Conditions de Confidentialité de L’annonceur

Last Update: November 14, 2025

Date d’entrée en vigueur :  14 août 2023

Les présentes Conditions de confidentialité de l’annonceur Taboola («Conditions de confidentialité de l’annonceur») s’appliquent aux services de publicité numérique de Taboola, par exemple lorsque Taboola distribue le contenu de l’annonceur via sa plateforme de distribution, conformément à un accord entre Taboola et un annonceur («Accord»), et les présentes Conditions de confidentialité de l’annonceur sont réputées être intégrées à un tel Contrat et en font partie intégrante.  Les présentes Conditions de confidentialité de l’annonceur identifient Taboola et les rôles et responsabilités de l’annonceur en ce qui concerne les données personnelles.

En cas de conflit entre les Conditions de confidentialité de l’annonceur et le Contrat, les Conditions de confidentialité de l’annonceur prévaudront dans la mesure de ce conflit, à moins que la disposition contradictoire du Contrat ne fasse expressément référence à la disposition contradictoire des présentes Conditions de confidentialité de l’annonceur et ne spécifie qu’elle prévaut sur cette disposition contradictoire.

Les termes définis dans la présente section ont le sens qui leur est donné ci-dessous, et les termes apparentés doivent être interprétés en conséquence. Les termes commençant par une majuscule utilisés mais non définis dans les Conditions de confidentialité de l’annonceur ont la signification définie dans le Contrat.

      1. Lois applicables en matière de protection des données» désigne toutes les lois fédérales, nationales, étatiques ou autres lois sur la confidentialité et la protection des données qui s’appliquent au Traitement faisant l’objet du Contrat et des présentes Conditions de l’annonceur, telles qu’elles peuvent être modifiées ou remplacées de temps à autre.
      2. Données collectées» désigne les Données à caractère personnel que chaque partie collecte auprès des Personnes concernées sur ou via leurs serveurs ou réseaux (y compris toutes les données collectées passivement ou lisibles par machine, telles que les données basées sur le type de navigateur et les identifiants de l’appareil) dans le cadre de la fourniture ou de la réception des Services.
      3. Contrôleur» désigne : (i) une entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel, et (ii) toute personne qui entre dans le champ d’application du terme « responsable du traitement » (ou de tout terme substantiellement analogue) tel que défini dans les Lois applicables en matière de protection des données.
      4. Loi californienne sur la protection de la vie privée” désigne la loi californienne sur la protection de la vie privée des consommateurs de 2018, Cal. Code civil § 1798.100 et suiv. («Le CCPA»), telle que modifiée (y compris par la loi californienne sur les droits à la vie privée), ainsi que toute législation et réglementation subordonnée.
      5. Personne concernée» désigne : (i) une personne physique identifiée ou identifiable (et, à ces fins, une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques aux facteurs physiques, physiologiques, génétiques, l’identité mentale, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui entre dans le champ d’application des termes « personne concernée », « consommateur » (ou tout terme substantiellement analogue) tel que défini par les Lois sur la protection des données.
      6. Loi de l’UE sur la protection des données» désigne : (i) le Règlement général sur la protection des données de l’UE (Règlement 2016/679) ()UE Le RGPD”); ii) la directive de l’UE sur la vie privée et les communications électroniques (directive 2002/58/CE) ; et (iii) toute loi nationale sur la protection des données adoptée en vertu de (i) ou (ii), chacune pouvant être modifiée ou remplacée de temps à autre.
      7. Fins permises” a le sens qui lui est donné à l’article 3.
      8. Données personnelles» désigne toute information relative à une Personne concernée (y compris, lorsque la Loi applicable en matière de protection des données l’exige, les identifiants uniques de navigateur ou d’appareil), comme indiqué à l’Annexe A, Partie B.
      9. Processus» désigne toute opération ou ensemble d’opérations qui est effectuée sur des Données à caractère personnel ou sur des ensembles de Données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, l’agrégation, l’inférence, la dérivation, l’analyse, la restriction, l’effacement, la destruction, l’élimination ou toute autre manipulation des Données personnelles, y compris la définition de ce terme en vertu de la Loi applicable en matière de protection des données.
      10. Processeur» désigne : (i) une entité qui traite des données personnelles pour le compte d’un responsable du traitement, et (ii) toute personne qui entre dans le champ d’application du terme « sous-traitant » (ou de tout terme substantiellement analogue) tel que défini par les Lois applicables en matière de protection des données.
      11. Transfert restreint» désigne : (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à caractère personnel de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis à une détermination d’adéquation par la Commission européenne (un «Transfert restreint dans l’UE“); et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis à des réglementations d’adéquation ou qui n’est pas fondé sur celles-ci en vertu de l’article 17A de la loi sur la protection des données du Royaume-Uni de 2018 (une «Transfert restreint au Royaume-Uni“).
      12. Vente» et «Vendre» désigne l’échange de données personnelles contre une contrepartie monétaire ou autre contrepartie de valeur, et inclut la manière dont ces termes sont définis en vertu de la loi applicable en matière de protection des données.
      13. Les services” désigne les services fournis par Taboola dans le cadre de l’Accord avec l’Annonceur.
      14. Incident de sécurité» désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite à des Données à caractère personnel.
      15. Clauses contractuelles types» désigne : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil ( »CCT de l’UE”); et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’« Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne » publié par le Commissaire à l’information en vertu de l’article 119A(1) de la DPA 2018 («Addendum Royaume-Uni”).
      16. Tiers» désigne une entreprise qui agit en tant que Responsable du traitement en ce qui concerne les Données à caractère personnel, et qui n’est pas l’entreprise avec laquelle la Personne concernée dont les Données à caractère personnel sont traitées a intentionnellement interagi ; le terme inclut la façon dont ce terme est défini en vertu de la loi applicable en matière de protection des données.
      17. Loi britannique sur la protection des données» désigne : (i) la loi britannique sur la protection des données de 2018, (ii) le RGPD du Royaume-Uni (tel que défini à l’article 3(10) de la loi britannique sur la protection des données de 2018) ()RGPD au Royaume-Uni»), (iii) le Règlement de 2003 sur la protection de la vie privée et les communications électroniques (Directive CE) du Royaume-Uni), et (iv) toute autre loi britannique adoptée en vertu de (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.

Chaque partie traite les données collectées qu’elle collecte ou reçoit de l’autre partie aux fins énoncées à l’annexe A, partie B (ci-après dénommée «Fins permises”).  L’annonceur accepte que Taboola traite les données collectées comme autorisé par la politique de confidentialité de Taboola (qui, pour éviter toute ambiguïté, sera également une finalité autorisée pour Taboola).

Dans la mesure où les données collectées sont qualifiées de données personnelles ou en contiennent en vertu des lois applicables en matière de protection des données, chaque partie doit traiter les données collectées qu’elle collecte ou reçoit de l’autre partie en tant que responsable du traitement (ce qui peut inclure, lorsque la loi californienne sur la protection de la vie privée s’applique, en tant que tiers, le cas échéant).  Les divulgations (qu’il s’agisse d’un transfert ou par l’intermédiaire d’une partie mettant des données à la disposition de l’autre partie) de Données collectées ou de Données personnelles d’une partie à l’autre sont des divulgations à des Tiers.

      1. Si la loi américaine sur la protection des données s’applique aux données collectées, y compris, mais sans s’y limiter, la loi californienne sur la protection de la vie privée, dans la mesure où les Realize Pixels (anciennement appelés « Taboola Pixels ») utilisés dans le cadre des services traitent les données personnelles d’un visiteur, Taboola agit en tant que tiers auprès de l’annonceur pour ces données personnelles. Taboola traitera ces données personnelles aux fins autorisées. Ces données personnelles ne sont mises à la disposition de Taboola qu’aux fins autorisées.  Taboola fournira le même niveau de protection de la vie privée que celui exigé des entreprises par les lois américaines applicables en matière de protection des données, y compris, le cas échéant, les lois californiennes sur la protection de la vie privée. Taboola informera l’Annonceur dans le délai requis par la Loi applicable sur la protection des données si Taboola détermine qu’il n’est plus en mesure de respecter ses obligations en vertu des Lois applicables en matière de protection des données. Après avoir fourni un avis à Taboola, l’annonceur a le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des données personnelles qu’il met à la disposition de Taboola.

Les parties reconnaissent qu’une partie ou la totalité des données collectées peuvent être considérées comme des données personnelles ou les inclure et, par conséquent, que les lois applicables en matière de protection des données peuvent s’appliquer au traitement des données collectées par chaque partie.  Lorsque tel est le cas, et sous réserve de l’article 7, chaque partie est individuellement responsable de son propre respect des Lois applicables en matière de protection des données, y compris de toute exigence applicable pour : (i) assurer la transparence aux Personnes concernées, (ii) obtenir le consentement ou une autre base légale pour le Traitement, et (iii) mettre à disposition un point de contact par l’intermédiaire duquel les Personnes concernées peuvent exercer leurs droits en matière de protection des données.

Dans le cas où l’une des parties procède à un transfert restreint des données collectées à l’autre partie, les dispositions de l’annexe C s’appliquent.

7. Transparence pour les visiteurs sur la page d’accueil de l’annonceur.

Taboola utilise Realize Pixels pour fournir les Services.  Nonobstant l’article 5, dans la mesure où Taboola collecte les Données collectées à partir des propriétés numériques de l’Annonceur (telles que les sites Web, les applications mobiles ou autres) à l’aide de Realize Pixels, l’Annonceur doit : (i) fournir tous les avis de transparence requis aux Personnes concernées concernant l’utilisation de Realize Pixels par Taboola pour collecter les Données collectées à partir des propriétés numériques de l’Annonceur aux Fins autorisées, et (ii) obtenir (et, sur demande à tout moment de Taboola, fournir une preuve appropriée du consentement de la Personne concernée à une telle utilisation de Realize Pixels aux Fins autorisées, dans chaque cas conformément aux exigences des Lois applicables en matière de protection des données.  Les obligations de l’Annonceur à cet égard comprennent l’identification de Taboola et son utilisation de Realize Pixels aux Fins autorisées expressément dans les avis de transparence et les invites de consentement que l’Annonceur fournit aux Personnes concernées, ainsi que toute autre information requise par les Lois applicables en matière de protection des données, afin que Taboola puisse fournir ses Services légalement par le biais de ces propriétés numériques et Traiter les Données collectées et les Données personnelles aux Fins autorisées.  Sur demande écrite, Taboola fournira à l’Annonceur les informations nécessaires sur les Realize Pixels et le Traitement des Données collectées par Taboola par le biais des propriétés numériques de l’Annonceur pour que l’Annonceur s’assure que ses mécanismes de notification et de consentement seront conformes aux Lois applicables en matière de protection des données.  L’annonceur ne doit pas licencier de Realize Pixels tant que la transparence nécessaire n’a pas été fournie et que tous les consentements nécessaires requis en vertu des Lois applicables en matière de protection des données n’ont pas été obtenus. L’Annonceur doit en outre fournir aux Personnes concernées des informations sur la manière dont elles peuvent exercer leurs droits en matière de protection des données en vertu des Lois applicables en matière de protection des données, et fournir un point de contact que les Personnes concernées peuvent contacter afin d’exercer leurs droits. L’annonceur doit informer rapidement Taboola si et dans la mesure où il reçoit une demande de droits de protection des données concernant le traitement des données collectées par Taboola en tant que responsable du traitement afin que Taboola puisse répondre à la demande conformément à ses obligations en vertu de la loi applicable en matière de protection des données.

Si Taboola, à la demande de l’Annonceur, transmet des Données personnelles au partenaire d’attribution de l’Annonceur ou à l’Annonceur à des fins d’attribution, l’Annonceur déclare et garantit que : (i) son partenaire d’attribution est un Sous-traitant pour le compte de l’Annonceur ; (ii) à moins qu’ils ne soient collectés de manière indépendante, l’Annonceur et le partenaire d’attribution utiliseront ces Données personnelles uniquement à des fins d’attribution ; et (iii) le partenaire d’attribution et l’annonceur supprimeront toutes les données personnelles transmises dans les trente (30) jours suivant la dernière identification du visiteur comme provenant de Taboola.

Chaque partie met en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Collectées et/ou les Données Personnelles qu’elle Traite contre un Incident de Sécurité.  Ces mesures comprennent les mesures énoncées à l’annexe B.

Si l’une ou l’autre des Parties subit un Incident de Sécurité concernant les Données collectées et/ou les Données personnelles qu’elle Traite et qui font l’objet du Contrat et des présentes Conditions de confidentialité de l’Annonceur, cette Partie devra : (i) être responsable de l’exécution (à ses propres frais) de toute obligation de déclaration qui lui est applicable en vertu des Lois applicables en matière de protection des données aux autorités de protection des données et/ou aux Personnes concernées ; (ii) notifier l’autre Partie sans retard injustifié, en fournissant les informations sur l’Incident de sécurité qui peuvent raisonnablement être demandées par l’autre Partie ou qui sont autrement requises pour que l’autre Partie puisse déterminer si elle peut également avoir des obligations de signalement en vertu des Lois applicables en matière de protection des données à l’égard de l’Incident de sécurité, et (iii) prendre toutes ces actions et mesures, sans retard injustifié, dans la mesure appropriée pour remédier et/ou atténuer les effets de l’Incident de sécurité

Lorsque et dans la mesure requise par les Lois applicables en matière de protection des données auxquelles chaque partie est soumise, chaque partie doit effectuer toute analyse d’impact relative à la protection des données concernant son Traitement des données collectées et/ou des Données personnelles aux fins autorisées et/ou consulter les autorités de protection des données applicables, le cas échéant.  Chaque partie fournit toute la coopération raisonnable et les informations raisonnablement demandées par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de réaliser une analyse d’impact relative à la protection des données et/ou de consulter les autorités compétentes en matière de protection des données conformément aux obligations de l’autre partie en vertu de la présente section 11.

 

A. LISTE DES PARTIES

Chaque partie est :

      • un responsable du traitement (et un exportateur de données) des Données collectées qu’il divulgue ou met à la disposition de l’autre partie, et
      • un responsable du traitement (et un importateur de données) des données collectées qu’il reçoit de l’autre partie ou auxquelles il donne accès.

Les coordonnées de chaque partie sont fournies ci-dessous.

Nom: Consultez les coordonnées de l’annonceur figurant dans le Contrat.

Adresse: Consultez les coordonnées de l’annonceur figurant dans le Contrat.

Nom de la personne de contact, fonction et coordonnées : Voir les coordonnées de l’Annonceur énoncées dans le Contrat ou autrement convenues par écrit entre les parties.

Activités relatives aux données transférées en vertu des présentes Clauses : La réception des Services, comme indiqué dans le Contrat.

Signature et date : La présente Annexe A sera réputée exécutée dès l’acceptation par l’Annonceur des présentes Conditions de confidentialité de l’Annonceur.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement (lorsqu’il s’agit d’un exportateur de données) et Responsable du traitement (s’il s’agit d’un importateur de données)

 

Nom: Voir les détails de Taboola présentés dans l’introduction de l’Accord.

Adresse: Voir les détails de Taboola présentés dans l’introduction de l’Accord.

Nom de la personne de contact, fonction et coordonnées : L’équipe de confidentialité de Taboola, privacy@taboola.com.

Activités relatives aux données transférées en vertu des présentes Clauses : La fourniture des Services, telle que définie dans le Contrat.

Signature et date : Cette Annexe A sera considérée comme exécutée dès l’acceptation par Taboola des présentes Conditions de confidentialité de l’annonceur.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement (lorsqu’il s’agit d’un exportateur de données) et Responsable du traitement (s’il s’agit d’un importateur de données)

 

B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont traitées et/ou transférées : Utilisateurs

Catégories de données personnelles traitées et/ou transférées :

Données de l’appareil : Système d’exploitation, type de navigateur, version du navigateur, adresse IP (tronquée dans les 30 jours) de la collecte, code postal (dérivé de l’adresse IP), identifiant d’utilisateur Taboola haché, e-mails hachés, visites initiales et ultérieures de la page sur le site Web de l’annonceur, sexe de l’utilisateur (déduit des intérêts), signaux d’engagement (temps passé sur le site, profondeur de défilement, profondeur de session), données de conversion.

Données sur la propriété numérique visitée par l’utilisateur : L’URL de la page visitée, du site web référent

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Sans objet.

La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue) : Continu pendant toute la durée de l’Accord.

Nature du traitement : Traitement des Données à caractère personnel nécessaire à la fourniture des Services, comme indiqué dans le Contrat.

Finalité(s) du traitement/transfert des données et du traitement ultérieur : La fourniture des Services, telle que définie dans le Contrat. Afin d’éviter toute ambiguïté, les finalités autorisées comprennent : (i) le stockage et/ou l’accès à des informations sur un appareil ; (ii) sélection des publicités de base ; (iii) la création d’un profil publicitaire personnalisé ; (iv) la sélection d’annonces personnalisées ; (v) la création d’un profil de contenu personnalisé ; (vi) la sélection de contenu personnalisé ; (vii) mesurer les performances publicitaires ; (viii) mesurer la performance du contenu ; ix) la mise au point et l’amélioration des produits ; (x) assurer la sécurité, prévenir la fraude et le débogage ; (xi) la diffusion technique de publicités ou de contenu ; (xii) l’appariement et la combinaison de sources de données hors ligne ; (xiii) liaison de différents appareils ; (xiv) la réception et l’utilisation des caractéristiques du dispositif envoyées automatiquement à des fins d’identification ; (xv) l’utilisation de données limitées pour sélectionner le contenu, et (xvi) uComprendre les audiences grâce aux statistiques.

La durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée :

      • Taboola: Les données brutes sont stockées pendant 13 mois au maximum.
      • Annonceur: Aussi longtemps que nécessaire pour recevoir les Services ou comme autrement spécifié dans le Contrat.

Pour les transferts à des (sous-)sous-traitants ultérieurs, précisez également l’objet, la nature et la durée du traitement : Sans objet.

 

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Autorité de contrôle compétente lorsque le RGPD de l’UE s’applique : L’autorité de contrôle compétente pour chaque partie est décrite ci-dessous :

      • Taboola: L’autorité de contrôle compétente est déterminée conformément à l’article 13 des CCT de l’UE.
      • Annonceur: L’autorité de contrôle compétente est déterminée conformément à l’article 13 des CCT de l’UE.

Autorité de contrôle compétente lorsque le RGPD britannique s’applique : Le Commissariat à l’information

 

Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris les éventuelles certifications pertinentes) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Mesures de pseudonymisation et de cryptage des données personnelles : Taboola ne collecte que des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes parce que nous ne connaissons pas ou ne traitons pas le nom, l’adresse e-mail ou d’autres données identifiables de l’utilisateur. Les informations utilisateur que nous recueillons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation d’un utilisateur, l’adresse IP, les pages Web consultées par les utilisateurs sur les sites Web de nos clients, le lien qui a conduit un utilisateur au site Web d’un client, les dates et heures auxquelles un utilisateur accède au site Web d’un client et d’autres données de navigation Web. Le CookieID est anonymisé à l’aide de Bcrypt et l’adresse IP est tronquée.

Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : Taboola utilise plusieurs niveaux de sécurité électronique (par exemple : sécurité des terminaux, sécurité côté serveur, suivi des détections, tests d’intrusion périodiques et collecte de renseignements approfondis pour examiner les événements post-mortem).

Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique : Taboola gère 9 centres de données opérant dans le monde entier. Chaque centre de données est utilisé comme une réplication les uns des autres, de sorte que si l’un d’entre eux tombe en panne, les données peuvent être extraites d’un autre centre de données.

Processus permettant de tester, d’évaluer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement : Taboola maintient des processus stricts pour tester l’efficacité de ses contrôles (à la fois techniques et organisationnels). Nous avons mis en place une journalisation et une surveillance du système, des tests de reprise après sinistre mensuels (au moins), des tests d’intrusion trimestriels, des pare-feu protégeant le Web et des honeypots répartis sur le réseau pour détecter toute activité malveillante. De plus, nous avons mis en place un programme de primes qui nous aide à surveiller constamment notre réseau.

Mesures d’identification et d’autorisation de l’utilisateur : Chaque utilisateur de Taboola est associé à un nom d’utilisateur et à un mot de passe dédiés. Chaque accès au réseau interne de Taboola se fait avec 2FA en utilisant l’authentification Google. Les utilisateurs sont créés uniquement par le service informatique, pendant le processus d’intégration et uniquement après avoir reçu tous les détails et signé le contrat du service RH.

Mesures de protection des données lors de la transmission : Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). De plus, les systèmes susceptibles de contenir des informations personnelles sont sécurisés et les données sont hachées et anonymisées.

Mesures de protection des données pendant le stockage : Les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est minimisé et basé sur le principe du « besoin de savoir de l’entreprise ».

Mesures visant à assurer la sécurité physique des lieux où les données à caractère personnel sont traitées : Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie) a tous ses serveurs situés dans des armoires verrouillées qui sont maintenues exclusivement pour l’utilisation de Taboola. Ces armoires sont entretenues par des entreprises certifiées SOC2 ou Taboola a revu ses mesures de sécurité. De plus, tout accès aux serveurs nécessite une autorisation écrite et enregistrée. Tous les bureaux de Taboola sont également contrôlés et exigent que les employés utilisent des cartes d’accès pour entrer. De plus, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et enregistrée.

Mesures pour assurer l’enregistrement des événements : Taboola met en œuvre des outils de surveillance et les journaux sont rassemblés dans notre système SIEM qui nous alerte en cas d’événement suspect et est également surveillé par l’équipe NOC.

Mesures pour assurer la configuration du système, y compris la configuration par défaut : Les serveurs sont analysés à la fois pour la dérive de configuration et le niveau de correctif. Les rapports et/ou les alertes sont définis sur les deux et le niveau de correctif pertinent est confirmé. Les nouveaux correctifs sont distribués à l’aide de Puppet. Tous les examens techniques sont gérés par l’application de R-D et obtenus par le biais d’un processus formel d’examen (AQ) après la mise en œuvre des processus de codage et de CI/CD.

Mesures de gouvernance et de gestion internes de l’informatique et de la sécurité informatique : Taboola est certifié ISO 27001:2013 et 27701. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de tous les actifs d’information physiques et électroniques dans l’ensemble de leur organisation. Taboola organise des formations à la sécurité pour tous les nouveaux employés, des formations sur le phishing pour tous les employés dans le monde entier, et des formations régulières à la sécurité pour tous les employés, ainsi que des sessions dédiées aux groupes de R&D.

Mesures de certification/assurance des processus et des produits : Audit interne trimestriel / semestriel / annuel sur plusieurs processus et systèmes pour valider que Taboola se conforme à ses objectifs et mesures de sécurité définis.

Mesures pour assurer la minimisation des données : Taboola limite intentionnellement les données que nous collectons dans le cadre des principes mondiaux de minimisation des données de Taboola qui consistent à ne traiter que les données limitées nécessaires à nos fins commerciales spécifiques. De plus, Taboola n’a pas la capacité, ni aucune obligation commerciale, de « faire de l’ingénierie inverse » sur l’un des points de données utilisés dans notre algorithme afin de fournir nos services. Plus précisément, les points de données collectés par Taboola ne sont jamais indicatifs de l’identité d’un utilisateur, car Taboola ne collecte ni ne traite d’informations telles que le nom de l’utilisateur, son numéro de téléphone, son adresse e-mail ou son adresse physique. Au lieu de cela, Taboola ne collecte que des identifiants pseudonymes, qui identifient simplement les caractéristiques de l’appareil d’un utilisateur. Cela inclut les adresses IP (qui sont tronquées lors de la collecte et ne peuvent identifier que l’emplacement général du code postal de l’appareil, mais jamais une géolocalisation précise) et, dans certains cas limités, les adresses e-mail hachées (qui sont intrinsèquement irréversibles et ne peuvent pas être déchiffrées pour révéler l’adresse e-mail d’origine). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous recueillons ne peuvent jamais produire le nom, le numéro de téléphone, l’adresse e-mail ou l’adresse physique d’un individu, et nos ingénieurs ne travaillent en aucune manière pour atteindre cet objectif. De plus, Taboola effectue et enregistre des évaluations d’impact sur la vie privée dans le but de minimiser les risques de confidentialité de nos services, processus et politiques.

Mesures visant à garantir la qualité des données : Les données sont collectées directement auprès de l’utilisateur et celui-ci a la possibilité de corriger toutes les données associées à son CookieID via le portail de demande d’accès du sujet Taboola : https://accessrequest.taboola.com/access

Mesures visant à garantir une conservation limitée des données : Nous conservons les informations de l’utilisateur, qui sont directement collectées dans le but de diffuser des publicités, pendant au plus treize (13) mois à compter de la dernière interaction de l’utilisateur avec nos services (souvent pour une période plus courte), après quoi nous dépersonnalisons les données en supprimant les identifiants uniques ou en agrégeant les données. Ce processus se fait automatiquement.

Mesures visant à assurer l’obligation de rendre des comptes : Taboola effectue plusieurs audits de sécurité et tests d’intrusion (mais pas pour tous les systèmes). Taboola utilise également des fournisseurs de cloud certifiés ISO et conformes à d’autres certifications pertinentes pour le cloud pour maintenir les protections physiques d’un serveur.

Mesures visant à permettre la portabilité des données et à garantir l’effacement : Taboola lié à l’élimination des supports est le même pour tous les types de médias car il peut contenir des PII. Tout support doit être complètement essuyé avant d’être réutilisé ou éliminé. Toute élimination de support est documentée. Les employés ont pour instruction de ne pas imprimer de papier qui pourrait contenir des informations personnelles.

  1. Dans la mesure où une partie effectue un transfert restreint des données collectées à l’autre partie, les clauses contractuelles types seront intégrées aux présentes conditions de confidentialité de l’annonceur et s’appliqueront comme suit :
    1. lorsque le transfert restreint est un transfert restreint de l’UE, les CCT de l’UE s’appliqueront entre les parties comme suit :
      1. Le premier module s’appliquera ;
      2. dans la Clause 7, la Clause d’amarrage facultative s’appliquera ;
      3. dans la Clause 11, la langue facultative ne s’appliquera pas ;
      4. dans la Clause 17, l’option 1 s’appliquera et les CCT de l’UE seront régies par le droit irlandais ;
      5. dans la clause 18(b), les litiges seront résolus devant les tribunaux de l’Irlande ;
      6. Les parties A, B et C de l’Annexe I sont réputées complétées par les informations énoncées dans les Parties A, B et C de l’Annexe A des présentes Conditions de confidentialité de l’annonceur ; et
      7. L’Annexe II est réputée avoir été complétée avec les mesures de sécurité énoncées à l’Annexe B des présentes Conditions de confidentialité de l’Annonceur ;
    2. lorsque le Transfert restreint est un Transfert restreint au Royaume-Uni, l’Addendum au Royaume-Uni s’appliquera entre les parties comme suit :
      1. les CCT de l’UE, remplies comme indiqué ci-dessus, s’appliqueront entre les parties et seront modifiées par l’Addendum du Royaume-Uni (complété comme indiqué à la sous-clause (ii) ci-dessous) ; et
      2. les tableaux 1 à 3 de l’addendum du Royaume-Uni sont réputés complétés avec les informations pertinentes provenant des CCT de l’UE, complétées comme indiqué ci-dessus, et les options « Exportateur » et « Importateur » sont réputées cochées dans le tableau 4. La date de début de l’Addendum pour le Royaume-Uni (telle qu’indiquée dans le tableau 1) est la Date d’entrée en vigueur des présentes Conditions de confidentialité de l’annonceur.
  2. Transferts restreints ultérieurs :  Aucune des parties n’effectuera de transfert restreint ultérieur des données collectées qu’elle reçoit de l’autre partie, à moins qu’elle n’ait fait tous les actes et choses nécessaires pour s’assurer que ce transfert restreint ultérieur est conforme à la loi applicable en matière de protection des données et à toutes les clauses contractuelles types qu’elle a convenues avec l’autre partie.