Docebo – Data Processing Addendum

Ver. 8.2 of February 2026

English

French

This Data Processing Addendum (this “DPA”) represents the Parties’ agreement regarding the Processing of Customer Data, including Customer Personal Data, by Docebo on behalf of the Customer for the purposes of carrying out the Services, and it forms part of the Agreement, as updated from time to time. Capitalized terms used in this DPA, but not otherwise defined herein, shall have the same meaning in this DPA as are given to them in the Agreement. Customer’s signature to the Agreement shall constitute a signature to this DPA and the Standard Contractual Clauses including the annexes and appendices (as applicable).

1. Definitions.

“365Talents Services”  means the  software solution, including hosting, security, implementation, corrective and perfective maintenance, support and operation of one or more applications developed and provisioned by Docebo’s Affiliate 365Talents SAS (“365Talents”), and made available to the Customer on a subscription basis. 

“Affiliate” means an entity that directly or indirectly controls, is controlled by or is under common control with an entity, where “control” means, for the purposes of this definition, an ownership, voting, or similar interest representing fifty percent (50%) or more of the total interests then outstanding of the entity in question.

“Customer Personal Data” means any Personal Data belonging to the Customer that is Processed by Docebo in the course of providing the Services under the Agreement.

“Data Controller” means the natural or legal person, public authority, agency, or any other body which alone or jointly with others determines the purposes and means of the Processing of Personal Data. 

“Data Privacy Framework” means the EU-U.S. Data Privacy Framework, the Swiss-U.S. Data Privacy Framework, and the UK Extension to the EU-U.S. Data Privacy Framework self-certification programs (as applicable) operated by the U.S. Department of Commerce; as may be amended, superseded or replaced.

“Data Privacy Principles” means the Data Privacy Principles contained in the applicable Data Privacy Framework; as may be supplemented, amended, superseded or replaced.

“Data Processor” means any natural or legal person, public authority, agency, or any other body which Processes Personal Data on behalf of a Data Controller or on the instruction of another Data Processor acting on behalf of a Data Controller. 

“Data Protection Laws” means all applicable laws and regulations relating to the processing of Personal Data and privacy that may exist in the relevant jurisdictions, including, where applicable, EU Data Protection Law and Non-EU Data Protection Laws.

“Data Subject” means an identified or identifiable natural person whom Personal Data relates. It includes the definition of “Consumer” under CCPA, VCDPA, UCPA, CPA and CTCPA.

“Docebo Affiliate” means Docebo affiliates, subsidiaries or sister companies (companies controlled by the same parent company) that may assist in the performance of the Services and may be engaged in the Processing of Customer Personal Data.

“EU Data Protection Law” means all data protection laws and regulations applicable to European Economic Area, including (a) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (the “GDPR”); (b) Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector; and (c) applicable national implementations of (a) and (b).

“Non-EU Data Protection Laws” means the UK Data Protection Law, Canada’s Personal Information Protection and Electronic Documents Act (“PIPEDA”), the Brazilian General Data Protection Law, Federal Law no. 13,709/2018 (“LGPD”), the Privacy Act 1988 (Cth) of Australia, as amended (“Australian Privacy Law”), the Swiss Data Protection Act (the “FADP”), the Personal Information Protection Law of the People’s Republic of China (“PIPL”), the California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., as amended by the California Privacy Rights Act of 2020, and its implementing regulations (the “CCPA”) and all US state laws and regulations governing privacy and data protection of Personal Data, to the extent applicable to the Personal Data Processing of the Parties under this DPA.

“Personal Data” means (i) any data or information relating to an identified or identifiable living individual, including information that can be linked, directly or indirectly, with a particular Data Subject or (ii) is otherwise “personal information”, “personally identifiable information” or similarly defined information under the applicable Data Protection Laws.

“Process”, “Processing” or “Processed” means any operation or set of operations which is performed upon Customer Data, including Personal Data, whether or not by automated means, according to the definitions given to such terms in the GDPR.

“Security Breach” means a breach of Docebo’s security leading to the accidental or unlawful destruction, loss, alteration, or unauthorized disclosure of, or access to Customer Personal Data transmitted, stored or otherwise processed.

“Sensitive Data” means any information that requires a heightened degree of data protection under Data Protection Laws including, but not limited to: (a) social security number, passport number, driver’s license number, or similar identifier (or any portion thereof); (b) credit or debit card number (other than the truncated (last four digits) of a credit or debit card); (c) financial, genetic, biometric or health information; (d) racial, ethnic, political or religious affiliation, trade union membership, or information about sexual life or sexual orientation; or (e) other information that falls within the definition of “special categories of data” under EU Data Protection Law, UK Data Protection Law, or within the definition “sensitive personal information” under the CCPA.

“Services” means all services provided by Docebo in accordance with, and as defined in, the Agreement.

“Standard Contractual Clauses” means the Standard Contractual Clauses for the transfer of Personal Data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and the Council approved by European Commission Implementing Decision (EU) 2021/914 of 4 June 2021, attached hereto as Annex C; as may be amended, superseded, or replaced.

“Sub-processor” means any Docebo Affiliate and any sub-contractor engaged in the Processing of Customer Personal Data in connection with the Services and as further detailed in Annex D and Annex D-1.

“Supervisory Authority” means any regulatory, supervisory, governmental, or other competent authority with jurisdiction or oversight over compliance with the Data Protection Laws.

“UK Data Protection Law” means all data protection laws and regulations applicable to the United Kingdom, including (a) the Data Protection Act 2018 and (b) the GDPR, as incorporated into the United Kingdom law under the Data Protection, Privacy and Electronic Communications (Amendment Etc.) (EU Exit) Regulations 2019 (“UK GDPR”), each as amended, supplemented, or replaced from time to time.

 “Business Purpose”, “Commercial Purpose”, “Deidentify” and “Share” have the respective meanings given in the CCPA. “Sell” has the meaning given in the CCPA, VCDPA, UCPA, CPA and CTCPA. In the event of a conflict in the meanings of terms in the CCPA, VCDPA, UCPA, CPA and CTCPA, the parties agree that the definition in the applicable Non-EU Data Protection Laws shall apply to the extent of the conflict.

2. Appointment and Data Processing.

2.1 Subject to the terms of the Agreement, the Customer is the Data Controller of the Customer Personal Data (or a Data Processor and has been instructed by and obtained the authorization of the relevant third-party Data Controller(s)) to enter into this DPA in the name and on behalf of such Data Controller(s). The Customer is responsible for obtaining all of the necessary authorizations and approvals to enter, use, provide, store, and Process Customer Personal Data to enable Docebo to provide the Services.

2.2 The Customer, as the Data Controller, hereby appoints Docebo as the Data Processor in respect of all Processing operations required to be carried out by Docebo on Customer Personal Data in order to provide the Services in accordance with the terms of the Agreement. Docebo is the Processor of Customer Personal Data, except where Docebo acts as a Controller processing Customer Personal Data in accordance with the list of purposes in Section 2.5.

2.3 Docebo shall collect, retain, use, disclose, and otherwise Process the Customer Personal Data only in accordance with the Customer’s documented, lawful instructions as set forth in the Agreement and this DPA, as necessary to comply with applicable Data Protection Laws, or as otherwise agreed in writing. The Parties agree that the Agreement, this DPA together with the Documentation and the Customer’s configuration and implementation of the Services, set out Customer’s complete instructions to Docebo in relation to the Processing of Customer Personal Data. Processing outside the scope of these instructions (if any) shall require prior written agreement between the Parties and shall be subject to any additional costs that Docebo may incur in implementing such additional instructions. If, for any reason, Docebo refuses to comply with any such additional instructions, then the Customer may terminate the Agreement (and this DPA) except if the Customer’s instructions infringe Data Protection Laws or other applicable law. 

2.4 The Customer instructs Docebo to Process collected Customer Personal Data for the following purposes: (a) Processing in accordance with the Agreement and this DPA; (b) Processing initiated by End Users in their use of the Services; and (c) Processing to comply with other documented reasonable instructions provided by the Customer where such instructions are consistent with the terms of the Agreement. Docebo will Process Customer Personal Data pursuant to this DPA for the duration of the Services, and this DPA will terminate when Customer Personal Data is no longer stored and Processed by Docebo. 

2.5 Docebo may Process Customer Personal Data for its own legitimate business purposes provided the Processing is strictly necessary, proportionate and consists of one of the following purposes: (a) billing, account, and Customer relationship management; (b) complying with legal obligations, tax requirements, associated agreements and potential disputes and (c) virus scanning and fraud prevention. Outside these purposes, Docebo acknowledges that it has no right, title, or interest in the Customer Personal Data and may not sell, rent, or lease the Customer Personal Data to anyone.

2.6 The subject matter and duration of the Processing, the nature and purpose of the Processing, the type of Personal Data that will be Processed, and the categories of Data Subjects whose Personal Data is transferred to Docebo as set out in the Agreement, including this DPA, are specified in Annex B, attached hereto.

2.7 Unless otherwise agreed by Docebo, the Customer will not provide (or cause to be provided) any Sensitive Data to Docebo for processing under the Agreement, and Docebo will have no liability whatsoever for Sensitive Data, whether in connection with a Security Breach or otherwise. In the same manner, we restrict our handling of account credentials and other log-in data, which might be qualified as Sensitive Data under certain Data Protection Laws.

2.8 Docebo shall maintain complete, accurate, and up to date written records of all Processing activities carried out on behalf of the Customer containing information as required under any applicable Data Protection Laws.

2.9 Through the use of the Docebo Software, by means of Docebo’s marketplace integrations features, as further described in the Agreement, the Customer, at their sole discretion and via its administrator(s), may elect to grant third-parties visibility to Customer Data. Nothing in this DPA prohibits (and, for the avoidance of doubt, Sections 3, 7 and 10 do not apply) Docebo transferring or making visible Customer Data to third-parties consistent with this Section 2.9, as directed by the Customer or the End Users through the Docebo Software. This Section does not apply to any Processing of Customer Data in connection with 365Talents Services and therefore these services are not covered by the permissions or carve-outs set out in this Section 2.9.

3. Sub-Processing Provision

3.1 The Customer acknowledges and agrees that Docebo Affiliates may be retained as Sub-processors, and Docebo and Docebo Affiliates, respectively, may engage third-party Sub-processors in connection with the provision of the Services, to fulfil its contractual obligations under this DPA, or to provide certain services on its behalf, such as providing support services to Docebo. Docebo and Docebo Affiliates have entered into and will maintain a written agreement with each Sub-processor containing data protection obligations not less protective than those in this DPA with respect to the protection of Customer Personal Data to the extent applicable to the nature of the Services provided by such Sub-processor.

3.2 Docebo currently utilizes the Sub-processors set forth in Annex D and Annex D-1. The Customer acknowledges and agrees that Docebo may engage different Sub-processors depending on the specific Docebo Services purchased by the Customer as stated in the applicable Order Form or SOW. For the avoidance of doubt, Sub-processors engaged solely in connection with 365Talents Services are listed in the Annex D-1 and shall not process Customer Personal Data in connection with any other Docebo Services.. Docebo shall notify the Customer of any addition or replacement of Sub-processors that is applicable to the Service used by the Customer, and all such notifications will be sent thirty (30) days before the intended engagement via Customer’s email as stated in the Agreement, or where applicable, in Customer’s Docebo platform and/or provided by Customer’s designated administrators via the Docebo software. The Customer shall notify Docebo within thirty (30) days of the date of its receipt of Docebo’s notice whether it has any objections to the list of Sub-processors, in which case, the Parties will meet to discuss the Customer’s objections, acting reasonably and in good faith. If Docebo cannot reasonably accommodate a solution to the Customer’s objection, then the Customer may terminate the Agreement and this DPA, by notice to Docebo. If the Customer does not object to the change(s) within thirty (30) days of the date of its receipt of Docebo’s notice, then the amendment(s) in the notice and the use of the new Sub-processor will be deemed accepted by the Customer.

3.3 Docebo will remain responsible for any acts or omissions of its Sub-processors to the same extent that Docebo would be liable if performing the Services of each Sub-processor directly under the terms of this DPA. 

4. Compliance with Laws.

4.1 Each Party will comply with the Data Protection Laws applicable to it and binding on it in its respective access to and performance of the Services.

4.2 The Customer acknowledges that Docebo is not responsible for determining the requirements of all laws applicable to the Customer’s business or that Docebo’s provision of the Services meets or will meet the requirements of such laws. The Customer will ensure that Docebo’s Processing of Customer Personal Data, when done in accordance with Customer’s instructions, will not cause Docebo to violate any applicable law, regulation, or rule, including, without limitation, Data Protection Laws. Docebo shall promptly notify the Customer, in writing, unless prohibited from doing so under Data Protection Laws, if it becomes aware or believes that any data processing instruction from the Customer violates any Data Protection Laws.

4.3 The Customer represents and warrants that (a) it has complied, and will continue to comply with Data Protection Laws, in respect of its Processing of Customer Personal Data and any Processing instructions it issues to Docebo; (b) it has provided, and will continue to provide, all notice and information required to comply with the transparency requirements under Data Protection Laws (iii) and has obtained, and will continue to obtain, all consents and rights necessary under Data Protection Laws for Docebo to Process Customer Personal Data for the purposes described in the Agreement.

4.4 The Customer shall have sole responsibility for the accuracy, quality, and legality of Customer Personal Data and the means by which the Customer acquired Customer Personal Data. Without prejudice to the generality of the foregoing, the Customer agrees that it shall be responsible for complying with all laws (including Data Protection Laws) applicable to any content created, sent, or managed through the Services.

5. Security Responsibilities of Docebo.

5.1 Docebo shall implement and maintain appropriate technical and organizational security measures that are designed to protect Customer Personal Data from Security Breaches and designed to preserve the security and confidentiality of Customer Data in accordance with Docebo’s information protection and security standards.  For the purpose of 365Talents Services, these standards are summarised in the document titled “Security Assurance Plan”  as in effect on the Effective Date of the Agreement available at https://trust.365talents.com/ and as updated from time to time. For all the other Docebo Services, these standards are summarised in Annex A of this DPA  (the “IPSS”) as in effect on the Effective Date of the Agreement, available at https://www.docebo.com/tos/Docebo_DPA_Annex_A_EN.pdf and as updated from time to time. Docebo reserves the right to make changes to the IPSS and the Security Assurance Plan (as applicable), from time to time, to reflect technological developments and industry best practices; provided that such changes do not result in any objective degradation to the security of Customer Data, the manner in which the Services are provided or which fall below the standard of any applicable law. 

5.2 The technical and organizational security measures implemented by Docebo include (and will include at all material times), at a minimum, the following:

a) Docebo has implemented and will maintain appropriate procedures to ensure that unauthorized persons will not have access to Customer Data and to the systems used to process Customer Data, and that any persons authorized to have access to Customer Data will protect and maintain its confidentiality and security;

b) Docebo has implemented and will maintain appropriate measures to ensure that all employees and contractors involved in the processing of Customer Data are authorized personnel with a need to access the data, are bound by appropriate confidentiality obligations, and have undergone appropriate training in the protection and handling of Customer Data;

c) Docebo will take reasonable steps to ensure the reliability of any personnel who have access to Customer Data; and

d) Docebo will not copy or reproduce any Customer Data, except as technically necessary to provide the Services or as otherwise established in the Agreement or to comply with statutory data retention rules.

5.3 The Customer declares and confirms, as of the Effective Date of the Agreement, to have evaluated the security measures implemented by Docebo as providing an appropriate level of protection for the Customer Data, taking into account the risk associated with the processing of such information.

5.4 Notwithstanding the above, the Customer agrees that except as provided in this DPA, the Customer is responsible for its secure use of the Services, including securing its account authentication credentials and any API credentials (if applicable), protecting the security of Customer Data when in transit to and from the Services, and taking any appropriate steps to securely encrypt or backup any Customer Data uploaded to the Services.

6. Security Breach Provisions.

6.1 If Docebo becomes aware of a Security Breach, then Docebo shall, without undue delay: (a) notify Customer of the Security Breach; and (b) take reasonable steps to mitigate the effects and to minimize any damage resulting from the Security Breach. 

6.2 In the event of a Security Breach, Docebo shall provide the Customer with all reasonable assistance in dealing with the Security Breach, in particular in relation to making any notification to a Supervisory Authority or any communication to Data Subject. In order to provide such assistance, and taking into account the nature of the Services and the information available to Docebo, the notification of the Security Breach shall include, at a minimum, the following:

1. A description of the nature of the Security Breach including the categories and approximate number of data records concerned;

2. The likely consequences of the Security Breach; and

3. The measures taken or to be taken by Docebo to address the Security Breach, including measures to mitigate any possible adverse consequences;

6.3 Where, and insofar as, it is not possible for Docebo to provide such information at the time of the notice, then such notice shall nevertheless be made, in as complete a form as possible, and the remaining required information may be provided by Docebo, in phases and as it shall become available, without undue delay.

6.4 The Customer agrees that:

1. Any Unsuccessful Security Incident shall not be subject to the obligations imposed on Docebo under this Section 6. An “Unsuccessful Security Incident” occurs where there has been no unauthorized access to Customer Personal Data or to any Docebo controlled systems used to Process Customer Personal Data which may include, without limitation, pings and other broadcast attacks on firewalls or edge server, port scans, unsuccessful login attempts, denial of service attack, packet sniffing or similar incidents; and

2. Docebo’s obligation to report or respond to a Security Breach under this Section 6 is not and will not be construed as an acknowledgement by Docebo of any fault or liability of Docebo with respect to the Security Breach.

6.5 Notification of a Security Breach shall be made via email as provided in the Customer’s Docebo platform.

7. Data Quality, Retrieval, Return, and Destruction.

7.1 Docebo will update, correct, or delete Customer Personal Data on the Customer’s request. 

7.2 Upon termination or expiration of the Agreement (including any Transition Services period, if applicable), when requested by Customer, Docebo will (at the Customer’s election) delete or return to the Customer all of the Customer Personal Data (including copies) in its possession or control, except that this requirement shall not apply to the extent that Docebo is required by applicable law to retain some or all of the Customer Personal Data, or to the Customer Personal Data it has archived on back-up systems, which Docebo shall securely isolate, protect from any further Processing, treat as Confidential Information of the Customer, and eventually delete in accordance with Docebo’s deletion policies, except to the extent required by applicable law. 

7.3 On request from the Customer, Docebo will provide a portable copy of the Customer Personal Data in accordance with the Data Protection Laws with respect to Personal Data.

7.4 Any costs incurred by Docebo arising from Sections 7.1 to 7.3 shall be borne by Docebo. Any further costs incurred by Docebo arising from the Customer’s specific requests that are different from the ones described in Sections 7.1 to 7.3 shall be borne by the Customer. Docebo shall provide an estimate of any such costs, which shall be agreed in writing by the Parties.

7.5 Notwithstanding the general requirements of Section 7.2, the Customer acknowledges that the Docebo Software relies on Amazon Web Services (“AWS”) except for 365Talents Services, which rely on Microsoft Azure (“MS”), and Docebo can only perform logical deletion. Terminated Customer Data stored in the Docebo Software is rendered unreadable or disabled by AWS and/or MS, as applicable, and the underlying storage areas on their network that were used to store the information are wiped, prior to being reclaimed and overwritten, in accordance with AWS and/or MS’s standard policies including a secure decommissioning process. Docebo will carry out the logical deletion within either (i) ninety (90) days for purposes of 365Talents Services or (ii) sixty (60) days for all other Docebo Services from the termination of the Agreement and, on the Customer request and may provide the Customer with written confirmation of such deletion.

8. Information Security Assessment.

8.1 Docebo will provide to the Customer and its duly authorized designees, during the term of this DPA, the information necessary to demonstrate the adequacy of Docebo’s information security measures and compliance with each applicable Data Protection Law. 

8.2 Docebo has obtained the third-party certifications and audits set forth in Docebo’s information protection and security standards. Upon the Customer’s written request, and subject to the confidentiality obligations set forth in the Agreement, Docebo shall make available to the Customer (or the Customer’s independent, third-party auditor that is not a competitor of Docebo) a copy of Docebo’s most recent third-party audits or certifications, as applicable.

8.3 Upon request by Customer, Docebo may provide pre-filled and up to date information security related questionnaires based on commercially reasonable and industry benchmarked standards of reasonable comprehensiveness and completeness that allow the Customer to review and assess how security risks are managed by Docebo. The Customer acknowledges and agrees that, provided that such questionnaires adhere to the foregoing standard, such questionnaires shall be deemed to fulfill any Customer supplier’s assessment initiative and the Customer agrees to waive any submission to Docebo of any other questionnaire covering materially the same information, which is based on any other format.

8.4 The Customer is responsible for reviewing the information made available by Docebo relating to data security and making an independent determination as to the adequacy of the provisions of this DPA in relation to the provision of the Services in meeting the Customer’s requirements and legal obligations.

8.5 Docebo will allow for and contribute to verifications, including inspections, related to information and data security matters, subject to the following conditions: 

1. The Customer may commission, at its own expenses, an independent expert, whose appointment shall be subject to Docebo’s prior written approval, which shall not be unreasonably withheld, conditioned, or delayed; or

2. The Customer may directly perform all reasonable activities to check the measures taken by Docebo in furtherance of such matters, according to a methodology and timetable to be agreed upon between the Parties (acting reasonably and in good faith), and in accordance with Docebo’s standard, commercially reasonable policies with respect to the conduct of such verifications, as they may then be in effect.

3. Verifications will be conducted no more than annually except cases required by law, when required by instruction of Supervisory Authority, or following a Security Breach.

8.6 Subject to Docebo’s prior written approval, the Customer may conduct, directly or through third parties (whose appointment shall also be subject to Docebo’s prior written approval), and at its own expenses, penetration tests and vulnerability scans. Docebo shall allow such activities according to a methodology and timetable that will be agreed upon between the Parties (acting reasonably and in good faith) before starting any pen test activities, and in accordance with Docebo’s standard, commercially reasonable policies with respect to such penetration tests and vulnerability scans, available in the Docebo Trust Center or 365Talents Trust Center, as applicable, upon Customer’s request. Such activities will be conducted on an annual basis and in any case no more than once every four months, upon agreement with Docebo. Customer will promptly provide to Docebo a copy of any resulting report of any penetration test or vulnerability scan completed.

9. Assistance on Data Protection Impact Assessment. To the extent required under applicable Data Protection Laws, Docebo will (taking into account the nature of the processing and the information available to Docebo) provide all reasonably requested information regarding the Services to enable the Customer (or, where Customer is a Data Processor, the relevant Data Controller’s) to carry out data protection impact assessments or prior consultations with data protection authorities, as required by such Data Protection Laws. Docebo shall comply with the foregoing by: (a) complying with Section 8 (Information Security Assessment); (b) providing the information contained in the Agreement, including this DPA; and (c) if the foregoing clauses (a) and (b) are insufficient for the Customer to comply with such obligations, upon request, providing additional reasonable assistance (at the Customer’s expense).

10. International Transfers.

10.1 The Customer acknowledges that Docebo may transfer and process Customer Personal Data to and in the United States and anywhere else in the world where Docebo, Docebo Affiliates or its Sub-processors maintain data processing operations as set out in this Section 10 in accordance with Section 3. Docebo shall, at all times, take all such measures as are necessary to ensure that such transfers are made in compliance with the requirements of Data Protection Laws.

10.2 The Customer agrees that Docebo and its Sub-processors may carry out data Processing operations in countries that are outside of the country in which the Customer Personal Data originates even where the Parties agreed that Docebo will host Customer Personal Data in a specific country and, if such Processing is necessary for the operation of the Docebo Software or to provide support-related services to, or other services requested by, the Customer. Specifically, the Customer agrees that the provision of support services, as set out in the Agreement, may require access to Customer Personal Data by Docebo’s Affiliates and Sub-processors on an as needed basis from Europe, the United States, the United Kingdom, and/or Canada. In the case of any international Processing of Customer Personal Data, the transfer of Customer Personal Data will be subject to the transfer mechanisms set out in this Section 10.

10.3 To the extent that Docebo is a recipient of Customer Personal Data protected by EU Data Protection Laws  in a country outside of European Economic Area that is not recognized as providing an adequate level of protection for Personal Data by the European Commission (as described in applicable EU Data Protection Law), the Parties agree to:

1. rely on the Data Privacy Framework as a legal basis for transfers of Customer Personal Data in the United States, in compliance with the Data Privacy Principles or

2. abide by the Standard Contractual Clauses, which are incorporated by reference and form an integral part of this DPA, when the Data Privacy Framework will not be applicable or is invalid under the applicable Data Protection Law. For the purposes of the descriptions in the Standard Contractual Clauses, Docebo agrees that it is the “data importer” and the Customer is the “data exporter”. To the extent that: (a) the Customer is acting as a Data Controller of Customer Personal Data and Docebo is acting as a Data Processor of Customer Personal Data, Module Two of the Standard Contractual Clauses shall apply to such transfers of Customer Personal Data; and (b) the Customer is acting as a Data Processor of Customer Personal Data and Docebo is acting as a Data Processor of Customer Personal Data, Module Three of the Standard Contractual Clauses shall apply to such transfers of Customer Personal Data. 

10.4 To the extent that Docebo is a recipient of Customer Personal Data originating from Switzerland and the transfer of Customer Personal Data are subject to the FADP to a country that is not recognized as providing an adequate level of protection for Personal Data as described in FADP, the Parties agree to abide by the Standard Contractual Clauses including the following additional requirements specific to such transfers only:

1. the term ‘Member State’ shall be amended to include Switzerland;

2. any references to the GDPR are to be understood as references to the FADP;

3. the competent supervisory authority under Clause 13 of the Standard Contractual Clauses shall be the Federal Data Protection and Information Commissioner;

4. the applicable law for contractual claims under Clause 17 of the Standard Contractual Clauses shall be Swiss law;

5. any contractual claim arising under Clause 18(b) of the Standard Contractual Clauses shall be resolved by the courts of Switzerland.

10.5 To the extent that Docebo is the recipient of Customer Personal Data governed by UK Data Protection Law in a country that is not recognized as providing an adequate level of protection for Personal Data as described in UK Data Protection Law, the Parties agree to:

1. rely on the Data Privacy Framework as a legal basis for transfers of Customer Personal Data in the United States, in compliance with the Data Privacy Principles or

2. abide by the United Kingdom International Data Transfer Addendum as set forth in Annex E, which is incorporated by reference and forms an integral part of this DPA, when the Data Privacy Framework will not be applicable or is invalid under the applicable Data Protection Law.

10.6 To the extent Docebo adopts a lawful alternative data export mechanism for the transfer of Customer Personal Data not described in this DPA (“Alternative Transfer Mechanism”), the Alternative Transfer Mechanism shall apply instead of the transfer mechanisms described in this DPA (but only to the extent such Alternative Transfer Mechanism complies with applicable Data Protection Laws). In addition, if and to the extent that a court of competent jurisdiction or Supervisory Authority orders (for whatever reason) that the measures described in this DPA cannot be relied on to lawfully transfer Customer Personal Data to any country not recognized as providing an adequate level of protection for Personal Data as described in the applicable Data Protection Laws, Docebo may implement any additional measures or safeguards that may be reasonably required to enable the lawful transfer of Customer Personal Data.

11. Subject Access Requests and Other Communications.

11.1 Docebo shall, to the extent it may be legally permitted, promptly notify the Customer if Docebo receives a request from a Data Subject to exercise the Data Subject’s right of access, right to rectification, restriction of Processing, erasure (i.e., “right to be forgotten”), data portability, objection to the Processing, or its right not to be subject to an automated individual decision making, or any other request to exercise rights granted by Data Protection Laws (with each such request being a “Data Subject Request”). If Docebo receives a Data Subject Request in relation to Customer Personal Data, Docebo will advise the Data Subject to submit their request to the Customer and the Customer will be responsible for responding to such request. For the avoidance of doubt, Docebo shall not be obligated to grant a Data Subject Request where the Data Subject is not entitled to the relief sought. 

11.2 Docebo shall, at the request of the Customer, and taking into account the nature of the Processing, assist the Customer (or, where Customer is a Data Processor, the relevant Data Controller’s) by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Customer’s obligation to respond to a Data Subject Request under the Data Protection Laws and/or in demonstrating such compliance, where possible; provided that (a) the Customer is itself unable to respond without Docebo’s assistance and (b) Docebo is legally permitted to do so and the response to such Data Subject Request is required under the Data Protection Laws. To the extent legally permitted, the Customer shall be responsible for any reasonable costs arising from the Customer’s request for such assistance by Docebo.

12. Permitted Disclosures of Customer Data.

12.1 Docebo may disclose Customer Data to the extent such data is required to be disclosed by law, by any government or regulatory authority, or by a valid and binding order of a law enforcement agency (such as a subpoena or court order), or other authority of competent jurisdiction.

12.2 If any law enforcement agency government or regulatory authority sends Docebo a demand for disclosure of the Customer Data, then Docebo will attempt to redirect the law enforcement agency government or regulatory authority to request that data directly from the Customer and Docebo is entitled to provide the Customer’s basic contact information to such law enforcement agency government or regulatory authority. 

12.3 If compelled to disclose Customer Data pursuant to Section 12.1, then Docebo will give the Customer reasonable notice of the demand to allow the Customer to seek a protective order or other appropriate remedy.

13. Artificial Intelligence settings. Docebo shall not use Customer Personal Data for the development and improvement of the applicable artificial intelligence functionalities, unless the Customer, or its designated administrators, has instructed Docebo otherwise via the mechanism available in the Docebo platform and to the extent of delivering tailored services and recommendations for the Customer’s sole benefit. 

14. Liability; Limitations. Each Party’s and all of its Affiliates’ liability, taken together and in the aggregate, arising out of or related to this DPA shall, in all cases, be limited to the extent that the same shall have been caused by such Party’s actions, and shall be further subject to the exclusions and limitations of liability set forth in the Agreement, to the extent permitted by applicable Data Protection Laws.

15. Entire Agreement. This DPA supersedes and replaces all prior representations, understandings, communications, and agreements by and between the Parties in relation to the matters set forth in this DPA.

16. Jurisdiction Specific Terms.

16.1 To the extent Docebo Processes Customer Personal Data originating from and protected by Data Protection Laws in one of the jurisdictions listed in this Section 16 then the terms specified in Section 16, with respect to the applicable jurisdiction(s) (“Jurisdiction-Specific Terms”) apply in addition to the terms of the DPA. In the event of any conflict or ambiguity between the Jurisdiction-Specific Terms and any other terms of the DPA, the applicable Jurisdiction-Specific Terms will prevail, but only to the extent of the Jurisdiction-Specific Terms’ applicability to Docebo.

16.2 State of California (US).

1. As it relates to the DPA, each of the following defined terms shall be further interpreted to include certain terms as they are defined under the CCPA: (i) “Data Controller” shall include “Business”; (ii) “Data Processor” shall include “Service Provider” and (iii) “Personal Data” shall include “Personal Information”.

2. Docebo shall Process Customer Personal Data only for the Business Purposes described in the DPA and in accordance with the Customer’s documented lawful instructions as set forth in the DPA, as necessary to comply with applicable law, as otherwise agreed in writing, including, without limitation, in the Agreement, or as otherwise may be permitted for “Service Providers” under the CCPA.

3. Notwithstanding any use restriction contained elsewhere in the DPA, Docebo shall retain, use or disclose Customer Personal Data only to perform the Services and/or in accordance with the Customer’s documented lawful instructions, except where otherwise required by applicable law.

4. Docebo shall not Sell or Share Customer Personal Data or combine for any purpose other than to perform the Services specified in the Agreement.

5. Docebo may Deidentify Customer Personal Data as part of performing the Services specified in the DPA and the Agreement and in accordance with limitation on Services Providers under the CCPA. Docebo commits not to re-identify any Customer deidentified data Docebo processes on behalf of Customer.

6. Where Sub-processors Process Customer Personal Data, Docebo shall ensure that such Sub-processors are Service Providers under the CCPA with whom Docebo has entered into a written contract that includes terms substantially similar to the DPA or are otherwise exempt from the CCPA’s definition of “sale”. Docebo conducts appropriate due diligence on its Sub-processors. 

7. Docebo’s obligations regarding Data Subject Requests, as described in Section 11 of the DPA, shall apply to Consumer’s rights under the CCPA.

8. Docebo will notify Customer if Docebo determines that it can no longer meet its obligations under the CCPA.

16.3 The People’s Republic of China (Excluding Hong Kong, Macao, and Taiwan).

As it relates to the DPA, the following terms shall be defined as below:

(i) “Personal Data” means “personal information” defined under the Personal Information Protection Law of the People’s Republic of China (“PIPL”);

(ii) “Data Controller” means “personal information processor” defined under the PIPL;

(iii) “Data Processor” means “entrusted party” under article 21 of the PIPL;

(iv) “Process”, “Processing” or “Processed” means any operation or set of operations which is performed upon Customer Data, including Personal Data, whether or not by automated means, including but not limited to any collection, storage, use, handling, transmission, provision, disclosure and deletion thereof; 

(v) “Sensitive Data” means the personal information that is likely to result in damages to the personal dignity of any natural person or damages to his or her personal or property safety once divulged or misappropriated, including the personal information regarding biometric identification, religious belief, specific identity, medical health, financial account and whereabouts and tracks, as well as the personal information of minors under the age of 14, or any other information that falls within the definition of “sensitive personal information” under the PIPL.

The Parties acknowledge and agree that each Sub-processor listed in Annex D and Annex D-1 is a sub-entrusted party under article 21 of the PIPL and Docebo’s engagement of such sub-entrusted party has been agreed by Customer.

Customer shall obtain all approval, authorization, certification, permission and/or exemption from competent government authorities or qualified third party professional institutions that are required for Customer to process, and engage Docebo as the entrusted party to process (including transferring out of China), the Customer Personal Data.

Where Docebo or any Sub-entrusted party outside the People’s Republic of China (excluding Hong Kong, Macao, and Taiwan) Processes Customer Personal Data to perform the Services according to the Agreement and the DPA, it shall be deemed a cross-border Personal Data transfer under the PIPL and both Customer and Docebo shall implement adequate and applicable procedural and contractual measures to ensure that such transfers are made in compliance with the requirements of the PIPL. If the Customer requires the parties enter into the Standard Contract for outbound cross-border transfer of Personal Information, promulgated by the Cyberspace Administration of China under the Measures for the Standard Contract for Outbound Cross-border Transfer of Personal Information, effective on 1 June 2023 (“Chinese SCC”), Docebo will send such Chinese SCC for the Customer to fill in and sign, which will form an integral part of this DPA.

17. Conflicts. In the event of any conflict or inconsistency between this DPA and the Agreement, the provisions of the following documents (in order of precedence) will prevail: (a) the Standard Contractual Clauses; then (b) this DPA; and then (c) the Agreement.

18. Translations. Foreign translations of this DPA are reading translations only. In the event of any questions of interpretation or ambiguities, the English language version of this DPA will be binding and prevail.

19. Annexes. The following Annexes are provided via the links except for Annex B and are incorporated herein by reference.

Annex A – “Information Protection and Security Standards”. This annex is available, as amended from time to time, at:  https://www.docebo.com/tos/Docebo_DPA_Annex_A_EN.pdf.

Annex B – “Details of Data Processing and Notification Referents”.

Annex C – “European Union Standard Contractual Clauses”. This annex is available, as amended (by law only) from time to time, at:  https://www.docebo.com/tos/Docebo_DPA_Annex_C_EN.pdf.

Annex D – “Sub-processors List”. This annex is available, as amended from time to time in accordance with Section 3.1, at: https://tos.docebo.com/Docebo-sub-processors-list.pdf.

Annex D-1 – “365Talents Sub-processors List”. This annex is available, as amended from time to time in accordance with Section 3.1, at: https://tos.docebo.com/365Talents-sub-processors-list.pdf.

Annex E – “United Kingdom International Data Transfer Addendum”. This annex is available, as amended (by law only) from time to time, at: https://tos.docebo.com/DPA_Annex_+E_UK_SCCs.pdf 

ANNEX B

Details of Data Processing and Notification referents

DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

• The categories of Data Subjects are:
  • Customer personnel
  • Personnel of Customer’s customers and partners
  • Other:

Categories of personal data transferred

• The categories of Personal Data transferred are determined and controlled by the Customer may include:

365Talents Services:

• First and last name
• Contact details (email address)
• Skills mapping/evaluation/analysis
• Resume and job experience
• Professional motivations and interests
• Mobility offers/missions     

Docebo Services:

• First and last name
• Contact details (email address)      
• Formal learning tracking information (course completion status, final results/score, 
• certificates)
• Informal learning tracking (asset publication/fruition tracking, asset ranking)
• Questions/Answers tracking
• Learning skill mapping/evaluation
• Tax ID (only applicable if the e-commerce feature is activated)
• Recordings and transcripts derived from the activity via the use of AI functionalities in the Services that may perform such data processing 
• AI-generated simulation report (only in the AI functionality that may perform such data processing)
• Other:

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

No sensitive data will be transferred from the data exporter to the data importer. 

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

The frequency of the transfer will be on a continuous basis.

Nature of the processing.

The nature of the Processing of Personal Data is to provide the Services in accordance with the Agreement.

Purpose(s) of the data transfer and further processing.

Docebo will Process Personal Data as necessary to perform the Services pursuant to the Agreement, as further specified in the DPA, and as further instructed by Customer in its use of the Services.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period.

Unless otherwise agreed in writing, the period for which the Personal Data will be retained until sixty (60) days following the termination or expiration of the Agreement.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing.

The subject matter and nature of the processing by Sub-processors are specified in Annex D and Annex D-1 of the DPA. The duration of the processing carried out by Sub-processors following the termination or expiration of the Agreement, unless otherwise agreed, is (i) ninety (90) days for purposes of 365Talents Services or (ii) sixty (60) days for all other Docebo Services.

---

FR

Le présent Avenant relatif au Traitement des Données (le présent « ATD ») représente l’accord des Parties concernant le Traitement des Données Client, y compris les Données à caractère personnel du Client, par Docebo pour le compte du Client aux fins de l’exécution des Services. Celui-ci fait partie du Contrat, tel que mis à jour de temps à autre. Les termes en majuscules utilisés dans le présent ATD, mais qui n’y sont pas autrement définis dans les présentes, ont la même signification dans le présent ATD que celle qui leur est donnée dans le Contrat. La signature du Contrat par le Client vaut signature du présent ATD et des Clauses Contractuelles Types, y compris les annexes et les appendices (le cas échéant).

1. Définitions.

«Services 365Talents » désigne la solution logicielle, incluant l’hébergement, la sécurité, l’implémentation, la maintenance corrective et corrective, le support et l’exploitation d’une ou plusieurs applications développées et provisionnées par l’Affilié 365Talents SAS de Docebo (« 365Talents »), et mises à disposition du Client sur abonnement.

« Affilié » désigne une entité qui, directement ou indirectement, est contrôlée par ou est sous contrôle commun avec une entité, le terme « contrôle » désignant quant à lui, aux fins de la présente définition, une participation, un droit de vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts alors en circulation de l’entité en question.

« Données à caractère personnel du Client » désigne toutes les Données à caractère personnel appartenant au Client, qui sont Traitées par Docebo dans le cadre de la fourniture des Services en vertu du Contrat.

« Responsable du Traitement des Données » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel.

 « Cadre de Confidentialité des Données » désigne le Cadre de Confidentialité des Données UE-US, le Cadre de Confidentialité des Données Suisse-États-Unis et l’extension britannique des programmes d’autocertification du Cadre de Confidentialité des données UE-US (le cas échéant) exploités par le Ministère Américain du Commerce ; tel qu’il peut être modifié, annulé ou remplacé.

« Principes de Confidentialité des Données » désigne les Principes de Confidentialité des Données contenus dans le Cadre de Confidentialité des Données applicable ; tels qu’ils peuvent être complétés, modifiés, annulés ou remplacés.

« Sous-Traitant des Données » désigne toute personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des Données à caractère personnel pour le compte d’un Responsable du Traitement ou sur instruction d’un autre Sous-Traitant agissant pour le compte d’un Responsable du Traitement.

 « Lois sur la Protection des Données » désigne toutes les lois et réglementations applicables relatives au traitement des Données à caractère personnel et à la confidentialité qui peuvent exister dans les juridictions concernées, y compris, le cas échéant, la Loi sur la Protection des Données de l’UE et Les lois sur la Protection des Données hors UE.

« Personne Concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel. Cela comprend la définition de « Consommateur » en vertu de la CCPA, de la VCDPA, de l’UCPA, de la CPA et de la CTCPA.

« Affilié Docebo » désigne les sociétés affiliées, filiales ou sociétés sœurs de Docebo (sociétés contrôlées par la même société mère) qui peuvent aider à exécuter les Services et être engagées dans le Traitement des Données à caractère personnel du Client.

« Loi sur la Protection des Données de l’UE » désignetoutes les lois et réglementations en matière de protection des données applicables au sein de l’Espace Economique Européen, y compris (a) le Règlement 2016/679 du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (le « RGPD ») ; b) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la confidentialité dans le secteur des communications électroniques ; et (c) les mises en œuvre nationales applicables de (a) et (b).

 « Lois sur la Protection des Données hors UE » désigne la Loi Britannique sur la Protection des Données ; la Loi Canadienne sur la Protection des Informations Personnelles et les Documents Electroniques (« LPRPDE »); la Loi Brésilienne Générale sur la Protection des Données (« LGPD »), la Loi Fédérale nº 13 709/2018 (« LGPD ») ; la Privacy Act 1988 (Cth) Australienne, telle que modifiée (« Loi australienne sur la confidentialité ») ; la Loi Suisse sur la Protection des Données (« FADP ») ; et la Loi sur la Protection des Informations Personnelles de la République Populaire de Chine (« PIPL ») la Loi Californienne sur la Protection de la Confidentialité des Consommateurs (California Consumer Privacy Act, Cal. Civ. Code) § 1798.100 et suivants, tel que modifié par la California Privacy Rights Act de 2020, et ses règlements d’application (la « CCPA ») ; et toutes les lois et réglementations des États fédérés américains régissant la protection des Données à caractère personnel, dans la mesure où elles s’appliquent au Traitement des Données à caractère personnel des Parties en vertu du présent ATD.

 « Données à caractère personnel » désigne (i) toute donnée ou information relative à une personne vivante identifiée ou identifiable, y compris les informations qui peuvent être liées, directement ou indirectement, à une Personne Concernée particulière ou (ii) qui sont par ailleurs des « informations à caractère personnel », des « informations personnellement identifiables » ou des informations définies de manière similaire en vertu des Lois sur la Protection des Données applicables.

« Traiter », « Traitement » ou « Traitées » désigne toute opération ou ensemble d’opérations effectuées sur les Données du Client, y compris les Données à caractère personnel, que ce soit par des moyens automatisés ou non, conformément aux définitions données à ces termes dans le RGPD.

« Violation de la sécurité » désigne une violation de la sécurité de Docebo entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux Données à caractère personnel du Client transmises, stockées ou autrement traitées.

« Données Sensibles » désigne toute information nécessitant un degré accru de protection des données en vertu des Lois sur la Protection des Données, y compris, mais sans s’y limiter : (a) le numéro de sécurité sociale, le numéro de passeport, le numéro de permis de conduire ou un identifiant similaire (ou toute partie de celui-ci) ; (b) le numéro de carte de crédit ou de débit (autre que les quatre derniers chiffres tronqués d’une carte de crédit ou de débit) ; (c) des informations financières, génétiques, biométriques ou de santé ; (d) l’appartenance, l’origine ethnique, l’opinion politique ou religieuse, l’affiliation à un syndicat ou les informations relative à la vie sexuelle ou l’orientation sexuelle ; ou (e) d’autres informations qui relèvent de la définition des « catégories spéciales de données » en vertu de la Loi sur la Protection des Données de l’UE, de la Loi Britannique sur la Protection des Données ou relèvent de la définition d’« informations personnelles sensibles » en vertu de la CCPA.

 « Services » désigne tous les Services fournis par Docebo conformément au Contrat et tels que définis dans celui-ci.

 « Clauses Contractuelles Types » désigne les Clauses Contractuelles Types pour le transfert de Données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil approuvé par la Décision d’exécution (UE) 2021/914 de la Commission Européenne du 4 juin 2021, jointes aux présentes en tant qu’Annexe C ; telles qu’elles peuvent être modifiées, annulées ou remplacées.    

« Sous-traitant ultérieur » désigne tout Affilié de Docebo et tout sous-traitant engagé dans le Traitement des Données à caractère personnel du Client en relation avec les Services et comme détaillé dans l’Annexe D et l’Annexe D-1.

« Autorité de Contrôle » désigne toute autorité réglementaire, de surveillance, gouvernementale ou autre autorité compétente ayant juridiction ou surveillant le respect des Lois relatives à la Protection des Données.

« Loi Britannique sur la Protection des Données » désigne l’ensemble des lois et réglementations relatives à la protection des données applicables au Royaume-Uni, y compris (a) la Loi sur la Protection des Données de 2018 (Data Protection Act 2018) et (b) le Règlement Général sur la Protection des Données (GDPR), tels qu’incorporés dans la Loi Britannique en vertu du Règlement sur la Protection des Données, la Confidentialité et les Communications Electroniques (amendement, etc.) (sortie de l’UE) de 2019 (« UK GDPR »), chacun tel que modifié, complété ou remplacé de temps à autre.

 « Objectif commercial », « Anonymiser » et « Action » ont les significations respectives données dans la CCPA. « Vente » a la signification donnée dans la CCPA, la VCDPA, l’UCPA, la CPA et la CTCPA. En cas de conflit au sens des termes de la CCPA, de la VCDPA, de l’UCPA, de la CPA et de la CTCPA, les parties conviennent que la définition figurant dans les Lois applicables sur la Protection des Données hors UE s’appliquera dans la mesure du conflit.

2. Nomination et Traitement des Données.

2.1 Sous réserve des termes du Contrat, le Client est le Responsable du Traitement des Données à caractère personnel du Client (ou un Sous-Traitant des Données qui a été chargé par le ou les Responsable(s) du Traitement des Données tiers et a obtenu son (leur) autorisation pour conclure le présent ATD au nom et pour le compte du ou desdits Responsable(s) du Traitement des Données). Le Client est responsable de l’obtention de toutes les autorisations et approbations nécessaires pour saisir, utiliser, fournir, stocker et traiter les Données à caractère personnel du Client afin de permettre à Docebo de fournir les Services.

2.2 Le Client, en tant que Responsable du Traitement, désigne par la présente Docebo en tant que Sous-Traitant des Données pour toutes les opérations de Traitement à effectuer par Docebo sur les Données à caractère personnel du Client afin de fournir les Services conformément aux termes du Contrat. Docebo est le Sous-Traitant des Données à caractère personnel du Client, sauf si Docebo agit en tant que Responsable du Traitement traitant les Données à caractère personnel du Client conformément à la liste des finalités figurant à la Clause 2.5.

2.3 Docebo ne collectera, conservera, utilisera, divulguera et Traitera les Données à caractère personnel du Client que conformément aux instructions documentées et légales du Client telles qu’énoncées dans le Contrat et le présent ATD, dans la mesure nécessaire pour se conformer aux Lois applicables sur la Protection des Données, ou autrement convenu par écrit. Les Parties conviennent que le Contrat, le présent ATD ainsi que la Documentation et la configuration et la mise en œuvre des Services par le Client définissent les instructions complètes du Client à Docebo en ce qui concerne le Traitement des Données à caractère personnel du Client. Tout Traitement sortant du cadre de ces instructions (le cas échéant) devra faire l’objet d’un accord écrit préalable entre les Parties et sera soumis à tous les frais supplémentaires que Docebo pourrait encourir pour mettre en œuvre ces instructions supplémentaires. Si, pour quelque raison que ce soit, Docebo refuse de se conformer à de telles instructions supplémentaires, le Client peut alors résilier le Contrat (et le présent ATD), sauf si les instructions du Client enfreignent les Lois sur la Protection des Données ou toute autre loi applicable.

2.4 Le Client donne instruction à Docebo de Traiter les Données à caractère personnel du Client collectées aux fins suivantes : (a) Traitement conformément au Contrat et au présent ATD ; (b) Traitement initié par les Utilisateurs Finaux dans le cadre de leur utilisation des Services ; et (c) Traitement pour se conformer à d’autres instructions raisonnables documentées fournies par le Client lorsque ces instructions sont compatibles avec les termes du Contrat. Docebo traitera les Données à caractère personnel du Client conformément au présent ATD pendant la durée des Services, et le présent ATD prendra fin lorsque les Données à caractère personnel du Client ne seront plus stockées et Traitées par Docebo.

2.5 Docebo peut Traiter les Données à caractère personnel du Client à ses propres fins commerciales légitimes, à condition que le Traitement soit strictement nécessaire, proportionné et qu’il comprenne l’une des finalités suivantes : (a) la facturation, la gestion du compte et de la relation Client ; (b) le respect des obligations légales, des exigences fiscales, des accords associés et des litiges potentiels, et (c) le dépistage des virus et la prévention de la fraude. En dehors de ces objectifs, Docebo reconnaît n’avoir aucun droit, titre ou intérêt sur les Données à caractère personnel du Client et ne peut pas vendre ou louer les Données à caractère personnel du Client à quiconque.

2.6 L’objet et la durée du Traitement, la nature et la finalité du Traitement, le type de Données à caractère personnel qui seront Traitées, et les catégories de Personnes Concernées dont les Données à caractère personnel sont transférées à Docebo comme indiqué dans le Contrat, y compris le présent ADT, sont spécifiés dans l’Annexe B, jointe aux présentes.

2.7 Sauf accord contraire de Docebo, le Client ne fournira pas (ou ne fera pas fournir) de Données Sensibles à Docebo pour Traitement dans le cadre du Contrat, et Docebo n’aura aucune responsabilité quelle qu’elle soit pour les Données Sensibles, que ce soit en lien avec une Violation de  la sécurité ou autre. De la même manière, nous restreignons la gestion des identifiants de compte et autres données de connexion, qui pourraient être qualifiées de Données Sensibles selon certaines Lois sur la Protection des Données.

2.8 Docebo tiendra des registres écrits complets, précis et à jour de toutes les activités de Traitement effectuées pour le compte du Client, contenant les informations requises par les Lois applicables sur la Protection des Données.

2.9 Par l’utilisation du Logiciel Docebo, au moyen des fonctions d’intégration de la place de marché de Docebo, comme décrit plus en détail dans le Contrat, le Client, via son ou ses administrateurs, peut choisir d’accorder à des tiers la visibilité des Données Client. Rien dans le présent ATD n’interdit (et, pour éviter tout doute, les Clauses 3, 7 et 10 ne s’appliquent pas) à Docebo de transférer ou de rendre visibles les Données Client à des tiers conformément à la présente Clause 2.9, selon les instructions du Client ou des Utilisateurs Finaux par le biais du Logiciel Docebo. La présente Clause ne s’applique à aucun Traitement des Données à caractère personnel du Client en lien avec les Services 365Talents et par conséquent, les Services 365Talents ne sont pas couverts par les autorisations ou exclusions prévues dans la présente Clause 2.9.

3. Dispositions relatives à la Sous-Traitance

3.1 Général

a) Le Client reconnaît et accepte que les Affiliés de Docebo puissent être retenues comme Sous-traitants ultérieurs, et que Docebo et les Affiliés de Docebo, respectivement, puissent engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services, pour remplir ses obligations contractuelles en vertu du présent ATD, ou pour fournir certains Services en son nom, comme la fourniture de Services de support à Docebo. Docebo et les Affiliés de Docebo ont conclu et maintiendront un accord écrit avec chaque Sous-traitant ultérieurs contenant des obligations de protection des données non moins protectrices que celles du présent ATD en ce qui concerne la protection des Données à caractère personnel du Client dans la mesure applicable à la nature des Services fournis par ce Sous-traitant ultérieur.

b) Docebo utilise actuellement les Sous-traitants ultérieurs indiqués aux Annexe D et Annexe D-1. Le Client reconnaît et accepte que Docebo puisse engager différents Sous-traitant ultérieurs selon les Services Docebo spécifiques achetés par le Client , comme indiqué dans le Bon de Commande ou CDC applicable. Pour éviter tout doute, les Sous-traitant ultérieurs engagés uniquement dans le cadre des Services 365Talents sont listés dans l’Annexe D-1 et ne doivent pas traiter les Données à caractère personnel du Client en lien avec d’autres Services Docebo. Docebo notifiera le Client de toute addition ou remplacement de Sous-traitant ultérieurs applicable au Service utilisé par le Client, et toutes ces notifications seront envoyées trente (30) jours avant l’engagement prévu via l’email du Client tel qu’indiqué dans le Contrat, ou, le cas échéant, sur la plateforme Docebo du Client et/ou fourni par les administrateurs désignés du Client via le Logiciel Docebo. Le Client notifiera à Docebo dans les trente (30) jours suivant la date de réception de la notification de Docebo s’il a des objections à la liste des Sous-traitants ultérieurs, auquel cas les Parties se rencontreront pour discuter des objections du Client, agissant raisonnablement et de bonne foi. Si Docebo ne peut raisonnablement trouver une solution à l’objection du Client, celui-ci peut alors résilier le Contrat et le présent ATD, en adressant une notification à Docebo. Si le Client ne s’oppose pas à la ou aux modifications dans les trente (30) jours à compter de la date de réception de la notification de Docebo, la ou les modifications prévues dans  la notification et le recours au nouveau Sous-traitant ultérieur seront réputés acceptés par le Client.

c) Docebo restera responsable de tout acte ou omission de ses Sous-traitants ultérieurs dans la même mesure que Docebo serait responsable si Docebo exécutait les Services de chaque Sous-traitant ultérieur directement selon les termes du présent ATD.

4. Conformité aux Lois.

4.1 Chaque Partie se conformera aux Lois sur la Protection des Données qui lui sont applicables et qui la lient dans son accès et son exécution respectifs des Services.

4.2 Le Client reconnaît que Docebo n’est pas responsable de la détermination des exigences de toutes les lois applicables à l’activité du Client ou que la fourniture des Services par Docebo répond ou répondra aux exigences de ces lois. Le Client s’assurera que le Traitement par Docebo des Données à caractère personnel du Client, lorsqu’il est effectué conformément à ses instructions, n’amènera pas Docebo à enfreindre une loi, un règlement ou une règle applicable, y compris, mais sans s’y limiter, les Lois sur la Protection des Données. Docebo informera rapidement le Client, par écrit, à moins que les Lois sur la Protection des Données ne l’interdisent, si Docebo apprend ou estime qu’une instruction de traitement des Données Client viole les Lois sur la protection des données.

4.3 Le Client déclare et garantit que (a) il s’est conformé et continuera à se conformer aux Lois sur la Protection des Données, en ce qui concerne le Traitement des Données à caractère personnel du Client qu’il effectuera et toutes instructions de Traitement qu’il fournit à Docebo ;  (b) il a fourni, et continuera de fournir, tous les avis et informations nécessaires pour se conformer aux exigences de transparence prévues par les Lois sur la Protection des Données; et (c) a obtenu, et continuera d’obtenir, tous les consentements et droits nécessaires en vertu des Lois sur la Protection des Données pour que Docebo réalise le Traitement des Données à caractère personnel du Client aux fins décrites dans le Contrat.

4.4 Le Client aura la responsabilité exclusive de l’exactitude, de la qualité et de la légalité des Données à caractère personnel ainsi que des moyens par lesquels il les a acquises. Sans préjudice de la généralité de ce qui précède, le Client convient qu’il est responsable de se conformer à toutes les lois (y compris les Lois sur la Protection des Données) applicables à tout contenu créé, envoyé ou géré via les Services.

5. Responsabilités de Docebo en matière de Sécurité.

5.1 Docebo mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées, conçues pour protéger les Données à caractère personnel du Client contre les Violations de la sécurité et conçues pour préserver la sécurité et la confidentialité des Données Client conformément aux normes de protection et de sécurité des informations de Docebo. Aux fins des Services 365Talents, ces normes sont résumées dans le document intitulé « Security Assurance Plan » applicable   à la date d’entrée en vigueur du Contrat disponible à  https://trust.365talents.com/ et régulièrement mis à jour. Pour les autres Services Docebo, ces normes sont jointes aux présentes en tant qu’Annexe A, tel qu’il est en vigueur à la date d’entrée en vigueur du Contrat, et tel qu’il est modifié, de temps à autre, et disponible à l’adresse https://www.docebo.com/tos/Docebo_DPA_Annex_A_EN.pdf. Docebo se réserve le droit d’apporter des modifications aux normes de protection et de sécurité des informations et le Security Assurance Plan (le cas échéant), de temps à autre, pour refléter les développements technologiques et les meilleures pratiques du secteur ; à condition, que ces modifications n’entraînent aucune dégradation objective de la sécurité des Données Client, de la manière dont les Services sont fournis ou qui soient inférieures au standard de toute loi applicable.

5.2 Les mesures de sécurité techniques et organisationnelles mises en œuvre par Docebo comprennent (et comprendront à tout moment), au minimum, les éléments suivants :

a) Docebo a mis en place et maintiendra des procédures appropriées pour garantir que les personnes non autorisées n’auront pas accès aux Données Client et aux systèmes utilisés pour traiter les Données Client, et que toute personne autorisée à avoir accès aux Données  Client protégera et maintiendra leur confidentialité et leur sécurité ;

b) Docebo a mis en place et maintiendra des mesures appropriées pour s’assurer que tous les employés et sous-traitants impliqués dans le traitement des Données Client sont des personnels autorisés ayant besoin d’accéder aux données, sont liés par des obligations de confidentialité appropriées, et ont suivi une formation appropriée à la protection et au traitement des Données Client ;

c) Docebo prendra des mesures raisonnables pour s’assurer de la fiabilité de tout personnel ayant accès aux Données Client ; et

d) Docebo ne copiera ni ne reproduira aucune Donnée Client, sauf si cela est techniquement nécessaire pour fournir les Services ou autrement établi dans le Contrat ou pour se conformer aux règles légales de conservation des données.

5.3 Le Client déclare et confirme, à compter de la Date d’Entrée en vigueur du Contrat, avoir évalué les mesures de sécurité mises en œuvre par Docebo comme assurant un niveau de protection approprié des Données Client, compte tenu du risque associé au traitement de ces informations.

5.4 Nonobstant ce qui précède, le Client accepte que, sauf disposition contraire du présent ATD, le Client est responsable de son utilisation sécurisée des Services, y compris la sécurisation de ses identifiants d’authentification de compte et de tout identifiant API (le cas échéant), la protection de la sécurité des Données Client lors du transit vers et depuis les Services, et la prise de  toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les Données Client téléchargées sur les Services.

6. Dispositions relatives aux Violation de la sécurité.

6.1 Si Docebo prend connaissance d’une Violation de la sécurité, Docebo doit, sans délai injustifié : (a) notifier au Client la Violation de la sécurité ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de la Violation de la sécurité.

6.2 En cas de Violation de la sécurité, Docebo fournira au Client toute l’assistance raisonnable pour y faire face, notamment en ce qui concerne toute notification à une Autorité de Contrôle ou toute communication à la Personne Concernée. Afin de fournir une telle assistance, et compte tenu de la nature des Services et des informations dont dispose Docebo, la notification de la Violation de la sécurité doit inclure, au minimum, les éléments suivants :

a) Une description de la nature de la Violation de la sécurité, y compris les catégories et le nombre approximatif d’enregistrements de données concernés ;

b) Les conséquences probables de la Violation de la sécurité ; et

c) Les mesures prises ou à prendre par Docebo pour remédier à la Violation de la sécurité, y compris les mesures visant à atténuer les éventuelles conséquences négatives ;

6.3 Lorsque, et dans la mesure où, il n’est pas possible pour Docebo de fournir ces informations au moment de la notification, cette dernière doit néanmoins être faite, sous une forme aussi complète que possible, et les autres informations requises peuvent être fournies par Docebo, par phases et au fur et à mesure de leur disponibilité, sans retard injustifié.

6.4 Le Client accepte que :

a) Tout Incident de Sécurité Infructueux ne sera pas soumis aux obligations imposées à Docebo en vertu de la présente Clause 6. Un « Incident de Sécurité Infructueux » se produit lorsqu’il n’y a pas eu d’accès non autorisé aux Données à caractère personnel du Client ou à tout système contrôlé par Docebo utilisé pour Traiter les Données à caractère personnel du Client, ce qui peut inclure, sans s’y limiter, des pings et d’autres attaques de diffusion sur les pares-feux ou le serveur périphérique, les analyses de port, tentatives de connexion infructueuses, une attaque par déni de service, l’analyse de paquets ou des incidents similaires ; et

b) L’obligation de Docebo de signaler ou de répondre à une Violation de la sécurité en vertu de la présente Clause 6 n’est pas et ne sera pas interprétée comme une reconnaissance par Docebo de toute faute ou responsabilité de Docebo en ce qui concerne la Violation de la sécurité.

6.5 La notification d’une Violation de la sécurité doit être effectuée par courrier électronique comme prévu sur la plate-forme Docebo du Client.

7. Qualité, Extraction, Retour et Destruction des Données.

7.1 Docebo mettra à jour, corrigera ou supprimera les Données à caractère personnel du Client à la demande de ce dernier.

7.2 À la résiliation ou à l’expiration du Contrat (y compris toute période de Services de Transition, le cas échéant), à la demande du Client, Docebo supprimera (au choix du Client) ou restituera au Client toutes les Données à caractère personnel du Client (y compris les copies) en sa possession ou sous son contrôle. Cette exigence ne s’applique pas dans le cas où Docebo est tenue par la loi applicable de conserver tout ou partie des Données à caractère personnel du Client, ou aux Données à caractère personnel du Client que Docebo a archivées sur des systèmes de sauvegarde, que Docebo doit en toute sécurité isoler, protéger de tout Traitement ultérieur, traiter comme des Informations Confidentielles du Client et éventuellement supprimer conformément aux politiques de suppression de Docebo, sauf dans la mesure requise par la loi applicable.

7.3 Sur demande du Client, Docebo fournira une copie portable des Données à caractère personnel du Client conformément aux Lois sur la Protection des Données à l’égard des Données à caractère personnel.

7.4 L’ensemble des frais encourus par Docebo découlant des Clauses 7.1 à 7.3 seront à la charge de Docebo. Tous les frais supplémentaires encourus par Docebo résultant des demandes spécifiques du Client qui sont différentes de celles décrites dans les Clauses 7.1 à 7.3 seront à la charge du Client. Docebo fournira une estimation de ces coûts, qui seront convenus par écrit par les Parties.

7.5 Nonobstant les exigences générales de la Clause 7.2, le Client reconnaît que le Logiciel Docebo s’appuie sur Amazon Web Services (« AWS ») sauf pour les Services 365Talents qui reposent sur Microsoft Azure («MS »), et Docebo ne peut effectuer qu’une suppression logique. La suppression des Données Client stockées dans le Logiciel Docebo entraine leur illisibilités ou leur désactivation par AWS et/ou MS, le cas échéant, et les zones de stockage sous-jacentes sur le réseau qui ont été utilisées pour stocker les informations sont effacées, avant d’être récupérées et écrasées, conformément aux politiques standard d’AWS et/ou MS, y compris un processus de déclassement sécurisé. Docebo procédera à la suppression logique soit (i) quatre-vingt-dix (90) jours pour les Services 365Talents ou (ii) soixante (60) jours pour tous les autres Services Docebo à compter de la résiliation du Contrat et, à la demande du Client, pourra fournir au Client une confirmation écrite de cette suppression.

8. Évaluation de la Sécurité de l’Information.

8.1 Docebo fournira au Client et à ses représentants dûment autorisés, pendant la durée du présent ATD, les informations nécessaires pour démontrer l’adéquation des mesures de sécurité des informations de Docebo et la conformité à chaque Loi applicable sur la Protection des Données.

8.2 Docebo a obtenu les certifications et audits de tiers définis dans les normes de protection et de sécurité des informations de Docebo. Sur demande écrite du Client, et sous réserve des obligations de confidentialité énoncées dans le Contrat, Docebo mettra à la disposition du Client (ou de l’auditeur tiers indépendant du Client qui n’est pas un concurrent de Docebo) une copie des audits ou certifications tiers les plus récents de Docebo, selon le cas.

8.3 Sur demande du Client,Docebo pourra fournir des questionnaires préremplis et à jour sur la sécurité des informations, basés sur des normes commercialement raisonnables et des normes de référence de l’industrie raisonnablement complètes et exhaustives  qui permettent au Client d’examiner et d’évaluer la gestion des risques de sécurité par Docebo. Le Client reconnaît et accepte que, à condition que ces questionnaires respectent la norme qui précède, ces questionnaires seront réputés répondre à toute initiative d’évaluation du fournisseur du Client et le Client accepte de renoncer à toute soumission à Docebo de tout autre questionnaire sous tout autre format et couvrant matériellement les mêmes informations.

8.4 Le Client est responsable de l’examen des informations mises à disposition par Docebo relatives à la sécurité des données et de la détermination indépendante de l’adéquation des dispositions du présent ATD en relation avec la fourniture des Services pour répondre aux exigences du Client et aux obligations légales.

8.5 Docebo autorisera et contribuera aux vérifications, y compris les inspections, relatives aux questions de sécurité des informations et des données, sous réserve des conditions suivantes :

a) Le Client peut mandater, à ses propres frais, un expert indépendant, dont la nomination sera soumise à l’approbation écrite préalable de Docebo, qui ne pourra être refusée, conditionnée ou retardée de manière déraisonnable ; ou

b) Le Client peut effectuer directement toutes les activités raisonnables pour vérifier les mesures prises par Docebo dans le cadre de ces questions, selon une méthodologie et un calendrier à convenir entre les parties (agissant raisonnablement et de bonne foi), et conformément aux politiques standard et commercialement raisonnables de Docebo concernant la conduite de ces vérifications, telles qu’elles peuvent alors être en vigueur.

c) Les vérifications ne seront pas effectuées plus d’une fois par an, sauf dans les cas requis par la loi, lorsque cela est requis par les instructions de l’Autorité de Contrôle ou à la suite d’une Violation de la sécurité.

8.6 Sous réserve de l’approbation écrite préalable de Docebo, le Client peut mener, directement ou par l’intermédiaire de tiers (dont la nomination sera également soumise à l’approbation écrite préalable de Docebo), et à ses propres frais, des tests d’intrusion et des analyses de vulnérabilité. Docebo autorisera de telles activités selon une méthodologie et un calendrier qui seront convenus entre les Parties (agissant raisonnablement et de bonne foi) avant de commencer toute activité de test d’intrusion, et conformément aux politiques standard et commercialement raisonnables de Docebo concernant de tels tests de pénétration et analyses de vulnérabilité, disponibles dans le Docebo Trust Center ou le 365Talents Trust Center, à la demande du Client. Ces activités seront menées sur une base annuelle et en tout cas pas plus d’une fois tous les quatre mois, après accord avec Docebo. Le Client fournira rapidement à Docebo une copie de tout rapport résultant de tout test de pénétration ou analyse de vulnérabilité terminé.

9. Assistance pour l’Evaluation de l’Impact sur la Protection des Données. Dans la mesure requise par les Lois sur la Protection des Données applicables, Docebo fournira (en tenant compte de la nature du traitement et des informations à sa disposition) toutes les informations raisonnablement demandées concernant les Services pour permettre au Client (ou, lorsque le Client est un Responsable du Traitement des Données, au Responsable du Traitement des Données concerné) de réaliser des évaluations d’impact sur la protection des données ou des consultations préalables avec les autorités de protection des données, comme l’exigent les Lois applicables sur la Protection des Données. Docebo se conformera à ce qui précède en : (a) se conformant à la Clause 8 (Évaluation de la sécurité des informations) ; (b) fournissant les informations contenues dans le Contrat, y compris le présent ATD ; et (c) si les clauses précédentes (a) et (b) sont insuffisantes pour que le Client se conforme à ces obligations, sur demande, en fournissant une assistance supplémentaire raisonnable (aux frais du Client).

10. Transferts Internationaux.

10.1 Le Client reconnaît que Docebo peut transférer et traiter les Données à caractère personnel du Client vers et aux États-Unis et partout ailleurs dans le monde où Docebo, les Affiliés de Docebo ou ses Sous-traitants ultérieurs maintiennent des opérations de traitement de données comme indiqué dans la présente Clause 10 conformément à la Clause 3. Docebo doit, à tout moment, prendre toutes les mesures nécessaires pour s’assurer que ces transferts sont effectués en conformité avec les exigences des Lois sur la Protection des Données.

10.2 Le Client accepte que Docebo et ses Sous-traitants ultérieurs puissent effectuer des opérations de Traitement de données dans des pays situés hors du pays d’origine des Données à caractère personnel du Client, même lorsque les Parties ont convenu que Docebo hébergera des Données à caractère personnel du Client dans un pays spécifique et si un tel Traitement est nécessaire à l’opération du Logiciel Docebo ou pour fournir des services liés à l’assistance ou d’autres services demandés par le Client. En particulier, le Client accepte que la fourniture de services d’assistance, tels que définis dans le Contrat, puisse nécessiter l’accès aux Données à caractère personnel du Client par les Affiliés et Sous-Traitants ultérieurs selon les besoins de Docebo en Europe, aux États-Unis, au Royaume-Uni et/ou au Canada. Dans le cas d’un Traitement international de Données à caractère personnel du Client, le transfert de Données à caractère personnel du Client sera soumis aux mécanismes de transfert définis dans la présente Clause 10.

10.3 Dans la mesure où Docebo est destinataire de Données à caractère personnel du Client protégées par les Lois sur la Protection des Données de l’UE, en dehors de l’Espace Économique Européen vers un pays qui n’est pas reconnu comme offrant un niveau adéquat de protection des Données à caractère personnel par la Commission Européenne (comme décrites dans la Loi applicable en matière de Protection des Données de l’UE), les Parties acceptent de :

a) s’appuyer sur le Cadre de Confidentialité des Données comme base juridique pour les transferts de Données à caractère personnel des Clients aux États-Unis, en conformité avec les Principes de Confidentialité des Données ou

b) se conformer aux Clauses Contractuelles Types, qui sont incorporées par référence et font partie intégrante du présent ATD, lorsque le Cadre de Confidentialité des Données ne sera pas applicable ou est invalide en vertu des Lois applicables en matière de Protection des Données. Aux fins des descriptions dans les Clauses Contractuelles Types, il est convenu que Docebo est l’« importateur de données » et que le Client est l’« exportateur de données ». Dans la mesure où : (a) le Client agit en tant que Responsable du Traitement des Données à caractère personnel du Client et Docebo agit en tant que Sous-traitant des Données à caractère personnel du Client, le module deux des Clauses Contractuelles Types s’applique à ces transferts de Données à caractère personnel du Client ; et (b) le Client agit en tant que Sous-traitant des Données à caractère personnel du Client et Docebo agit en tant que Sous-traitant des Données à caractère personnel du Client, le module trois des Clauses Contractuelles Types s’appliquera à ces transferts de Données à caractère personnel du Client.  

10.4 Dans la mesure où Docebo est destinataire de Données à caractère personnel du Client provenant de Suisse et que le transfert de Données à caractère personnel du Client est soumis à la FADP vers un pays qui n’est pas reconnu comme offrant un niveau adéquat de protection des Données à caractère personnel tel que décrit dans le FADP, les Parties acceptent de se conformer aux Clauses Contractuelles Types, y compris les exigences supplémentaires suivantes spécifiques à ces transferts uniquement :

a) le terme « État Membre » est modifié pour inclure la Suisse ;

b) toute référence au RGPD doit être comprise comme une référence à la FADP ;

c) l’autorité de contrôle compétente en vertu de la Clause 13 des Clauses Contractuelles Types est le Commissaire Fédéral à la Protection des Données et à l’Information.

d) le droit applicable aux réclamations contractuelles en vertu de la Clause 17 des Clauses Contractuelles Types est le droit Suisse.

e) toute réclamation contractuelle découlant de la Clause 18(b) des Clauses Contractuelles Types doit être résolue par les tribunaux Suisses.    

10.5 Dans la mesure où Docebo est le destinataire des Données à caractère personnel du Client régies par la Loi Britannique sur la Protection des Données dans un pays qui n’est pas reconnu comme offrant un niveau adéquat de protection des Données à caractère personnel comme décrites dans la Loi Britannique sur la Protection des Données, les Parties acceptent de :

a) s’appuyer sur le Cadre de Confidentialité des Données comme base juridique pour les transferts de Données à caractère personnel des Clients aux États-Unis, en conformité avec les Principes de Confidentialité des Données ou

b) se conformer à l’Addendum relatif au Transfert International de Données du Royaume-Uni tel qu’énoncé à l’Annexe E, qui est incorporé par référence et fait partie intégrante du présent ATD, lorsque le Cadre de Confidentialité des Données ne sera pas applicable ou est invalide en vertu de la Loi applicable en matière de Protection des Données.

10.6 Dans la mesure où Docebo adopte un mécanisme d’exportation de données alternatif légal pour le transfert de Données à caractère personnel du Client non décrit dans le présent ATD (« Mécanisme de Transfert Alternatif »), le Mécanisme de Transfert Alternatif s’appliquera à la place des mécanismes de transfert décrits dans le présent ATD (mais uniquement dans la mesure où ce Mécanisme de Transfert Alternatif est conforme aux Lois sur la  Protection des Données). En outre, si et dans la mesure où un tribunal compétent ou une Autorité de Contrôle ordonne (pour quelque raison que ce soit) que les mesures décrites dans le présent ATD ne peuvent pas être invoquées pour transférer légalement des Données à caractère personnel du Client vers un pays qui n’est pas reconnu comme offrant un niveau adéquat de protection des Données à caractère personnel comme décrites dans les Lois sur la Protection des Données, Docebo peut mettre en œuvre toutes les mesures ou garanties supplémentaires qui peuvent être raisonnablement requises pour permettre le transfert légal des Données à caractère personnel du Client.

11. Demandes d’accès par la Personne Concernée et Autres Communications.

11.1 Docebo, dans la limite de ce qui est autorisé, notifiera rapidement le Client si Docebo reçoit une demande d’une Personne Concernée pour exercer son droit d’accès, de rectification, de limitation du Traitement, d’effacement (c’est-à-dire son « droit à l’oubli »), de portabilité des données, d’objection au Traitement, ou son droit de ne pas faire l’objet d’une décision individuelle automatisée, ou toute autre demande d’exercice des droits accordés par les Lois sur la Protection des Données (chacune de ces demandes étant une « Demande d’une Personne Concernée »). Si Docebo reçoit une Demande de la Personne Concernée concernant les Données à caractère personnel du Client, Docebo devra conseiller à la Personne Concernée de soumettre sa demande au Client, et ce dernier sera en charge de répondre à cette demande. Pour éviter toute ambiguïté, Docebo ne sera pas obligée d’accéder à une Demande de la Personne Concernée lorsque la Personne Concernée n’a pas droit à la réparation demandée.

11.2 Docebo, à la demande du Client, et en tenant compte de la nature du Traitement, assistera le Client (ou, lorsque le Client est un Sous-Traitant des Données, le Responsable du Traitement des Données concerné) par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l’exécution de l’obligation du Client de répondre à une Demande de la Personne Concernée en vertu des Lois sur la Protection des Données et/ou pour démontrer cette conformité, si possible ; à condition que (i) le Client soit lui-même incapable de répondre sans l’assistance de Docebo et (ii) Docebo soit légalement autorisée à le faire, et que la réponse à cette Demande de  la Personne Concernée soit requise en vertu des Lois sur la Protection des Données. Dans la mesure autorisée par la loi, le Client sera responsable de tous les frais raisonnables découlant de la demande du Client d’une telle assistance par Docebo.

12. Divulgations autorisées des Données Client.

12.1 Docebo peut divulguer des Données Client dans la mesure où ces données doivent être divulguées par la loi, par tout gouvernement ou autorité réglementaire, ou par une ordonnance valide et contraignante d’un organisme chargé de l’application de la loi (comme une citation à comparaître ou une ordonnance d’un tribunal), ou une autre autorité de la juridiction compétente.

12.2 Si un organisme d’application de la loi, un gouvernement ou une autorité de réglementation envoie à Docebo une demande de divulgation des Données client, Docebo tentera de rediriger l’organisme d’application de la loi, le gouvernement ou l’autorité de réglementation pour demander ces données directement au Client et Docebo est autorisée à fournir les coordonnées de base du Client à cet organisme d’application de la loi, ce gouvernement ou cette autorité de réglementation.

12.3 Si Docebo est contrainte de divulguer les Données Client conformément à la Clause 12.1, Docebo donnera au Client un préavis raisonnable de la demande afin de lui permettre d’avoir recours à une ordonnance de protection ou tout autre recours approprié.

13. Paramètres d’intelligence artificielle. Docebo ne doit pas utiliser les Données à caractère personnel du Client pour le développement et l’amélioration des fonctionnalités d’intelligence artificielle applicables, à moins que le Client, ou ses administrateurs désignés, n’aient donné des instructions contraires à Docebo via le mécanisme disponible sur la plateforme Docebo et dans la mesure de fournir des services et des recommandations personnalisés au seul bénéfice du Client.

14. Responsabilité et Limites.  La responsabilité de chaque Partie et de tous ses Affiliés, pris ensemble et dans leur ensemble, découlant de ou liée au présent ATD sera, dans tous les cas, limitée à la mesure où celle-ci aura été causée par les actions de cette Partie, et sera en outre soumise aux exclusions et limitations de responsabilité énoncées dans le Contrat, dans la mesure permise par les Lois sur la Protection des Données applicables.

15. Intégralité du Contrat. Le présent ATD annule et remplace toutes les représentations, ententes, communications et accords antérieurs par et entre les Parties en ce qui concerne les questions énoncées dans le présent ATD.

16. Conditions Spécifiques à la Juridiction.

16.1 Dans la mesure où Docebo Traite des Données à caractère personnel du Client provenant des Lois sur la Protection des Données, et protégées par ces mêmes lois, dans l’une des juridictions énumérées dans la présente Clause 16, alors les conditions spécifiées dans la Clause 16, en ce qui concerne la(les) juridiction(s) applicable(s) (« Conditions Spécifiques à la Juridiction ») s’appliquent en plus des conditions du présent ATD. En cas de conflit ou d’ambiguïté entre les Conditions Spécifiques à la Juridiction et toute autre condition du présent ATD, les Conditions Spécifiques à la Juridiction applicables prévaudront, mais uniquement dans la mesure où celles-ci s’appliquent à Docebo.

16.2 État de Californie (États-Unis).

a) En ce qui concerne le présent ATD, chacun des termes définis suivants doit être interprété plus en détail pour inclure certains termes tels qu’ils sont définis dans le cadre de la CCPA : (i) « Responsable du Traitement des Données » inclut « Entreprise » ; (ii) « Sous-Traitant des Données » comprend « Prestataire de services » ; et (iii) « Données à caractère personnel » comprend « Informations Personnelles ».

b) Docebo Traitera les Données à caractère personnel du Client uniquement pour les Objectifs Commerciaux décrits dans le présent ATD et conformément aux instructions légales documentées du Client telles qu’énoncées dans le présent ATD, dans la mesure nécessaire pour se conformer à la loi applicable, comme convenu autrement par écrit, y compris, mais sans s’y limiter, dans le Contrat, ou tel qu’autrement autorisé pour les « Prestataires de Services » en vertu de la CCPA.

c) Nonobstant toute restriction d’utilisation contenue ailleurs dans le présent ATD, Docebo ne conservera, n’utilisera et ne divulguera les Données à caractère personnel du Client que pour exécuter les Services et/ou conformément aux instructions légales documentées du Client, sauf si la loi applicable l’exige.

d) Docebo ne vendra ni ne partagera les Données à caractère personnel du Client ni n’agira à d’autres fins que pour exécuter les Services spécifiés dans le Contrat.

e) Docebo peut Anonymiser les Données à caractère personnel du Client dans le cadre de l’exécution des Services spécifiés dans l’ATD et le Contrat et conformément à la limitation des Prestataires de Services en vertu de la CCPA. Docebo s’engage à ne pas réidentifier les données anonymisées  du Client que Docebo traite pour le compte du Client.

f) Lorsque les Sous-traitants ultérieurs traitent les Données à caractère personnel du Client, Docebo doit s’assurer que ces Sous-traitants ultérieurs sont des Prestataires de Services en vertu de la CCPA avec lesquels Docebo a conclu un Contrat écrit, qui comprend des conditions substantiellement similaires au présent ATD ou sont autrement exemptés de la définition de « vente » de la CCPA. Docebo effectue une diligence raisonnable appropriée sur ses Sous-traitants ultérieurs.

g) Les obligations de Docebo concernant les demandes des Personnes Concernées, telles que décrites à la Clause 11 du présent ATD, s’appliquent aux droits du Consommateur en vertu de la CCPA.

h) Docebo informera le Client si Docebo détermine qu’elle ne peut plus respecter ses obligations en vertu de la CCPA.

16.3 La République populaire de Chine (hors Hong Kong, Macao et Taïwan).

a) En ce qui concerne le présent ATD, les termes suivants seront définis comme suit :

(i)   « Données à caractère personnel » désigne les « informations personnelles » définies par la Loi sur la Protection des Informations Personnelles de la République Populaire de Chine (« PIPL ») ;

(ii)  « Responsable du Traitement des Données » signifie « processeur d’informations personnelles » comme défini dans la PIPL ;

(iii) « Sous-Traitant des Données » signifie « partie mandatée » en vertu de l’article 21 de la PIPL ;

(iv) « Traiter », « Traitement » ou « Traitées » désigne toute opération ou ensemble d’opérations effectuées sur les Données Client, y compris les Données à caractère personnel, que ce soit par des moyens automatisés, y compris, mais sans s’y limiter, toute collecte, stockage, utilisation, manipulation, transmission, mise à disposition, divulgation et suppression ;

(v) « Données Sensibles » désigne les informations personnelles susceptibles de porter atteinte à la dignité personnelle de toute personne physique ou à sa sécurité personnelle ou à ses biens une fois divulguées ou détournées, y compris les informations personnelles concernant l’identification biométrique, les croyances religieuses, l’identité, la santé médicale, le compte financier ainsi que la localisation et le suivi, ou encore les informations personnelles des mineurs de moins de 14 ans, ou toute autre information entrant dans la définition des « informations personnelles sensibles » en vertu de la PIPL.

b) Les Parties reconnaissent et conviennent que chaque Sous-traitant ultérieur énuméré à l’Annexe D et Annexe D-1 est une partie sous-traitante en vertu de la clause 21 de la PIPL et que l’engagement par Docebo de cette partie sous-traitante a été convenu par le Client.

c) Le Client doit obtenir toutes les approbations, autorisations, certifications, autorisations et/ou exemptions des autorités gouvernementales compétentes ou des institutions professionnelles tierces qualifiées qui sont nécessaires pour que le Client traite et engage Docebo en tant que partie mandatée pour traiter (y compris le transfert hors de Chine), les Données à caractère personnel du Client.

d) Lorsque Docebo ou toute partie sous-déléguée en dehors de la République Populaire de Chine (à l’exception de Hong Kong, Macao et Taïwan) réalise le Traitement les Données à caractère personnel du Client pour exécuter les Services conformément au Contrat et au présent ATD, cela sera considéré comme un transfert transfrontalier de Données à caractère personnel en vertu de la PIPL, et le Client et Docebo doivent mettre en œuvre des mesures procédurales et contractuelles adéquates et applicables pour garantir que ces transferts sont effectués conformément aux exigences de la PIPL. Si le Client exige que les parties concluent le Contrat Type pour le transfert transfrontalier sortant d’Informations à caractère Personnel, promulgué par l’Administration du Cyberespace de Chine en vertu des Mesures pour le Contrat Type pour le Transfert Transfrontalier sortant d’Informations à caractère Personnel, en vigueur le 1er juin 2023 (« CCP chinois »), Docebo enverra ce CCP Chinois pour que le Client le remplisse et le signe, qui fera partie intégrante du présent ATD.

17. Conflits. En cas de conflit ou d’incohérence entre le présent ATD et le Contrat, les dispositions des documents suivants (par ordre de priorité) prévaudront : (a) les Clauses Contractuelles Types ; puis (b) le présent ATD ; puis (c) le Contrat.

18. Traductions. Les traductions en langues étrangères du présent ATD ne sont que des traductions de lecture. En cas de questions d’interprétation ou d’ambiguïtés, la version Anglaise du présent ATD sera contraignante et prévaudra.

19. Annexes. Les Annexes suivantes sont fournies via les liens à l’exception de l’Annexe B et sont incorporées ici par référence.

Annexe A – « Normes de protection et de sécurité des informations ». Cette annexe est disponible, telle que modifiée de temps à autre, à l’adresse suivante :  https://www.docebo.com/tos/Docebo_DPA_Annex_A_EN.pdf.

Annexe B – « Coordonnées des référents du Traitement des Données et  de notification » – voir ci-dessus

Annexe C – « Clauses Contractuelles Types de l’Union Européenne ». Cette annexe est disponible, telle que modifiée (par la loi uniquement) de temps à autre, à l’adresse suivante :  https://www.docebo.com/tos/Docebo_DPA_Annex_C_EN.pdf.

Annexe D – « Liste des Sous-Traitants ultérieurs ». Cette annexe est disponible, telle que modifiée de temps à autre conformément à la clause 3.1, à l’adresse suivante : https://tos.docebo.com/Docebo-sub-processors-list.pdf.

Annexe D-1 – « Liste des Sous-Traitants ultérieurs 365Talents ». Cette annexe est disponible, telle que modifiée de temps à autre conformément à la Clause 3.1, à l’adresse suivante : https://tos.docebo.com/365Talents-sub-processors-list.pdf.

Annexe E – « Addendum relatif au Transfert International de Données du Royaume-Uni ». Cette annexe est disponible, telle que modifiée (par la loi uniquement) de temps à autre, à l’adresse suivante : https://tos.docebo.com/DPA_Annex_+E_UK_SCCs.pdf