Conditions de confidentialité

Last Update: November 14, 2025

Entrée en vigueur : 14 août 2023

Les présentes Conditions de confidentialité de l’annonceur Taboola (« Conditions de confidentialité de l’annonceur ») s’appliquent aux services de publicité numérique de Taboola, par exemple lorsque Taboola distribue du contenu de l’annonceur via sa plate-forme de distribution, Taboola Dynamic Creative Optimization (DCO), ou GenAI Landing Page conformément à un accord entre Taboola et un annonceur (« Accord »), et les présentes Conditions de confidentialité de l’annonceur sont réputées intégrées à tout Accord et en font partie intégrante.  Les présentes Conditions de confidentialité de l’annonceur identifient les rôles et responsabilités de Taboola et de l’annonceur en matière de données personnelles.

En cas de conflit entre les Conditions de confidentialité de l’annonceur et le Contrat, les Conditions de confidentialité de l’annonceur régiront la mesure de ce conflit, à moins que la disposition contradictoire du Contrat ne fasse expressément référence à la disposition contradictoire des présentes Conditions de confidentialité de l’annonceur et précise qu’elle prévaut sur cette disposition contradictoire.

Les termes définis dans la présente section ont le sens indiqué ci-dessous, et les termes apparentés doivent être interprétés en conséquence. Les termes en majuscules utilisés mais non définis dans les Conditions de confidentialité de l’annonceur ont la signification définie dans le Contrat.

      1. « Lois applicables sur la protection des données » désigne toute loi fédérale, nationale, étatique ou autre sur la protection de la vie privée et des données qui s’applique au traitement faisant l’objet du Contrat et des présentes Conditions de l’Annonceur, telles qu’elles peuvent être modifiées ou remplacées de temps à autre.
      2. « Données collectées » désigne les Données Personnelles que chaque partie collecte auprès des Personnes Concernées sur ou via leurs serveurs ou réseaux (y compris toutes les données collectées passivement ou lisibles par machine, telles que les données basées sur le type de navigateur et les identifiants d’appareil) dans le cadre de la fourniture ou de la réception des Services.
      3. « Traitant » désigne : (i) une entité qui détermine les finalités et les moyens du Traitement des Données à Caractère Personnel, et (ii) toute personne entrant dans le champ d’application du terme « responsable du traitement » (ou tout terme substantiellement analogue) tel que défini par les Lois sur la Protection des Données applicables.
      4. « California Privacy Law » signifie California Consumer Privacy Act de 2018, Cal. Code civil § 1798.100 et suivants (« CCPA »), tel que modifié (y compris par la loi californienne sur le droit à la vie privée), ainsi que toute loi subordonnée et tout règlement d’application.
      5. « Personne concernée » désigne : (i) une personne physique identifiée ou identifiable (et, à ces fins, une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne entrant dans le champ d’application du terme « personne concernée », « consommateur » (ou tout terme substantiellement analogue) tel que défini par les lois sur la protection des données.
      6. « EU Data Protection Law » désigne: (i) le règlement général sur la protection des données EU (Règlement 2016/679) (« EU GDPR »); (ii) la directive EU e-Privacy (Directive 2002/58/CE); et (iii) toute loi nationale sur la protection des données prise en vertu ou en application des points (i) ou (ii), chacun pouvant être modifié ou remplacé de temps à autre.
      7. « Fins autorisés » S’entend au sens de l’article 3.
      8. « Données personnelles » désigne toute information relative à une personne concernée (y compris, lorsque la Loi sur la protection des données applicable l’exige, les identifiants uniques de navigateur ou d’appareil), comme indiqué à l’annexe A, partie B.
      9. « Processus » désigne toute opération ou ensemble d’opérations effectuées sur des Données à Caractère Personnel ou sur des ensembles de Données à Caractère Personnel, que ce soit par des moyens automatisés ou non, tels que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, l’agrégation, la déduction, la dérivation, l’analyse, la restriction, l’effacement, la destruction ou l’élimination ou tout autre traitement des Données à Caractère Personnel, y compris la manière dont ce terme est défini dans la Loi sur la Protection des Données Applicable.
      10. « Sous-traitant » désigne : (i) une entité qui traite des données à caractère personnel pour le compte d’un responsable du traitement, et (ii) toute personne entrant dans le champ d’application du terme « sous-traitant » (ou tout terme substantiellement analogue) tel que défini par les lois applicables sur la protection des données.
      11. « Transfert restreint » désigne : (i) lorsque l’EU GDPR s’applique, un transfert de Données à Caractère Personnel de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis à une détermination d’adéquation par la Commission européenne (un « EU Restricted Transfer ») ; et (ii) lorsque l’UK GDPR s’applique, un transfert de Données à Caractère Personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis ou basé sur des réglementations d’adéquation en vertu de la Section 17A de la loi britannique de 2018 sur la protection des données (un « UK Restricted Transfer »).
      12. « Vente » et « Vente » signifient l’échange de Données à Caractère Personnel contre une contrepartie pécuniaire ou autre contrepartie de valeur, et incluent la manière dont ces termes sont définis dans la Loi sur la Protection des Données Applicable.
      13. « Services » désigne les services fournis par Taboola dans le cadre du Contrat avec l’Annonceur.
      14. « Incident de sécurité » désigne une atteinte à la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux Données personnelles.
      15. « Standard Contractual Clauses » désigne: (i) lorsque l’EU GDPR s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 sur Standard Contractual Clauses pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (EU) 2016/679 du Parlement européen et du Conseil (« EU SCCs »); et (ii) lorsque l’UK GDPR s’applique, l’« International Data Transfer Addendum to the EU Commission Standard Contractual Clauses » émis par le commissaire à l’information en vertu de l’article 119A(1) de la DPA 2018 (« UK Addendum »).
      16. « Tiers » désigne une entreprise qui agit en tant que responsable du traitement des données personnelles, et qui n’est pas l’entreprise avec laquelle la personne concernée dont les données personnelles sont traitées a intentionnellement interagi ; le terme inclut la façon dont ce terme est défini dans la loi applicable sur la protection des données.
      17. « UK Data Protection Law » désigne : (i) l’UK Data Protection Act 2018, (ii) l’UK GDPR (tel que défini à l’article 3(10) de l’UK Data Protection Act 2018) (« UK GDPR »), (iii) les UK Privacy and Electronic Communications (EC Directive) Regulations 2003), et (iv) toute autre loi UK prise en vertu ou en application des (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.

Chaque partie traite les données collectées qu’elle recueille ou reçoit de l’autre partie aux fins énoncées à l’annexe A, partie B (les « Fins autorisés »).  L’Annonceur accepte que Taboola traite les Données collectées conformément à la Politique de confidentialité de Taboola (qui, pour éviter tout doute, sera également une Finalité Autorisée pour Taboola).

Dans la mesure où les données collectées sont qualifiées de données personnelles ou contiennent des données personnelles en vertu des lois applicables sur la protection des données, chaque partie doit traiter les données collectées qu’elle collecte ou reçoit de l’autre partie en tant que responsable du traitement (ce qui peut inclure, lorsque la loi californienne sur la protection des données s’applique, en tant que tiers, le cas échéant).  Les divulgations (qu’il s’agisse d’un transfert, ou par l’intermédiaire d’une partie mettant des données à la disposition de l’autre partie) de Données collectées ou de Données personnelles d’une partie à l’autre sont des divulgations à des tiers.

      1. Si la loi sur la protection des données des États-Unis ou des États-Unis s’applique aux données collectées, y compris, sans s’y limiter, la loi californienne sur la confidentialité, dans la mesure où Realize Pixels (anciennement nommé « Taboola Pixels ») utilisé dans le cadre du traitement des données personnelles d’un visiteur par les services, Taboola agit en tant que tiers pour l’annonceur de ces données personnelles. Taboola traitera ces données personnelles aux fins autorisées. Ces Données Personnelles ne sont mises à la disposition de Taboola qu’aux fins autorisées.  Taboola fournira le même niveau de protection de la vie privée que celui exigé des entreprises par les lois américaines applicables sur la protection des données, y compris, le cas échéant, les lois californiennes sur la confidentialité. Taboola informera l’Annonceur dans le délai requis par la Loi applicable sur la protection des données si Taboola détermine qu’elle n’est plus en mesure de remplir ses obligations en vertu des Lois applicables sur la protection des données. Après en avoir informé Taboola, l’Annonceur a le droit de prendre des mesures raisonnables et appropriées pour mettre fin à l’utilisation non autorisée des Données personnelles qu’il met à la disposition de Taboola et y remédier.

Les parties reconnaissent qu’une partie ou la totalité des données collectées peuvent être qualifiées ou inclure des données personnelles et que les lois applicables sur la protection des données peuvent donc s’appliquer au traitement des données collectées par chaque partie.  Dans ce cas, et sous réserve de l’article 7, chaque partie est individuellement responsable de sa propre conformité aux lois applicables en matière de protection des données, y compris toute exigence applicable pour: (i) assurer la transparence aux personnes concernées, (ii) avoir le consentement ou une autre base légale pour le traitement, et (iii) mettre à disposition un point de contact par l’intermédiaire duquel les personnes concernées peuvent exercer leurs droits en matière de protection des données.

Dans le cas où l’une des parties procède à un transfert restreint des données collectées à l’autre partie, les dispositions de l’annexe C s’appliquent.

7. Transparence pour les visiteurs sur la Landing Page de l’annonceur.

a. Taboola utilise Realize Pixels pour fournir les Services.  Nonobstant l’article 5, dans la mesure où Taboola collecte des Données collectées à partir de propriétés numériques de l’Annonceur (telles que des sites Web, des applications mobiles ou autres) en utilisant Realize Pixels, l’Annonceur doit: (i) fournir tous les avis de transparence requis aux Personnes Concernées concernant l’utilisation de Realize Pixels par Taboola pour collecter des Données collectées à partir de propriétés numériques de l’Annonceur aux fins autorisées, et (ii) obtenir (et, sur demande à tout moment par Taboola, fournir des preuves appropriées) du consentement de la Personne Concernée à une telle utilisation de Realize Pixels aux fins autorisées, dans chaque cas conformément aux exigences des Lois sur la Protection des Données applicables.  Les obligations de l’Annonceur à cet égard incluent l’identification expresse de Taboola et de son utilisation de Realize Pixels aux fins autorisées dans les avis de transparence et les invites de consentement que l’Annonceur fournit aux Personnes Concernées, ainsi que toute autre information requise par les Lois de Protection des Données applicables, afin que Taboola puisse fournir ses Services légalement par le biais de ces propriétés numériques et Traiter les Données collectées et les Données Personnelles aux fins autorisées. Dans la mesure où l’annonceur reçoit le service Gen AI Landing Page de Taboola, Taboola doit fournir un avis transparent et obtenir le consentement de l’utilisateur.

b. Sur demande écrite, Taboola fournira à l’Annonceur les informations nécessaires sur les Realize Pixels et le traitement des Données collectées par Taboola via les propriétés numériques de l’Annonceur pour s’assurer que ses mécanismes de notification et de consentement seront conformes aux Lois de Protection des Données applicables.  L’annonceur ne doit pas virer de Realize Pixels tant que la transparence nécessaire n’a pas été fournie et que les consentements nécessaires requis en vertu des lois applicables sur la protection des données n’ont pas été obtenus.

c. L’annonceur doit en outre fournir aux personnes concernées des informations sur la manière dont elles peuvent exercer leurs droits en matière de protection des données en vertu des lois applicables sur la protection des données, et fournir un point de contact aux personnes concernées pour exercer leurs droits. L’annonceur doit informer rapidement Taboola si et dans la mesure où il reçoit toute demande de droits de protection des données concernant le traitement des données collectées par Taboola en tant que responsable du traitement afin que Taboola puisse répondre à la demande conformément à ses obligations en vertu de la loi applicable sur la protection des données.

Si Taboola, à la demande de l’Annonceur, transmet des Données Personnelles au partenaire d’attribution de l’Annonceur ou à l’Annonceur à des fins d’attribution, l’Annonceur déclare et garantit que : (i) son partenaire d’attribution est un Sous-traitant pour le compte de l’Annonceur ; (ii) sauf collecte indépendante, l’Annonceur et le partenaire d’attribution utiliseront ces Données Personnelles uniquement à des fins d’attribution ; et (iii) le partenaire d’attribution et l’Annonceur supprimeront toutes les Données Personnelles transmises dans les trente (30) jours suivant la dernière identification du Visiteur comme provenant de Taboola.

Chaque partie met en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données collectées et/ou les Données personnelles qu’elle traite contre et contre un Incident de sécurité.  Ces mesures comprennent les mesures figurant à l’annexe B.

Si l’une des Parties subit un Incident de Sécurité en ce qui concerne les Données Collectées et/ou les Données Personnelles qu’elle traite et qui fait l’objet du Contrat et des présentes Conditions de Confidentialité de l’Annonceur, cette Partie devra: (i) être responsable de remplir (à ses frais) toutes les obligations de déclaration qui lui sont applicables en vertu des Lois de Protection des Données applicables aux autorités de protection des données et/ou aux Personnes Concernées concernées, (ii) informer l’autre Partie sans retard indu, en fournissant les informations sur l’Incident de Sécurité qui peuvent raisonnablement être demandées par l’autre Partie ou qui sont autrement requises pour que l’autre Partie détermine si elle peut également avoir des obligations de déclaration en vertu des Lois de Protection des Données applicables en ce qui concerne l’Incident de Sécurité, et (iii) prendre toutes les mesures et actions, sans retard indu, qui sont appropriées pour remédier et/ou atténuer les effets de l’Incident de Sécurité

Lorsque et dans la mesure requise par les lois applicables en matière de protection des données auxquelles chaque partie est soumise, chaque partie procède à toute évaluation d’impact sur la protection des données en ce qui concerne son traitement des données collectées et/ou des données personnelles aux fins autorisées et/ou consulte les autorités compétentes en matière de protection des données, si nécessaire.  Chaque partie fournit toute la coopération raisonnable et les informations raisonnablement demandées par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de réaliser une analyse d’impact sur la protection des données et/ou de consulter les autorités compétentes en matière de protection des données conformément aux obligations de cette autre partie en vertu du présent article 11.

 

A. LISTE DES PARTIES

Chaque partie est:

      • un contrôleur de données (et exportateur de données) des Données collectées qu’il communique ou met à la disposition de l’autre partie, et
      • un contrôleur de données (et importateur de données) des Données collectées qu’il reçoit de l’autre partie ou auxquelles l’accès est rendu disponible par elle.

Les détails de chaque partie sont fournis ci-dessous.

Nom: Voir les détails de l’annonceur énoncés dans le Contrat.

Adresse: Voir les détails de l’annonceur énoncés dans le Contrat.

Nom, fonction et coordonnées de la personne à contacter: Voir les détails de l’annonceur énoncés dans le Contrat ou convenus par écrit entre les parties.

Activités relatives aux données transférées en vertu des présentes Clauses: La réception des Services, telle que stipulée dans le Contrat.

Signature et date: La présente annexe A est réputée exécutée dès l’acceptation par l’annonceur des présentes conditions de confidentialité.

Rôle (contrôleur/processeur): Contrôleur (lorsqu’il s’agit d’un exportateur de données) et contrôleur (lorsqu’il s’agit d’un importateur de données)

 

Nom: Voir les détails de Taboola exposés dans l’introduction de l’accord.

Adresse: Voir les détails de Taboola exposés dans l’introduction de l’accord.

Nom, fonction et coordonnées de la personne à contacter: L’équipe de confidentialité de Taboola, privacy@taboola.com

Activités relatives aux données transférées en vertu des présentes Clauses: La fourniture des Services, telle qu’elle est définie dans l’Accord.

Signature et date: La présente annexe A est réputée exécutée dès que Taboola accepte les présentes conditions de confidentialité de l’annonceur.

Rôle (contrôleur/processeur): Contrôleur (lorsqu’il s’agit d’un exportateur de données) et contrôleur (lorsqu’il s’agit d’un importateur de données)

 

B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT

Catégories de personnes concernées dont les données personnelles sont traitées et/ou transférées: Utilisateurs

Catégories de données personnelles traitées et/ou transférées:

Données de périphérique: Système d’exploitation, type de navigateur, version du navigateur, IP Address (tronquée dans les 30 jours) suivant la collecte, code postal (dérivé de IP Address), hashed Taboola User ID, hashed emails, visites initiales et ultérieures des pages sur le site Web de l’Annonceur, sexe de l’utilisateur (inféré par les intérêts), signaux d’engagement (heure sur le site, profondeur de défilement, profondeur de session), données de conversion.

Données sur la propriété numérique visitée par l’utilisateur: L’URL de la page visitée, le site référent

  • Dans la mesure où DCO fait partie des services, Taboola traite également les données suivantes:

Données de périphérique: Taboola Cookie ID ou ID de l’appareil, selon la plate-forme), Masked IP Address, Taboola click ID, User Agent String, Pays, Type d’utilisateur, y compris une nouvelle / retour des informations utilisateur (si partagé par l’annonceur), Informations sur le produit (lié à l’URL spécifique), y compris le prix et la disponibilité à partir des pages d’article

Données d’événement: devise, ID de produit, ID de commande, ID de catégorie, catégorie, terme de recherche, détails du panier, valeur et ID de campagne.

Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de l’objectif, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires: Sans objet.

La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue): Continue pendant toute la durée de l’Accord.

Nature du traitement: Traitement des Données à Caractère Personnel nécessaires à la fourniture des Services, tel que défini dans le Contrat.

But(s) du traitement / transfert des données et du traitement ultérieur: La fourniture des Services, telle qu’elle est définie dans l’Accord. Afin d’éviter tout doute, les fins autorisées comprennent : (i) stocker et/ou accéder à des informations sur un appareil; (ii) sélectionner des publicités de base; (iii) créer un profil d’annonces personnalisé; (iv) sélectionner des annonces personnalisées; (v) créer un profil de contenu personnalisé; (vi) sélectionner du contenu personnalisé; (vii) mesurer la performance publicitaire; (viii) mesurer la performance du contenu; (ix) développer et améliorer des produits; (x) assurer la sécurité, prévenir la fraude et le débogage; (xi) fournir techniquement des annonces ou du contenu; (xii) faire correspondre et combiner des sources de données hors ligne; (xiii) relier différents appareils; (xiv) recevoir et utiliser des caractéristiques d’appareil envoyées automatiquement pour l’identification; (xv) utiliser des données limitées pour sélectionner du contenu et (xvi) comprendre les audiences grâce à des statistiques.

La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée :

      • Taboola : Les données brutes sont conservées au maximum 13 mois.
      • Annonceur : Aussi longtemps que cela est nécessaire pour recevoir les Services ou tel que spécifié dans le Contrat.

Pour les transferts à des (sous-) processeurs, précisez également l’objet, la nature et la durée du traitement: Sans objet.

 

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Autorité de contrôle compétente lorsque l’EU GDPR s’applique: L’autorité de contrôle compétente pour chaque partie est la suivante:

      • Taboola : L’autorité de contrôle compétente est déterminée conformément à l’article 13 des EU SCCs .
      • Annonceur : L’autorité de contrôle compétente est déterminée conformément à l’article 13 des EU SCCs .

Autorité de contrôle compétente lorsque le UK GDPR s’applique: Le Commissariat à l’information

 

Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris les certifications pertinentes) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Mesures de pseudonymisation et de cryptage des données personnelles: Taboola collecte uniquement des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes car nous ne connaissons pas ou ne traitons pas le nom de l’utilisateur, son adresse e-mail ou d’autres données identifiables. Les Informations Utilisateur que nous recueillons comprennent, mais sans s’y limiter, des Informations sur l’appareil et le système d’exploitation d’un Utilisateur, IP Address, les pages Web auxquelles les Utilisateurs accèdent sur les sites Web de nos Clients, le lien qui a conduit un Utilisateur vers le site Web d’un Client, les dates et heures auxquelles un Utilisateur accède au site Web d’un Client et d’autres données de navigation Web. Le CookieID est anonymisé en utilisant Bcrypt et l’IP Address est tronquée.

Mesures visant à assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement: Taboola utilise plusieurs niveaux de sécurité électronique (ex: sécurité des terminaux, sécurité côté serveur, suivi des détections, tests de pénétration périodiques, et collecte de renseignements approfondis pour examiner les événements post-mortem).

Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps utile en cas d’incident physique ou technique: Taboola maintient 9 centres de données opérant dans le monde entier. Chaque centre de données est utilisé comme une réplication les uns des autres de sorte que si l’un tombe vers le bas les données peuvent être extraites d’un autre centre de données.

Procédures visant à tester, évaluer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement: Taboola applique des processus stricts pour tester l’efficacité de ses contrôles (tant techniques qu’organisationnels). Nous avons mis en place une journalisation et une surveillance du système, des tests DR mensuels (au moins), des tests de pénétration trimestriels, des pare-feu protégeant le Web et des pots de miel répartis sur le réseau pour détecter toute activité malveillante. De plus, nous avons mis en place un programme de primes qui nous aide à surveiller constamment notre réseau.

Mesures d’identification et d’autorisation des utilisateurs: Chaque utilisateur de Taboola est associé à un nom d’utilisateur et un mot de passe dédiés. Chaque accès au réseau interne de Taboola se fait avec 2FA en utilisant l’authentification Google. Les utilisateurs sont créés uniquement par le service informatique, lors du processus d’intégration et seulement après avoir reçu tous les détails et le contrat signé du service RH.

Mesures de protection des données pendant la transmission: Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). En outre, les systèmes qui pourraient contenir des IPI sont sécurisés et les données sont conservées hachées et anonymisées.

Mesures de protection des données pendant le stockage: Les données stockées dans nos bases de données sont anonymisées et hachées avec Bcrypt L’accès au DB est réduit au minimum et basé sur le principe du «besoin de savoir des entreprises».

Mesures visant à assurer la sécurité physique des lieux de traitement des données à caractère personnel: Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie), a tous ses serveurs situés dans des armoires verrouillées qui sont maintenues exclusivement pour l’usage de Taboola. Ces armoires sont entretenues par des entreprises qui sont soit SOC2-certified ou Taboola a revu leurs mesures de sécurité. De plus, tout accès aux serveurs nécessite une autorisation écrite et enregistrée. Tous les bureaux Taboola sont également contrôlés, et exigent que les employés utilisent des cartes d’accès pour entrer. De plus, seul un nombre limité d’employés ont accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et enregistrée.

Mesures pour assurer la journalisation des événements: Taboola met en œuvre des outils de surveillance et les journaux sont rassemblés dans notre système SIEM qui nous alerte sur tout événement suspect et est également surveillé par l’équipe NOC.

Mesures pour assurer la configuration du système, y compris la configuration par défaut: Les serveurs sont analysés à la fois pour la dérive de configuration et le niveau de patch. Les rapports et/ou les alertes sont définis sur les deux et le niveau de correctif pertinent est confirmé. De nouveaux patchs sont distribués en utilisant Puppet. Tous les examens techniques sont gérés par l’application de R-D et obtenus par un processus formel d’examen (AQ) après codage et CI/CD processes sont également mis en oeuvre.

Mesures de gouvernance et de gestion internes de la sécurité informatique et de la TI: Taboola est certifié ISO 27001:2013 et 27701. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de tous les actifs d’information physiques et électroniques dans toute leur organisation. Taboola organise des formations en sécurité pour tous les nouveaux employés, des formations en hameçonnage pour tous les employés du monde entier, et des formations régulières en sécurité pour tous les employés et consacre également des sessions pour les groupes de R&D.

Mesures de certification/assurance des procédés et des produits: Audit interne trimestriel / semestriel / annuel sur de multiples processus et systèmes pour valider que Taboola respecte ses objectifs et mesures de sécurité définis.

Mesures visant à garantir la minimisation des données: Taboola limite intentionnellement les données que nous collectons dans le cadre des principes de minimisation des données globales de Taboola consistant à traiter uniquement les données limitées nécessaires à nos fins commerciales spécifiques. En outre, Taboola n’a pas la capacité, ni aucun besoin commercial, de « rétro-ingénierie » de l’un des points de données utilisés dans notre algorithme afin de fournir nos services. Plus précisément, les points de données que Taboola collecte ne sont jamais indicatifs de l’identité d’un utilisateur – car Taboola ne collecte ni ne traite d’informations telles que le nom de l’utilisateur, son numéro de téléphone, son adresse e-mail ou ses adresses physiques. Au lieu de cela, Taboola collecte uniquement des identifiants pseudonymes, qui se contentent d’identifier les caractéristiques de l’appareil d’un utilisateur. Cela inclut les adresses IP (qui sont tronquées lors de la collecte et peuvent seulement identifier l’emplacement général du code postal de l’appareil, mais jamais une géolocalisation précise) et, dans certains cas limités, les adresses e-mail hachées (qui sont intrinsèquement irréversibles et ne peuvent pas être décryptées pour révéler l’adresse e-mail d’origine). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous recueillons ne peuvent jamais produire le nom, le numéro de téléphone, l’e-mail ou l’adresse physique d’une personne, et nos ingénieurs ne travaillent d’aucune manière pour atteindre cet objectif. De plus, Taboola réalise et enregistre des évaluations d’impact sur la vie privée dans le but de minimiser les risques pour la vie privée de ses services, processus et politiques.

Mesures visant à garantir la qualité des données: Les données sont collectées directement auprès de l’utilisateur et celui-ci a la possibilité de corriger toute donnée associée à son CookieID via le portail de demande d’accès par sujet Taboola : https://accessrequest.taboola.com/access

Mesures visant à assurer une conservation limitée des données: Nous conservons les Informations de l’Utilisateur, qui sont directement collectées à des fins de diffusion d’annonces, pendant au plus treize (13) mois à compter de la dernière interaction de l’Utilisateur avec nos Services (souvent pour une période plus courte), après quoi nous anonymisons les données en supprimant les identifiants uniques ou en agrégeant les données. Ce processus se fait automatiquement.

Mesures visant à garantir la responsabilité : Taboola fait de multiples audits de sécurité et tests de pénétration (mais pas pour tous les systèmes). Taboola utilise également des fournisseurs de cloud certifiés ISO et conformes à d’autres certifications liées au cloud pour le maintien des garanties physiques d’un serveur.

Mesures permettant la portabilité des données et garantissant leur effacement: Tout support doit être entièrement essuyé avant d’être réutilisé ou éliminé. Toute élimination médiatique est documentée. Les employés sont priés de ne pas imprimer de papier pouvant contenir des renseignements personnels.

  1. Dans la mesure où une partie effectue un Transfert restreint des Données collectées à l’autre partie, les Standard Contractual Clauses seront intégrées dans les présentes Conditions de confidentialité de l’Annonceur et s’appliqueront comme suit:
    1. lorsque le transfert restreint est un transfert restreint EU, les EU SCCs s’appliqueront entre les parties comme suit:
      1. Le module 1 s’appliquera;
      2. à l’article 7, la clause facultative d’accostage s’appliquera;
      3. à l’article 11, le libellé facultatif ne s’appliquera pas;
      4. à la clause 17, l’option 1 s’appliquera, et les EU SCCs seront régis par le droit irlandais;
      5. à la clause 18(b), les litiges sont résolus devant les tribunaux irlandais;
      6. Les parties A, B et C de l’annexe I sont réputées complétées par les informations figurant dans les parties A, B et C de l’annexe A des présentes conditions de confidentialité de l’annonceur; et
      7. L’annexe II est réputée complétée par les mesures de sécurité énoncées à l’annexe B des présentes conditions de confidentialité de l’annonceur;
    2. lorsque le transfert restreint est un transfert restreint UK, le UK Addendum s’appliquera entre les parties de la manière suivante:
      1. les EU SCCs, remplis comme indiqué ci-dessus, s’appliquent entre les parties, et sont modifiés par l’UK Addendum (complété comme indiqué à la sous-clause (ii) ci-dessous); et
      2. les tableaux 1 à 3 de l’UK Addendum sont réputés complétés par les informations pertinentes des EU SCCs, complétées comme indiqué ci-dessus, et les options “Exportateur” et “Importateur” sont réputées cochées dans le tableau 4. La date de début de l’UK Addendum (comme indiqué dans le tableau 1) est la date d’entrée en vigueur des présentes Conditions de confidentialité de l’annonceur.
  2. Transferts restreints ultérieurs :  Aucune des parties ne procédera à un transfert restreint ultérieur des données collectées qu’elle recevra de l’autre partie, à moins qu’elle n’ait accompli tous les actes et toutes les choses nécessaires pour s’assurer que ce transfert restreint ultérieur est conforme à la loi applicable sur la protection des données et aux Standard Contractual Clauses qu’elle a convenues avec l’autre partie.