Addendum relatif à la protection des données pour les partenaires RTB et programmatiques
Last Update: May 29, 2024
Addendum relatif à la protection des données pour les partenaires RTB et programmatiques
Date d’entrée en vigueur : 29 mai 2024
Afin de garantir que Taboola dispose de conditions de protection des données appropriées avec ses partenaires programmatiques et RTB (chacun étant un « partenaire »), Taboola fournit le présent addendum relatif à la protection des données (le « DPA »).
Le présent DPA complète automatiquement et fait partie intégrante de l’accord commercial existant entre le Partenaire et Taboola concernant la fourniture de services RTB et programmatiques (« Accord sous-jacent »).
Tous les termes en majuscules utilisés dans le présent DPA, mais non définis dans celui-ci, ont le sens qui leur est donné dans l’accord sous-jacent. En cas de conflit entre le présent ATD et le Contrat sous-jacent, le présent ATD prévaudra dans la mesure dudit conflit.
1. Définitions
Les « lois applicables en matière de protection des données » désignent toutes les lois fédérales, nationales, régionales ou autres lois applicables en matière de confidentialité et de protection des données, telles qu’elles peuvent être modifiées ou remplacées de temps à autre, y compris, le cas échéant et sans limitation, la CCPA (telle que définie ci-dessous) et les lois européennes en matière de protection des données.
« CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 – 1798.199), tel que modifié par la loi californienne sur les droits à la vie privée (Cal. Civ. Code §§ 1798.100 – 1798.199).
Le terme « responsable du traitement » désigne une entité qui détermine les finalités et les moyens du traitement des informations personnelles, et inclut toute entité qui traite des informations personnelles en tant qu’« entreprise » ou « tiers » au sens de la CCPA et de la CPRA.
« Cadre de protection des données » ou « DPF » désigne l’accord EU-États-Unis. Cadre relatif à la protection des données et extension du UK à l’accord EU-États-Unis DPF tel que défini par les États-Unis. Ministère du Commerce.
Les « lois européennes sur la protection des données » désignent les lois de l’EU et les lois du UK sur la protection des données.
« Lois européennes sur la protection des données » désigne : (i) le règlement européen 2016/679 (le « EU GDPR ») ; (ii) la directive EU 2002/58/CE ; et (iii) les lois nationales de chaque État membre de l’EEE adoptées en vertu de, conformément à, ou qui mettent en œuvre (i) ou (ii), ou qui se rapportent autrement au traitement des données à caractère personnel ; dans chaque cas, telles que modifiées ou remplacées de temps à autre.
Le terme « informations personnelles » désigne toute information relative à une personne physique identifiée ou identifiable, et comprend toute information définie comme « données personnelles » ou « informations personnelles » au sens des lois applicables en matière de protection des données.
« Finalité autorisée » désigne les finalités d’enchères en temps réel, liées à l’achat et à la vente de publicités en ligne conformément au Contrat sous-jacent, pour lesquelles Taboola divulgue ou met à la disposition du Partenaire les Données partagées à des fins de traitement, comme indiqué à l’Annexe I.
« Transfert restreint » signifie : (i) lorsque le EU GDPR s’applique, un transfert de données à caractère personnel depuis l’EEE vers un pays hors de l’EEE qui n’est pas soumis à une décision d’adéquation de la Commission européenne (un « transfert restreint de l’UE ») ; et (ii) lorsque le UK GDPR s’applique, un transfert de données à caractère personnel depuis le Royaume-Uni vers tout autre pays qui n’est pas soumis à ou basé sur des réglementations d’adéquation conformément à la section 17A de la loi britannique de 2018 sur la protection des données (un « transfert restreint au Royaume-Uni »).
« Incident de sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux données partagées.
Les termes « vendre » et « partager » ont le sens qui leur est donné dans la CCPA et la CPRA ainsi que dans leurs règlements d’application.
Le terme « données partagées » désigne les catégories d’informations personnelles énumérées à l’annexe I du présent ATD.
« Standard Contractual Clauses » désigne : (i) lorsque le EU GDPR s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux standard contractual clauses pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (« EU SCCs ») ; et (ii) lorsque le GDPR britannique s’applique, l’« Addendum relatif au transfert international de données aux Standard Contractual Clauses de la Commission européenne » publié par le commissaire à l’information en vertu de l’article 119A(1) de la DPA 2018 (« UK Addendum »).
Les « lois britanniques sur la protection des données » désignent : (i) le EU GDPR, qui fait partie intégrante du droit britannique en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne (le « UK GDPR ») ; (ii) le règlement de 2003 sur la vie privée et les communications électroniques (directive CE) ; (iii) la loi de 2018 sur la protection des données ; et (iv) toute autre loi de l’UK adoptée en vertu de, conformément à, ou mettant en œuvre (i) ou (ii), ou qui se rapporte de toute autre manière au traitement des données à caractère personnel ; dans chaque cas, telle que modifiée ou remplacée de temps à autre.
2. Divulgation des données
Sous réserve du respect par le Partenaire du Contrat sous-jacent et du présent ATD, Taboola divulguera ou mettra à la disposition du Partenaire les Données partagées afin que celui-ci les traite strictement aux fins autorisées.
3. Relation entre les parties
Les parties reconnaissent que Taboola est le responsable du traitement des Données partagées qu’elle divulgue au Partenaire, et que le Partenaire traitera les Données partagées en tant que responsable du traitement strictement aux fins autorisées.
4. Obligations des partenaires
Le partenaire garantit, déclare et s’engage à ce qui suit :
(a) il traitera à tout moment les données partagées uniquement aux fins autorisées et conformément aux lois applicables en matière de protection des données ;
(b) elle n’a aucune raison de croire que les lois applicables en matière de protection des données l’empêchent de remplir ses obligations en ce qui concerne le traitement des données partagées aux fins autorisées ;
(c) si le Partenaire détermine qu’il n’est pas en mesure de traiter les Données partagées aux fins autorisées conformément aux lois applicables en matière de protection des données, il en informera Taboola dans les plus brefs délais ;
(d) il doit à tout moment présenter et maintenir sur son site web une déclaration de confidentialité accessible au public, conforme aux exigences des lois applicables en matière de protection des données, et fournissant les coordonnées auxquelles les personnes concernées peuvent adresser leurs questions relatives à la protection des données ;
(e) il doit permettre aux personnes concernées d’exercer leurs droits en matière de protection des données conformément aux lois applicables en matière de protection des données, y compris (sans limitation) leur droit de s’opposer au traitement de leurs données partagées ;
(f) en ce qui concerne tout traitement de données partagées protégées par les lois européennes sur la protection des données, il doit :
(g) traiter les données partagées uniquement lorsqu’il a obtenu le consentement nécessaire, conformément aux exigences des lois européennes sur la protection des données ; et
(h) il mettra en œuvre les mesures techniques et organisationnelles appropriées, y compris, au minimum, les mesures énoncées à l’annexe II, afin de protéger les données partagées contre tout incident de sécurité.
5. Mesures raisonnables et appropriées
Taboola peut prendre des mesures raisonnables et appropriées pour s’assurer que le Partenaire traite les Données partagées conformément au Contrat sous-jacent et au présent ATD, d’une manière conforme aux Lois applicables en matière de protection des données.
Si le Partenaire ne respecte pas le Contrat sous-jacent, le présent DPA ou les Lois applicables en matière de protection des données, Taboola prendra des mesures raisonnables et appropriées pour mettre fin à l’utilisation non autorisée des Données partagées et y remédier (y compris la suspension ou la résiliation de la divulgation des Données partagées au Partenaire).
6. Conformité à la législation applicable
Le partenaire doit se conformer aux lois applicables en matière de protection des données et fournir le même niveau de protection de la vie privée aux données partagées que celui requis par les lois applicables en matière de protection des données.
7. Devoir de coopération
Dans le cas où l’une des parties recevrait une correspondance, une demande de renseignements ou une plainte d’une personne concernée, d’un organisme de réglementation ou d’un autre tiers (« Correspondance ») relative (a) à la divulgation des Données partagées aux fins autorisées ; ou (b) au traitement des Données partagées par l’autre partie, elle en informera rapidement l’autre partie en lui fournissant tous les détails à ce sujet, et les parties coopéreront de manière raisonnable et de bonne foi afin de répondre à la Correspondance conformément à toutes les exigences prévues par la Loi applicable en matière de protection des données.
8. Transferts restreints depuis l'EU et le UK
Dans la mesure où tout transfert de Données partagées de Taboola vers le Partenaire constitue un Transfert restreint, les Standard Contractual Clauses seront intégrées au présent ATD et s’appliqueront comme suit :
(a) lorsque le transfert restreint est un transfert restreint au sein de l’UE, les EU SCCs s’appliqueront entre Taboola (en tant qu’exportateur de données) et le partenaire (en tant qu’importateur de données) comme suit :
(i) Le module un s’appliquera ;
(ii) dans la clause 7, la clause facultative d’amarrage s’appliquera ;
(iii) à la clause 11, la formulation facultative ne s’appliquera pas ;
(iv) dans la clause 17, l’option 1 s’appliquera et les EU SCCs seront régies par le droit irlandais ;
(v) dans la clause 18(b), les litiges seront tranchés par les tribunaux irlandais ;
(vi) à l’annexe I :
(A) Les parties A et B sont réputées complétées par les informations figurant à l’annexe A du présent ATD ;
(B) La partie C sera considérée comme remplie conformément aux critères énoncés à la clause 13(a) des EU SCCs ; et
(vii) L’annexe II est réputée complétée par les mesures de sécurité énoncées à l’annexe B du présent ATD.
(b) lorsque le transfert restreint est un transfert restreint au UK, l’UK Addendum s’appliquera entre les parties comme suit :
(i) les EU SCCs, remplies comme indiqué ci-dessus, s’appliquent entre les parties et sont modifiées par le UK Addendum (rempli comme indiqué dans la sous-clause (ii) ci-dessous) ; et
(ii) Les tableaux 1 à 3 du UK Addendum sont réputés complétés par les informations pertinentes issues des EU SCCs, complétées comme indiqué ci-dessus, et les options « Exportateur » et « Importateur » sont réputées cochées dans le tableau 4. La date d’entrée en vigueur de l’UK Addendum (telle qu’indiquée dans le tableau 1) correspondra à la date d’entrée en vigueur du présent ATD.
Le partenaire ne procédera à aucun transfert restreint ultérieur des données partagées à un tiers, à moins d’avoir pris toutes les mesures nécessaires pour s’assurer que ce transfert restreint est conforme à la législation applicable en matière de protection des données et à toutes les Standard Contractual Clauses qu’il a signées avec Taboola.
Nonobstant ce qui précède, si le partenaire a obtenu la certification DPF et s’y conforme, les transferts de données partagées vers le partenaire effectués dans le cadre du DPF ne constituent pas un transfert restreint. Dans ce cas, le Partenaire informera immédiatement Taboola s’il ne respecte pas sa certification DPF ou si sa certification DPF expire ou est invalidée, auquel cas :
(a) tout transfert de Données partagées de Taboola vers un Partenaire sera immédiatement considéré comme un Transfert restreint et les dispositions relatives aux Transferts restreints ci-dessus s’appliqueront ; et
(b) Taboola peut, à sa seule discrétion, choisir de suspendre ou de mettre fin aux transferts de Données partagées vers le Partenaire sans pénalité.
9. Indemnification
Le Partenaire défendra Taboola et ses administrateurs, dirigeants, employés, agents et clients (les « Indemnitaires Taboola ») contre toute réclamation, demande, poursuite, procédures et actions intentées par un tiers en rapport avec une allégation selon laquelle le Partenaire aurait violé le présent ATD ou les lois applicables en matière de protection des données, et indemnisera les Indemnitaires de Taboola pour tous les dommages, pertes, coûts et dépenses (y compris les honoraires raisonnables d’avocat) encourus par les Indemnitaires de Taboola découlant de ou résultant de cette réclamation.
10. Divers
Le partenaire est seul responsable du respect des lois applicables en matière de protection des données dans le cadre du traitement des données partagées.
En cas de modification des lois applicables en matière de protection des données, Taboola peut modifier et mettre à jour le présent ATD dans la mesure nécessaire pour se conformer à ces modifications.
À compter de la date d’entrée en vigueur du présent ATD, les références à l’« Accord » dans le présent ATD ou dans l’Accord sous-jacent désignent l’Accord sous-jacent tel que complété par le présent ATD.
ANNEXE I
Description du partage des données
A. LISTE DES PARTIES
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. DESCRIPTION DU TRANSFERT
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ANNEXE II
Mesures de sécurité
Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris les certifications pertinentes) afin de garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Le partenaire déclare et garantit qu’il dispose de mesures techniques et organisationnelles appropriées, sensiblement similaires aux mesures de sécurité de Taboola décrites ci-dessous.
Mesures de pseudonymisation et de cryptage des données à caractère personnel : Taboola collecte uniquement des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes, car nous ne connaissons ni ne traitons le nom, l’adresse e-mail ou toute autre donnée identifiable de l’utilisateur. Les informations utilisateur que nous collectons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation de l’utilisateur, son IP Address, les pages web consultées par les utilisateurs sur les sites web de nos clients, le lien qui a conduit l’utilisateur vers le site web d’un client, les dates et heures auxquelles l’utilisateur accède au site web d’un client et d’autres données de navigation web. Le CookieID est anonymisé à l’aide de Bcrypt et l’IP Address est tronquée.
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : Taboola utilise plusieurs niveaux de sécurité électronique (par exemple : sécurité des terminaux, sécurité côté serveur, suivi des détections, tests de pénétration périodiques et collecte approfondie de renseignements pour examiner les événements post-mortem).
Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps opportun en cas d’incident physique ou technique : Taboola dispose de 9 centres de données répartis dans le monde entier. Chaque centre de données sert de réplique à un autre, de sorte que si l’un tombe en panne, les données peuvent être extraites d’un autre centre de données.
Processus permettant de tester, d’évaluer et d’analyser régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement : Taboola applique des processus rigoureux pour tester l’efficacité de ses contrôles (tant techniques qu’organisationnels). Nous avons mis en place un système de journalisation et de surveillance, des tests de reprise après sinistre mensuels (au minimum), des tests de pénétration trimestriels, des pare-feu protégeant le Web et des pots de miel répartis sur le réseau afin de détecter toute activité malveillante. De plus, nous avons mis en place un programme de primes qui nous aide à surveiller en permanence notre réseau.
Mesures relatives à l’identification et à l’autorisation des utilisateurs : Chaque utilisateur de Taboola est associé à un nom d’utilisateur et un mot de passe dédiés. Chaque accès au réseau interne de Taboola s’effectue avec une authentification à deux facteurs (2FA) utilisant l’authentification Google. Les utilisateurs sont créés uniquement par le service informatique, pendant le processus d’intégration et uniquement après avoir reçu toutes les informations et le contrat signé du service des ressources humaines.
Mesures pour la protection des données pendant leur transmission : Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). De plus, les systèmes susceptibles de contenir des informations personnelles identifiables sont sécurisés et les données sont conservées sous forme hachée et anonymisée.
Mesures pour la protection des données pendant leur stockage : Les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est réduit au minimum et repose sur le principe du « besoin d’en connaître ».
Mesures visant à garantir la sécurité physique des lieux où sont traitées les données à caractère personnel : Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie) dispose de serveurs situés dans des armoires verrouillées réservées à l’usage exclusif de Taboola. Ces armoires sont entretenues par des entreprises SOC2-certified ou dont les mesures de sécurité ont été vérifiées par Taboola. De plus, tout accès aux serveurs nécessite une autorisation écrite et enregistrée. Tous les bureaux de Taboola sont également contrôlés et exigent que les employés utilisent des cartes d’accès pour entrer. De plus, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et enregistrée.
Mesures visant à garantir la consignation des événements : Taboola met en œuvre des outils de surveillance et les journaux sont collectés dans notre système SIEM qui nous alerte en cas d’événement suspect et qui est également surveillé par l’équipe NOC.
Mesures visant à garantir la configuration du système, y compris la configuration par défaut : Les serveurs sont analysés à la fois pour détecter les dérives de configuration et le niveau des correctifs. Les rapports et/ou les alertes sont configurés sur les deux et le niveau de correctif pertinent est confirmé. Les nouveaux correctifs sont distribués à l’aide de Puppet. Toutes les révisions techniques sont gérées via l’application R&D et obtenues à l’issue d’un processus de révision formel (AQ) après la mise en œuvre des processus de codage et des CI/CD processes.
Mesures relatives à la gouvernance et à la gestion internes des technologies de l’information et de la sécurité informatique : Taboola est certifié ISO/IEC 27001:2013 et ISO/IEC 27701:2019. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de toutes les informations physiques et électroniques au sein de leur organisation. Taboola organise des formations sur la sécurité pour tous les nouveaux employés, des formations sur le phishing pour tous les employés à l’échelle mondiale, ainsi que des formations régulières sur la sécurité pour tous les employés. L’entreprise consacre également des sessions aux groupes de R&D.
Mesures pour la certification/assurance des processus et des produits : Audit interne trimestriel / semestriel / annuel portant sur plusieurs processus et systèmes afin de vérifier que Taboola respecte ses objectifs et mesures de sécurité définis.
Mesures visant à garantir la minimisation des données : Taboola limite intentionnellement les données que nous collectons dans le cadre des principes mondiaux de minimisation des données de Taboola, qui consistent à ne traiter que les données limitées nécessaires à nos objectifs commerciaux spécifiques. De plus, Taboola n’a ni la capacité ni le besoin commercial de procéder à une « ingénierie inverse » des données utilisées dans notre algorithme afin de fournir nos services. Plus précisément, les données collectées par Taboola ne permettent en aucun cas d’identifier un utilisateur, car Taboola ne collecte ni ne traite aucune information telle que le nom, le numéro de téléphone, l’adresse e-mail ou l’adresse postale des utilisateurs. Au lieu de cela, Taboola collecte uniquement des identifiants pseudonymes, qui identifient simplement les caractéristiques de l’appareil d’un utilisateur. Cela comprend les IP Address (qui sont tronquées lors de leur collecte et ne permettent d’identifier que le code postal général de l’appareil, mais jamais sa géolocalisation précise) et, dans certains cas limités, les adresses e-mail hachées (qui sont intrinsèquement irréversibles et ne peuvent être décryptées pour révéler l’adresse e-mail d’origine). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous collectons ne permettent en aucun cas d’identifier le nom, le numéro de téléphone, l’adresse e-mail ou l’adresse postale d’une personne, et nos ingénieurs ne travaillent en aucune manière dans ce but. De plus, Taboola réalise et consigne des évaluations d’impact sur la confidentialité afin de minimiser les risques liés à la confidentialité de nos services, processus et politiques.
Mesures visant à garantir la qualité des données : Les données sont collectées directement auprès de l’utilisateur, qui a la possibilité de corriger toute donnée associée à son identifiant CookieID via le portail de demande d’accès aux données de Taboola : https://accessrequest.taboola.com/access
Mesures visant à garantir une conservation limitée des données : Nous conservons les informations utilisateur, qui sont collectées directement dans le but de diffuser des publicités, pendant une durée maximale de treize (13) mois à compter de la dernière interaction de l’utilisateur avec nos services (souvent pendant une période plus courte), après quoi nous anonymisons les données en supprimant les identifiants uniques ou en agrégeant les données. Ce processus s’effectue automatiquement.
Mesures visant à garantir la responsabilité : Taboola effectue plusieurs audits de sécurité et tests de pénétration (mais pas pour tous les systèmes). Taboola utilise également des fournisseurs de services cloud certifiés ISO et conformes à d’autres certifications pertinentes pour le cloud afin de maintenir les mesures de sécurité physiques des serveurs.
Mesures visant à permettre la portabilité des données et à garantir leur effacement : Taboola est lié à la suppression des médias, quelle que soit leur nature, car ils peuvent contenir des informations personnelles identifiables. Tout support doit être entièrement effacé avant d’être réutilisé ou éliminé. Toute élimination de supports est documentée. Les employés ont pour consigne de ne pas imprimer de documents susceptibles de contenir des informations personnelles.