à caractère personnel du Client contre les violations de sécurité et conçues pour préserver la sécurité et la confidentialité des données du Client conformément au document « les Mesures de protection et de sécurité de l’information » (les « IPSS ») de Docebo, joint aux présentes en tant qu’ annexe A, tel qu’il est en vigueur à la date d’entrée en vigueur du contrat, et tel qu’il est modifié, de temps à autre, et disponible à l’adresse https://tos.docebo.com/Docebo_DPA_Annex_A_FR.pdf.. Docebo se réserve le droit d’apporter des modifications au IPSS, de temps à autre, pour refléter les développements technologiques et les meilleures pratiques du secteur ; à condition, toujours, que ces modifications n’entraînent aucune dégradation objective de la sécurité des données du Client, de la manière dont les Services sont fournis ou qui soient inférieures au standard de toute loi applicable.

5.2    Les mesures de sécurité techniques et organisationnelles mises en œuvre par Docebo comprennent (et comprendront à tout moment), au minimum, les éléments suivants :

(a) Docebo a mis en place et maintiendra des procédures appropriées pour garantir que les personnes non autorisées n’auront pas accès aux données du Client et aux systèmes utilisés pour traiter les données du Client, et que toute personne autorisée à avoir accès aux données du Client protégera et maintiendra leur confidentialité et leur sécurité ;

(b) Docebo a mis en place et maintiendra des mesures appropriées pour s’assurer que tous les employés et sous-traitants impliqués dans le traitement des données client sont des personnels autorisés ayant besoin d’accéder aux données, sont liés par des obligations de confidentialité appropriées, et ont suivi une formation appropriée à la protection et au traitement des données client ;

(c) Docebo prendra des mesures raisonnables pour s’assurer de la fiabilité de tout personnel ayant accès aux données client ; et

(d) Docebo ne copiera ni ne reproduira aucune donnée client, sauf si cela est techniquement nécessaire pour fournir les Services ou autrement établi dans le contrat ou pour se conformer aux règles légales de conservation des données.

5.3    Le Client déclare et confirme, à compter de la date d’entrée en vigueur du contrat, avoir évalué les mesures de sécurité mises en œuvre par Docebo comme assurant un niveau de protection approprié des données client, compte tenu du risque associé au traitement de ces informations.

5.4    Nonobstant ce qui précède, le Client accepte que, sauf disposition contraire du présent DPA, le Client est responsable de son utilisation sécurisée des Services, y compris la sécurisation de ses identifiants d’authentification de compte et de tout identifiant API (le cas échéant), la protection de la sécurité des données client lorsqu’il est en transit vers et depuis les Services, et prendre toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les données client téléchargées sur les Services.

6. Dispositions relatives aux atteintes à la sécurité..

6.1    Si Docebo prend connaissance d’une violation de sécurité, alors Docebo doit, sans retard injustifié : (a) informer le Client de la violation de sécurité; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de la violation de sécurité.

6.2    En cas de violation de sécurité, Docebo fournira au Client toute l’assistance raisonnable pour y faire face , notamment en ce qui concerne toute notification à une autorité de contrôle ou toute communication à la personne concernée. Afin de fournir une telle assistance, et compte tenu de la nature des Services et des informations dont dispose Docebo, la notification de la violation de sécurité doit inclure, au minimum, les éléments suivants :

(a) Une description de la nature de la violation de sécurité, y compris les catégories et le nombre approximatif d’enregistrements de données concernés ;

(b)  Les conséquences probables de la violation de sécurité ; et

(c)  Les mesures prises ou à prendre par Docebo pour remédier à la violation de sécurité, y compris les mesures visant à atténuer les éventuelles conséquences négatives ;

6.3    Lorsque, et dans la mesure où, il n’est pas possible pour Docebo de fournir ces informations au moment de la notification, cette dernière doit néanmoins être faite, sous une forme aussi complète que possible, et les autres informations requises peuvent être fournies par Docebo, par phases et au fur et à mesure de leur disponibilité, sans retard injustifié.

6.4    Le Client accepte ce qui suit :

(a) Tout incident de sécurité infructueux ne sera pas soumis aux obligations imposées à Docebo en vertu de la présente clause 6. Un « incident de sécurité infructueux » se produit lorsqu’il n’y a pas eu d’accès non autorisé aux données à caractère personnel du Client ou à tout système contrôlé par Docebo utilisé pour traiter les données à caractère personnel du Client, ce qui peut inclure, sans s’y limiter, des pings et d’autres attaques de diffusion sur les pare-feu ou le serveur périphérique, les analyses de port, tentatives de connexion infructueuses, une attaque par déni de service, le reniflage de paquets ou des incidents similaires ; et

(b) L’obligation de Docebo de signaler ou de répondre à une violation de la sécurité en vertu de la présente clause 6 n’est pas et ne sera pas interprétée comme une reconnaissance par Docebo de toute faute ou responsabilité de Docebo en ce qui concerne la violation de sécurité.

6.5    La notification d’une violation de sécurité doit être effectuée par (a) courrier électronique et (b) par téléphone aux référents spécifiés à l’ annexe B..

7. Qualité, extraction, retour et destruction des données..

7.1    Docebo mettra à jour, corrigera ou supprimera les données à caractère personnel du Client à la demande de ce dernier.

7.2    À la résiliation ou à l’expiration du contrat (y compris toute période de Services de transition, le cas échéant), à la demande du Client, Docebo supprimera (au choix du Client) ou restituera au Client toutes les données à caractère personnel du Client (y compris les copies) en sa possession. ou sous son contrôle. Cette exigence ne s’applique pas dans la cas où Docebo est tenu par la loi applicable de conserver tout ou partie des données à caractère personnel du Client, ou aux données à caractère personnel du Client que Docebo a archivées sur des systèmes de sauvegarde, que Docebo doit en toute sécurité isoler, protéger de tout traitement ultérieur, traiter comme des informations confidentielles du Client et éventuellement supprimer conformément aux politiques de suppression de Docebo, sauf dans la mesure requise par la loi applicable.

7.3    Sur demande du Client, Docebo fournira une copie portable des données à caractère personnel du Client conformément aux lois sur la protection des données à l’égard des données à caractère personnel.

7.4    L’ensemble des frais encourus par Docebo découlant des clauses 7.1 à 7.3 seront à la charge de Docebo. Tous les frais supplémentaires encourus par Docebo résultant des demandes spécifiques du Client qui sont différentes de celles décrites dans les clauses 7.1 à 7.3 seront à la charge du Client. Docebo fournira une estimation de ces coûts, qui sera convenue par écrit par les parties.

7.5    Nonobstant les exigences générales de la clause 7.2, le Client reconnaît que le logiciel Docebo s’appuie sur AWS et que Docebo ne peut effectuer qu’une suppression logique. Les données client résiliées stockées dans le logiciel Docebo sont rendues illisibles ou désactivées par AWS et les zones de stockage sous-jacentes sur le réseau AWS qui ont été utilisées pour stocker le contenu sont effacées, avant d’être récupérées et écrasées, conformément aux politiques standard d’AWS, y compris un processus de déclassement sécurisé. Docebo procédera à la suppression logique dans les trente (30) jours à compter de la résiliation du contrat et, à la demande du Client, pourra fournir au Client une confirmation écrite de cette suppression.

8. Évaluation de la sécurité de l’information.
.

8.1    Docebo fournira au Client et à ses représentants dûment autorisés, pendant la durée du présent DPA, les informations nécessaires pour démontrer l’adéquation des mesures de sécurité des informations de Docebo et la conformité à chaque loi applicable sur la protection des données.

8.2    Docebo a obtenu les certifications et audits de tiers définis dans les IPSS de Docebo. Sur demande écrite du Client, et sous réserve des obligations de confidentialité énoncées dans le contrat, Docebo mettra à la disposition du Client (ou de l’auditeur tiers indépendant du Client qui n’est pas un concurrent de Docebo) une copie des audits ou certifications tiers les plus récents de Docebo, selon le cas.

8.3    Sur demande du Client, Docebo fournira des questionnaires préremplis et à jour sur la sécurité des informations, basés sur des normes commercialement raisonnables et des normes de référence de l’industrie raisonnablement complètes et exhaustives (par exemple, CSA CAIQ et SFG SIG) qui permettent au Client d’examiner et d’évaluer la gestion des risques de sécurité par Docebo. Le Client reconnaît et accepte que, à condition que ces questionnaires respectent la norme qui précède, ces questionnaires seront réputés répondre à toute initiative d’évaluation du fournisseur du Client et le Client accepte de renoncer à toute soumission à Docebo de tout autre questionnaire sous tout autre format et couvrant matériellement les mêmes informations.

8.4    Le Client est responsable de l’examen des informations mises à disposition par Docebo relatives à la sécurité des données et de la détermination indépendante de l’adéquation des dispositions du présent DPA en relation avec la fourniture des Services pour répondre aux exigences du Client et aux obligations légales.

8.5    Docebo autorisera et contribuera aux vérifications, y compris les inspections, relatives aux questions de sécurité des informations et des données, sous réserve des conditions suivantes :
 

(a) Le Client peut mandater, à ses propres frais, un expert indépendant, dont la nomination sera soumise à l’approbation écrite préalable de Docebo, qui ne pourra être refusée, conditionnée ou retardée de manière déraisonnable ; ou

(b) Le Client peut effectuer directement toutes les activités raisonnables pour vérifier les mesures prises par Docebo dans le cadre de ces questions, selon une méthodologie et un calendrier à convenir entre les parties (agissant raisonnablement et de bonne foi), et conformément aux politiques standard et commercialement raisonnables de Docebo concernant la conduite de ces vérifications, telles qu’elles peuvent alors être en vigueur.

(c) Les vérifications ne seront pas effectuées plus d’une fois par an, sauf dans les cas requis par la loi ou suite à une violation de la sécurité.

8.6    Sous réserve de l’approbation écrite préalable de Docebo, le Client peut mener, directement ou par l’intermédiaire de tiers (dont la nomination sera également soumise à l’approbation écrite préalable de Docebo), et à ses propres frais, des tests d’intrusion et des analyses de vulnérabilité. Docebo autorisera ces activités selon une méthodologie et un calendrier qui seront convenus entre les parties (agissant raisonnablement et de bonne foi) avant de commencer toute activité de pen test, et conformément aux politiques standard et commercialement raisonnables de Docebo en ce qui concerne ces tests d’intrusion et ces analyses de vulnérabilité. Ces activités seront menées sur une base annuelle et en tout cas pas plus d’une fois tous les quatre mois, après accord avec Docebo.

9. Assistance pour l’évaluation de l’impact sur la protection des données.. Dans la mesure requise par les lois sur la protection des données applicables, Docebo fournira (en tenant compte de la nature du traitement et des informations à sa disposition) toutes les informations raisonnablement demandées concernant les Services pour permettre au Client de réaliser des évaluations d’impact sur la protection des données ou des consultations préalables avec les autorités de protection des données, comme l’exigent les lois applicables sur la protection des données. Docebo se conformera à ce qui précède en : (a) se conformant à la clause 8 (Évaluation de la sécurité des informations) ; (b) fournissant les informations contenues dans le contrat, y compris le présent DPA ; et (c) si les clauses précédentes (a) et (b) sont insuffisantes pour que le Client se conforme à ces obligations, sur demande, en fournissant une assistance supplémentaire raisonnable (aux frais du Client).

10. Transferts internationaux..

10.1    Le Client reconnaît que Docebo peut transférer et traiter les données à caractère personnel du Client vers et aux États-Unis, et partout ailleurs dans le monde où Docebo, les affiliés de Docebo ou ses sous-traitants maintiennent des opérations de traitement de données. Docebo doit, à tout moment, s’assurer que ces transferts sont effectués en conformité avec les exigences des lois sur la protection des données.

10.2    Dans la mesure où Docebo est destinataire et/ou transfère les données à caractère personnel du Client protégées par les lois européennes sur la protection des données (« données de l’UE ») en dehors de l’Europe vers un pays qui n’est pas reconnu comme offrant un niveau adéquat de protection des données à caractère personnel (comme décrites dans la législation européenne applicable en matière de protection des données), les parties acceptent de se conformer aux clauses contractuelles types jointes aux présentes en tant qu’ annexe C, qui sont incorporées par référence et font partie intégrante du présent DPA. Aux fins des descriptions dans les clauses contractuelles types, il est convenu que Docebo est l’« importateur de données » et que le Client est l’« exportateur de données ». Dans la mesure où : (a) le Client agit en tant que responsable du traitement des données de l’UE et Docebo agit en tant que sous-traitant des données de l’UE, le module 2 des clauses contractuelles types s’applique à ces transferts de données de l’UE ; et (b) le Client agit en tant que responsable du traitement des données de l’UE et Docebo agit en tant que responsable du traitement des données de l’UE, le module 3 des clauses contractuelles types s’appliquera à ces transferts de données de l’UE.

10.3    Le Client accepte que Docebo et ses sous-traitants ultérieurs puissent effectuer des opérations de traitement de données dans des pays situés hors d’Europe, même lorsque les parties ont convenu que Docebo hébergera des données à caractère personnel en Europe et, si un tel traitement non européen est nécessaire à l’opération du logiciel Docebo ou pour fournir des services liés à l’assistance ou d’autres services demandés par le Client. Plus précisément, le Client accepte que la fourniture de services d’assistance, comme indiqué dans le contrat, puisse nécessiter l’accès aux données à caractère personnel du Client par les opérateurs de Docebo depuis l’Europe, les États-Unis et/ou le Canada. Dans le cas d’un traitement non européen, le transfert de données de l’UE sera soumis aux mécanismes de transfert définis à la clause 10.2 ci-dessus.

10.4    Dans la mesure où Docebo adopte un mécanisme d’exportation de données alternatif (y compris toute nouvelle version ou nouvelles clauses contractuelles types) pour le transfert de données de l’UE non décrit dans le présent DPA (« mécanisme de transfert alternatif »), le mécanisme de transfert alternatif s’appliquera à la place des mécanismes de transfert décrits dans le présent DPA (mais uniquement dans la mesure où ce mécanisme de transfert alternatif est conforme à la législation européenne applicable en matière de protection des données et s’étend aux pays vers lesquels les données de l’UE sont transférées). En outre, si et dans la mesure où un tribunal compétent ou une autorité de surveillance ordonne (pour quelque raison que ce soit) que les mesures décrites dans le présent DPA ne peuvent pas être invoquées pour transférer légalement des données de l’UE (au sens de la législation européenne applicable en matière de protection des données), Docebo peut mettre en œuvre toutes les mesures ou garanties supplémentaires qui peuvent être raisonnablement requises pour permettre le transfert légal des données de l’UE.

11. Demandes d’accès par la personne concernée et autres communications..

11.1    Docebo doit, dans la mesure où cela est légalement autorisé, informer rapidement le Client si Docebo reçoit une demande d’une personne concernée qui souhaite exercer son droit d’accès, un droit de rectification, la limitation du traitement, l’effacement (c’est-à-dire le « droit d’être oubliée »), la portabilité des données, l’opposition au traitement ou son droit de ne pas faire l’objet d’une prise de décision individuelle automatisée (chaque demande de ce type étant dénommée une « demande d’accès à la personne concernée »). Si Docebo reçoit une demande d’accès à la personne concernée concernant les données à caractère personnel du Client, Docebo devra conseiller à la personne concernée de soumettre sa demande au Client, et ce dernier sera en charge de répondre à cette demande. Pour éviter toute ambiguïté, Docebo ne sera pas obligé d’accéder à une demande d’accès à la personne concernée lorsque la personne concernée n’a pas droit à la réparation demandée.

11.2    Docebo, à la demande du Client, et en tenant compte de la nature du traitement, assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l’exécution de l’obligation du Client de répondre à une demande d’accès à la personne concernée en vertu des lois sur la protection des données et/ou pour démontrer cette conformité, si possible ; à condition que (i) le Client soit lui-même incapable de répondre sans l’assistance de Docebo et (ii) Docebo soit légalement autorisé à le faire, et que la réponse à cette demande d’accès à la personne concernée soit requise en vertu des lois sur la protection des données. Dans la mesure autorisée par la loi, le Client sera responsable de tous les frais raisonnables découlant de la demande du Client d’une telle assistance par Docebo.

12. Divulgations autorisées des données client..

12.1    Docebo peut divulguer des données client dans la mesure où ces données doivent être divulguées par la loi, par tout gouvernement ou autorité réglementaire, ou par une ordonnance valide et contraignante d’un organisme chargé de l’application de la loi (comme une citation à comparaître ou une ordonnance d’un tribunal), ou une autre autorité de la juridiction compétente.

12.2    Si un organisme d’application de la loi, un gouvernement ou une autorité de réglementation envoie à Docebo une demande de divulgation des données client, Docebo tentera de rediriger l’organisme d’application de la loi, le gouvernement ou l’autorité de réglementation pour demander ces données directement au Client et Docebo est autorisé à fournir les coordonnées de base du Client à cet organisme d’application de la loi, ce gouvernement ou cette autorité de réglementation.

12.3    Si Docebo est contraint de divulguer les données client conformément à la clause 12.1, Docebo donnera au Client un préavis raisonnable de la demande afin de lui permettre d’avoir recours à une ordonnance de protection ou tout autre recours approprié.

13. Responsabilité et limites.La responsabilité de chaque partie et de tous ses affiliés, pris ensemble et dans leur ensemble, découlant de ou liée au présent DPA sera, dans tous les cas, limitée à la mesure où celle-ci aura été causée par les actions de cette partie, et sera en outre soumise aux exclusions et limitations de responsabilité énoncées dans le contrat, dans la mesure permise par les lois de protection des données applicables.

14. Intégralité de l’accord.. Le présent DPA annule et remplace toutes les représentations, ententes, communications et accords antérieurs par et entre les parties en ce qui concerne les questions énoncées dans le présent DPA.

15. Conditions spécifiques à la juridiction..

15.1    Dans la mesure où Docebo traite des données à caractère personnel du Client provenant des lois de protection des données, et protégées par ces mêmes lois, dans l’une des juridictions énumérées dans la présente clause 15, alors les termes spécifiés dans la clause 15,, en ce qui concerne la(les) juridiction(s) applicable(s) (« Termes spécifiques à la juridiction ») s’appliquent en plus des termes du présent DPA. En cas de conflit ou d’ambiguïté entre les conditions spécifiques à la juridiction et toute autre condition du présent DPA, les conditions spécifiques à la juridiction applicables prévaudront, mais uniquement dans la mesure où celles-ci s’appliquent à Docebo.

15.2    État de Californie (États-Unis).
.

(a) En ce qui concerne le présent DPA, chacun des termes définis suivants doit être interprété plus en détail pour inclure certains termes tels qu’ils sont définis dans le cadre de la CCPA : (a) « Responsable du traitement des données » inclut « Entreprise » ; (b) « Sous-traitant des données » comprend « Prestataire de services » ; (c) « Personne concernée » comprend « Consommateur » ; et (d) « Données à caractère personnel » comprend « Informations personnelles ».

(b) Docebo traitera les données à caractère personnel du Client uniquement aux fins décrites dans le présent DPA et conformément aux instructions légales documentées du Client telles qu’énoncées dans le présent DPA, dans la mesure nécessaire pour se conformer à la loi applicable, comme convenu autrement par écrit, y compris, mais sans s’y limiter, dans le contrat, ou tel qu’autrement autorisé pour les « prestataires de services » en vertu de la CCPA.

(c) Nonobstant toute restriction d’utilisation contenue ailleurs dans le présent DPA, Docebo traitera les données à caractère personnel du Client uniquement pour exécuter les services et/ou conformément aux instructions légales documentées du Client, sauf si la loi applicable l’exige autrement.

(d) Docebo peut anonymiser ou agréger les données à caractère personnel du Client dans le cadre de l’exécution des services spécifiés dans le présent DPA et le contrat.

(e) Lorsque les sous-traitants ultérieurs traitent les données à caractère personnel du Client, Docebo prend des mesures pour s’assurer que ces sous-traitants ultérieurs sont des prestataires de services en vertu de la CCPA avec lesquels Docebo a conclu un contrat écrit, qui comprend des conditions substantiellement similaires au présent DPA ou sont autrement exemptés de la définition de « vente » de la CCPA. Docebo effectue une diligence raisonnable appropriée sur ses sous-traitants ultérieurs.

(f) Les obligations de Docebo concernant les demandes des personnes concernées, telles que décrites à la clause 11 du présent DPA, s’appliquent aux droits du consommateur en vertu de la CCPA.

15.3    Royaume-Uni. Dans la mesure où Docebo traite les données à caractère personnel du Client régies par la loi britannique sur la protection des données, les parties reconnaissent que les transferts de données provenant du Royaume-Uni vers un pays tiers seront régis par les clauses contractuelles types jointes aux présentes en tant qu’ annexe E, qui sont incorporées par référence et font partie intégrante du présent DPA, et resteront valables jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par le Bureau du Commissaire à l’information du Royaume-Uni.

15.4    La République populaire de Chine (hors Hong Kong, Macao et Taïwan).

(a) En ce qui concerne le présent DPA, les termes suivants seront définis comme suit :

i.    « Données à caractère personnel » désigne les « informations personnelles » définies par la loi sur la protection des informations personnelles de la République populaire de Chine (« PIPL ») ;

ii.    « Responsable du traitement des données » signifie « Processeur d’informations personnelles » comme défini dans le PIPL ;

iii.    « Traiter », « Traitement » ou « Traitées » désigne toute opération ou ensemble d’opérations effectuées sur les données client, y compris les données à caractère personnel, que ce soit par des moyens automatisés, y compris, mais sans s’y limiter, toute collecte, stockage, utilisation, manipulation, transmission, mise à disposition, divulgation et suppression ;

iv.   « Données sensibles » désigne les informations personnelles susceptibles de porter atteinte à la dignité personnelle de toute personne physique ou à sa sécurité personnelle ou à ses biens une fois divulguées ou détournées, y compris les informations personnelles concernant l’identification biométrique, les croyances religieuses, l’identité, la santé médicale, le compte financier ainsi que la localisation et le suivi, ou encore les informations personnelles des mineurs de moins de 14 ans, ou toute autre information entrant dans la définition des « informations personnelles sensibles » en vertu du PIPL.

(b) Lorsque Docebo ou tout sous-traitant ultérieur hors de la République populaire de Chine (à l’exception de Hong Kong, Macao et Taïwan) traite les données à caractère personnel du Client pour exécuter les services conformément au contrat et au présent DPA, cela sera considéré comme un transfert transfrontalier de données à caractère personnel. en vertu du PIPL, et le Client et Docebo doivent mettre en œuvre des mesures procédurales et contractuelles adéquates et applicables pour garantir que ces transferts sont effectués conformément aux exigences du PIPL.

16. Conflits. En cas de conflit ou d’incohérence entre le présent DPA et le contrat, les dispositions des documents suivants (par ordre de priorité) prévaudront : (a) les clauses contractuelles types ; puis (b) le présent DPA ; puis (c) le contrat.

17. Traductions. Les traductions en langues étrangères du présent DPA ne sont que des traductions de lecture. En cas de questions d’interprétation ou d’ambiguïtés, la version anglaise du présent DPA sera contraignante et prévaudra.

18. Annexes. Les annexes suivantes sont fournies via les liens à l’exception de l’annexe B et sont incorporées ici par référence.

Annexe A – « les Mesures de protection et de sécurité de l’information ». Cette annexe est disponible, telle que modifiée de temps à autre, à l’adresse suivante :   https://tos.docebo.com/Docebo_DPA_Annex_A_FR.pdf.

Annexe B – « Coordonnées des référents du traitement des données et en cas de notification »..

Annexe C – « Clauses contractuelles types de l’Union européenne ». Cette annexe est disponible, telle que modifiée (par la loi uniquement) de temps à autre, ç l’adresse suivante :   https://tos.docebo.com/Docebo_DPA_Annex_C_EN.pdf.

Annexe D – « Liste des sous-traitants ultérieurs ». Cette annexe est disponible, telle que modifiée de temps à autre conformément à la clause 3.1, à l’adresse suivante : https://tos.docebo.com/Docebo-sub-processors-list.pdf.

Annexe E – « Clauses contractuelles types du Royaume-Uni ». Cette annexe est disponible, telle que modifiée (par la loi uniquement) de temps à autre, à l’adresse suivante : https://tos.docebo.com/DPA_Annex_+E_UK_SCCs.pdf 

 

ANNEXE B

Coordonnées des référents du traitement des données et en cas de notification

DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

  • Les catégories des personnes concernées sont les suivantes :
    • Le personnel du Client
    • Le personnel des clients du Client et les partenaires du Client
    • Autres : ___________

Catégories de données à caractère personnel transférées

  • Les catégories de données à caractère personnel transférées sont les suivantes :
    • Prénom et nom
    • Coordonnées (adresse e-mail)     
    • Informations formelles de suivi de l’apprentissage (état d’achèvement de la formation, résultats/score final, certificats)
    • Suivi informel de l’apprentissage (publication de ressources/suivi de la réalisation, classement des ressources)
    • Suivi des questions/réponses
    • Cartographie/évaluation des compétences d’apprentissage
    • Autres : ___________

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple une stricte limitation de la finalité, des restrictions d’accès (y compris l’accès uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

  • NAucune donnée sensible ne sera transférée de l’exportateur de données à l’importateur de données.

 La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

  • La fréquence du transfert se fera sur une base continue.

 Nature du traitement.

  • La nature du traitement des données à caractère personnel est de fournir les services conformément au contrat.

Finalité(s) du transfert des données et du traitement ultérieur.

  • Docebo traitera les données à caractère personnel nécessaires pour exécuter les services conformément au contrat, comme spécifié plus en détail dans le présent DPA, et selon les instructions supplémentaires du Client dans son utilisation des services.

 La période pendant laquelle les données à caractère personnel seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer ce délai.

  • Sauf convention écrite contraire, la période pendant laquelle les données à caractère personnel seront conservées jusqu’à trente (30) jours suivant la résiliation ou l’expiration du contrat.

Pour les transferts aux sous-traitants (sous-traitants ultérieurs), précisez également l’objet, la nature et la durée du traitement.

  • L’objet et la nature du traitement par les sous-traitants ultérieurs sont précisés à l’annexe D du présent DPA. La durée du traitement effectué par les sous-traitants ultérieurs sera de trente (30) jours suivant la résiliation ou l’expiration du contrat, sauf convention contraire.