Conditions de confidentialité pour les propriétaires de biens numériques

Last Update: October 10, 2024

Date d’entrée en vigueur : 10 octobre 2024

Ces conditions de confidentialité de Taboola pour les propriétaires de biens numériques (« Conditions de confidentialité des éditeurs ») s’appliquent aux services publicitaires numériques de Taboola, tels que lorsque Taboola place du contenu d’annonceur sur les propriétés des éditeurs, y compris, mais sans s’y limiter, les produits et services des éditeurs comme Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News et Taboola Push, conformément à un accord entre Taboola et un éditeur (« Accord »), et ces conditions de confidentialité des éditeurs seront considérées comme intégrées et faisant partie intégrante de tout tel Accord. Ces conditions de confidentialité des éditeurs identifient les rôles et responsabilités de Taboola et de l’éditeur en ce qui concerne les données personnelles.

En cas de conflit entre les Conditions de confidentialité de l’éditeur et l’Accord, les Conditions de confidentialité de l’éditeur prévaudront, sauf si la disposition conflictuelle dans l’Accord fait expressément référence à la disposition conflictuelle de ces Conditions de confidentialité de l’éditeur et précise qu’elle prévaut sur la disposition conflictuelle.

Les termes définis dans cette section auront les significations énoncées ci-dessous, et les termes connexes seront interprétés en conséquence. Les termes en majuscules utilisés mais non définis dans les Conditions de confidentialité de l’éditeur auront les significations définies dans l’Accord.

      1. Législations applicables en matière de protection des données” désigne toutes les lois fédérales, nationales, étatiques ou autres en matière de confidentialité et de protection des données qui s’appliquent au traitement qui fait l’objet de l’Accord et de ces Conditions de confidentialité de l’éditeur, telles que modifiées ou remplacées de temps à autre.
      2. Loi californienne sur la confidentialité” désigne la California Consumer Privacy Act de 2018, Cal. Code civil § 1798.100 et suivants (également, “CCPA”), tel que modifié (y compris par la California Privacy Rights Act), et toute législation subordonnée et règlements d’application.
      3. Contrôleur” désigne : (i) une entité qui détermine les finalités et les moyens du traitement des données personnelles, et (ii) toute personne ou entité qui relève du champ d’application du terme “Contrôleur” ou “Entreprise” (ou tout terme substantiellement analogue) tel que défini par les Législations applicables en matière de protection des données.
      4. Personne concernée” désigne : (i) une personne physique identifiée ou identifiable (et, aux fins des présentes, une personne physique identifiable est celle qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui relève du champ d’application du terme “personne concernée”, “consommateur” (ou tout terme substantiellement analogue) tel que défini par les Législations sur la protection des données.
      5. Droit de protection des données de l’UE” désigne : (i) le Règlement général sur la protection des données de l’UE (Règlement 2016/679) (“RGPD de l’UE”); (ii) la Directive e-Privacy de l’UE (Directive 2002/58/CE); et (iii) toute loi nationale sur la protection des données adoptée en vertu de (i) ou (ii), chacune pouvant être modifiée ou remplacée de temps à autre.
      6. Données personnelles” désigne toute information se rapportant à une personne physique identifiée ou identifiable (et ce terme inclura, lorsque requis par la Législation applicable en matière de protection des données, des identifiants uniques de navigateur ou d’appareil), comme indiqué dans l’Annexe A, Partie B.
        1. Données personnelles d’interaction” désigne toute donnée personnelle collectée auprès des consommateurs au moment, ou suite, d’une interaction intentionnelle d’un consommateur avec Taboola, les produits de Taboola, les propriétés de Taboola et les publicités que Taboola place.
        2. «Les données personnelles d’interaction passive» désigne toute donnée personnelle collectée passivement à partir des propriétés de l’éditeur, y compris, mais sans s’y limiter, l’adresse IP, l’URL de la page et la User Agent String collectées par Taboola, avant ou en l’absence d’une interaction intentionnelle d’un consommateur avec Taboola, les produits de Taboola, les propriétés de Taboola et les publicités que Taboola place.
      7. «Processus» désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, la récupération, la consultation, la diffusion ou toute autre mise à disposition, l’alignement ou la combinaison, l’agrégation, l’inférence, la dérivation, l’analyse, la restriction, l’effacement, la destruction ou l’élimination ou tout autre traitement de données personnelles, y compris la manière dont ce terme est défini en vertu de la législation applicable sur la protection des données.
      8. «Responsable de traitement» désigne une entité qui traite des données personnelles pour le compte d’un responsable, et inclut la manière dont ce terme et/ou le terme «processeur de données» (ou tout terme substantiellement analogue) est défini en vertu de la législation applicable sur la protection des données.
      9. «Transfert restreint» signifie : (i) lorsque le RGPD de l’UE s’applique, un transfert de données personnelles de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis à une décision d’adéquation de la Commission européenne (un «transfert restreint de l’UE»); et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de données personnelles du Royaume-Uni vers tout autre pays qui n’est pas soumis ou basé sur des réglementations d’adéquation conformément à la section 17A de la loi britannique sur la protection des données de 2018 (un «transfert restreint du Royaume-Uni»).
      10. «Services» désigne les services fournis par Taboola en vertu de l’accord avec l’éditeur.
      11. «Incident de sécurité» désigne une violation de la sécurité entraînant la destruction, la perte, la modification, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles.
      12. «Standard Contractual Clauses» signifie : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 sur les Standard Contractual Clauses pour le transfert de données personnelles vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil («CCEU»); et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’«addendum international de transfert de données aux Standard Contractual Clauses de la Commission européenne» émis par le commissaire à l’information en vertu de l’article 119A(1) de la loi sur la protection des données de 2018 («Addendum du Royaume-Uni»).
      13. «Tiers» désigne une entreprise qui agit en tant que responsable de traitement en ce qui concerne des données personnelles, et qui n’est pas l’entreprise avec laquelle la personne concernée dont les données personnelles sont traitées a interagi intentionnellement ; le terme inclut la manière dont ce terme est défini en vertu de la législation applicable sur la protection des données.
      14. «La législation britannique sur la protection des données» signifie : (i) la loi britannique sur la protection des données de 2018, (ii) le RGPD du Royaume-Uni (tel que défini à l’article 3(10) de la loi britannique sur la protection des données de 2018) («RGPD du Royaume-Uni»), (iii) le règlement britannique sur la vie privée et les communications électroniques (directive CE) de 2003, et (iv) toute autre loi britannique adoptée en vertu de (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.

Pour les données personnelles traitées en lien avec les services, chaque partie convient qu’elle ne traitera les données personnelles qu’aux fins décrites dans l’annexe A, partie B (les «finalités autorisées») et comme le permettent ces conditions de confidentialité de l’éditeur, l’accord et les lois applicables sur la protection des données, chacune de ces dernières pouvant être mise à jour de temps à autre. Taboola peut également traiter les données personnelles d’interaction passive comme le permet la politique de confidentialité de Taboola, et comme cela peut être mis à jour de temps à autre.

Chaque partie traitera les données personnelles d’interaction passive qu’elle collecte en tant que responsable de traitement ou tiers, selon le cas. Chaque partie traitera les données personnelles d’interaction qu’elle collecte en tant que responsable de traitement ou entreprise, selon le cas. Les divulgations (qu’elles soient directement ou par l’intermédiaire d’une partie rendant les données disponibles à l’autre partie) de données personnelles d’une partie à l’autre sont des divulgations à des tiers.

      1. Si la législation américaine ou d’un État américain sur la protection des données s’applique aux données personnelles, y compris sans limitation la loi sur la vie privée de Californie, dans la mesure où Taboola traite des données personnelles d’interaction passive en lien avec les services, Taboola agit en tant que tiers pour l’éditeur pour ces données personnelles d’interaction passive. Taboola traitera ces données personnelles d’interaction passive aux fins décrites dans l’annexe A, partie B et comme le permettent ces conditions de confidentialité de l’éditeur, l’accord, la législation applicable sur la protection des données et la politique de confidentialité de Taboola, chacune pouvant être mise à jour de temps à autre. Ces données personnelles d’interaction passive ne sont mises à disposition de Taboola que pour ces fins. Taboola fournira le même niveau de protection de la vie privée que celui exigé des entreprises par les lois américaines sur la protection des données, y compris, le cas échéant, les lois sur la vie privée de Californie. L’Éditeur a le droit de s’assurer que Taboola utilise les Données Personnelles d’Interaction Passive d’une manière conforme aux obligations de l’Éditeur. Après avoir informé Taboola, l’Éditeur a le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des Données Personnelles qu’il met à la disposition de Taboola. Taboola informera l’Éditeur dans le délai requis par les Lois Applicables sur la Protection des Données si Taboola détermine qu’elle n’est plus en mesure de respecter ses obligations en vertu des Lois Applicables sur la Protection des Données. Dans la mesure où Taboola collecte des Données Personnelles d’Interaction en lien avec les Services, elle le fera en tant qu’Entreprise distincte.

Les parties reconnaissent qu’elles peuvent traiter des Données Personnelles et que les Lois Applicables sur la Protection des Données peuvent s’appliquer au traitement des Données Personnelles par chaque partie. Lorsque c’est le cas, chaque partie doit se conformer à ces Lois Applicables sur la Protection des Données en ce qui concerne son traitement des Données Personnelles. Lorsque c’est le cas, et sous réserve de la section 7, chaque partie sera individuellement responsable de sa propre conformité aux Lois Applicables sur la Protection des Données, y compris toute exigence applicable pour : (i) fournir de la transparence aux Sujets de Données, (ii) avoir le consentement ou une autre base légale pour le traitement, et (iii) mettre à disposition un point de contact par lequel les Sujets de Données peuvent exercer leurs droits en matière de protection des données. L’Éditeur doit informer rapidement Taboola si et dans la mesure où il reçoit une demande de droits en matière de protection des données concernant le traitement des Données Personnelles par Taboola en tant que Responsable du Traitement afin que Taboola puisse satisfaire la demande conformément à ses obligations en vertu de la Loi Applicable sur la Protection des Données.

  1. L’Éditeur doit diriger toute demande de sujet de données reçue concernant les Services de Taboola vers le Portail d’Accès aux Demandes de Sujets de Données Mondial de Taboola ou U.S. Portail d’Opt-Out des Droits des Consommateurs, le cas échéant.

Si l’une des Parties reçoit une demande, une plainte ou une correspondance (un « Avis de Tiers ») d’un individu, d’un régulateur ou d’un autre tiers concernant le traitement des Données Personnelles du Sujet de Données en lien avec les Services, elle doit rapidement informer l’autre Partie et les Parties doivent coopérer de bonne foi et de manière raisonnablement nécessaire pour répondre aux exigences de cet Avis de Tiers.

Dans le cas où l’une des parties effectue un Transfert Restreint de Données Personnelles à l’autre partie, les dispositions de l’Annexe C s’appliqueront.

Dans la mesure où Taboola collecte des Données Personnelles à partir des Propriétés de l’Éditeur en utilisant le code Taboola, des pixels et d’autres technologies de suivi, l’Éditeur doit : (i) fournir tous les avis de transparence requis aux Sujets de Données concernant l’utilisation par Taboola du code Taboola pour collecter des Données Personnelles à partir des Propriétés de l’Éditeur pour les Finalités Autorisées, et (ii) obtenir (et, sur demande à tout moment par Taboola, fournir une preuve appropriée de) le consentement du Sujet de Données pour une telle utilisation du code Taboola pour les Finalités Autorisées, dans chaque cas conformément aux exigences des Lois Applicables sur la Protection des Données. Les obligations de l’Éditeur à cet égard incluent l’identification de Taboola et de son utilisation du code Taboola pour les Finalités Autorisées expressément dans les avis de transparence et les demandes de consentement que l’Éditeur fournit aux Sujets de Données, ainsi que toute autre information requise par les Lois Applicables sur la Protection des Données, afin que Taboola puisse fournir ses Services légalement à travers ces Propriétés et traiter des Données Personnelles pour les Finalités Autorisées. Sur demande écrite, Taboola doit fournir à l’Éditeur les informations que l’Éditeur peut raisonnablement exiger concernant le code Taboola et le traitement des Données Personnelles par Taboola à travers les Propriétés de l’Éditeur pour que l’Éditeur puisse s’assurer que ses mécanismes d’avis et de consentement seront conformes aux Lois Applicables sur la Protection des Données. L’Éditeur accepte spécifiquement que :

  1. en ce qui concerne ses Propriétés basées sur le web, la Politique de Confidentialité de l’Éditeur décrira l’utilisation des cookies, des identifiants uniques et des technologies non-cookies par des tiers (c’est-à-dire Taboola) pour la publicité basée sur les intérêts et l’analyse (sur et hors des Propriétés), et fournira un lien vers la page d’opt-out de l’industrie de la NAI à http://www.networkadvertising.org, la page d’opt-out de l’industrie de la DAA à http://www.aboutads.info, ou (en ce qui concerne les médias basés sur le web européens et la collecte de données) un lien vers le lien d’opt-out de l’EDAA à http://www.youronlinechoices.eu, d’une manière qui respecte les exigences de la Loi Applicable sur la Protection des Données ; et
  2. en ce qui concerne les Propriétés basées sur des applications mobiles, la Politique de Confidentialité de l’Éditeur décrira l’utilisation sur ses applications mobiles des SDK et la collecte d’identifiants publicitaires mobiles pour la publicité basée sur les intérêts ou la publicité inter-applications et l’analyse (sur et hors des Propriétés) ; et fournira une description de la manière dont les utilisateurs et les Visiteurs peuvent se désinscrire de la collecte de données mobiles pour la publicité inter-applications via les paramètres de l’appareil.
  3. pour ses Propriétés destinées à l’UE, l’Éditeur s’assurera qu’il obtient le consentement libre, spécifique, éclairé et sans ambiguïté des Visiteurs conformément à la Loi sur la Confidentialité de l’UE, en ce qui concerne le placement ou l’accès à des cookies Taboola ou à d’autres identifiants uniques sur les appareils des Visiteurs. L’Éditeur fournira à ses Visiteurs des coordonnées (qui peuvent inclure la mise à disposition de ces coordonnées via sa Politique de Confidentialité) afin qu’ils puissent contacter l’Éditeur pour exercer leurs droits en matière de protection des données (y compris en ce qui concerne les Données Personnelles traitées en lien avec les Services). Les obligations ci-dessus s’appliquent lorsque les Propriétés de l’Éditeur attirent des Visiteurs dans des juridictions exigeant des mécanismes de consentement concernant les Services.

Pendant la Durée, Taboola peut fournir un langage recommandé pour la politique de confidentialité ou la divulgation à l’Éditeur. L’Éditeur reconnaît qu’il ne doit pas s’appuyer sur un tel langage recommandé comme, ou comme un substitut à, un avis juridique et que l’Éditeur ou la Société elle-même est seul responsable de toute divulgation dans sa politique de confidentialité ou sur son site web.

L’Éditeur ne doit pas fournir ou configurer les Services pour collecter ou divulguer autrement à Taboola des catégories spéciales de données personnelles ou des informations personnelles sensibles ou des données sensibles (telles que définies par la Loi Applicable sur la Protection des Données) à Taboola pour traitement. De plus, l’Éditeur s’assurera que les URL de page mises à disposition de Taboola ne contiendront pas d’informations sur les titres de vidéos. Taboola se réserve le droit de suspendre les Services en cas de non-conformité de l’Éditeur à ce paragraphe, sauf et jusqu’à ce que cette non-conformité soit remédiée.

Chaque Partie doit mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles des Visiteurs contre un Incident de Sécurité. Ces mesures doivent inclure les mesures énoncées dans l’Annexe B.

Si l’une des Parties subit un Incident de Sécurité concernant des Données Personnelles qu’elle traite et qui sont soumises à l’Accord et à ces Conditions de Confidentialité de l’Éditeur, cette Partie doit : (i) être responsable de l’exécution (à ses propres frais) de toute obligation de déclaration qui lui incombe en vertu des Lois Applicables sur la Protection des Données auprès des autorités de protection des données et/ou des Sujets de Données concernés, (ii) notifier l’autre Partie sans délai excessif, en fournissant les informations sur l’Incident de Sécurité qui peuvent raisonnablement être demandées par l’autre Partie ou qui sont autrement requises pour que l’autre Partie détermine si elle peut également avoir des obligations de déclaration en vertu des Lois Applicables sur la Protection des Données concernant l’Incident de Sécurité, et (iii) prendre toutes les mesures appropriées, sans délai excessif, pour remédier et/ou atténuer les effets de l’Incident de Sécurité.

Lorsque et dans la mesure où cela est requis par les Lois Applicables sur la Protection des Données auxquelles chaque partie est soumise, chaque partie doit réaliser toute évaluation d’impact sur la protection des données concernant son traitement de Données Personnelles pour les Finalités Autorisées et/ou consulter les autorités de protection des données applicables, si nécessaire. Chaque partie doit fournir toute coopération raisonnable et toute information raisonnablement demandée par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de compléter une évaluation d’impact sur la protection des données et/ou de consulter les autorités de protection des données applicables conformément aux obligations de cette autre partie en vertu de cette section.

A. LISTE DES PARTIES

Chaque partie sera :

  • un responsable du traitement (et exportateur de données) des données collectées qu’elle divulgue ou met à disposition de l’autre partie, et
  • un responsable du traitement (et importateur de données) des données collectées qu’elle reçoit de, ou auxquelles l’accès est mis à disposition par, l’autre partie.

Les détails de chaque partie sont fournis ci-dessous.

Nom : Voir les détails de l’Éditeur énoncés dans l’Accord.

Adresse : Voir les détails de l’Éditeur énoncés dans l’Accord.

Nom, poste et coordonnées de la personne de contact : Voir les détails de l’Éditeur énoncés dans l’Accord ou autrement convenus entre les parties par écrit.

Activités pertinentes aux données transférées en vertu de ces clauses : La réception des Services, comme énoncé dans l’Accord.

Signature et date : Cette Annexe A sera considérée comme exécutée dès l’acceptation par l’Éditeur de ces Conditions de Confidentialité de l’Éditeur.

Rôle (responsable/traitant) : Responsable (lorsqu’il s’agit d’un exportateur de données) et Responsable (lorsqu’il s’agit d’un importateur de données)

 

Nom : Voir les détails de Taboola énoncés dans l’introduction de l’Accord.

Adresse : Voir les détails de Taboola énoncés dans l’introduction de l’Accord.

Nom, poste et coordonnées de la personne de contact : Équipe de confidentialité de Taboola : privacy@taboola.com.

Activités pertinentes aux données transférées en vertu de ces clauses : La fourniture des Services, comme énoncé dans l’Accord.

Signature et date : Cette Annexe A sera considérée comme exécutée dès l’acceptation par Taboola de ces Conditions de Confidentialité des Éditeurs.

Rôle (responsable/traitant) : Responsable (lorsqu’il s’agit d’un exportateur de données) et Responsable (lorsqu’il s’agit d’un importateur de données)

 

B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT 

Catégories de personnes concernées dont les données personnelles sont traitées et/ou transférées : Utilisateurs

Catégories de données personnelles traitées et/ou transférées :

Donnees de l’appareil: Données de l’appareil de l’utilisateur, navigateur et système d’exploitation ; informations sur l’appareil mobile (tous les identifiants mobiles sont hachés) y compris les IDFA et AAID ; données de cookies pouvant être lues ou déployées par Taboola (tous les identifiants de cookies/identifiants d’utilisateur sont hachés) ; adresses IP ; e-mails hachés ; site web référent ; langue de l’utilisateur ; pays / région / ville. Si les applications mobiles font partie des Services, des éléments de données supplémentaires incluent la latitude/longitude tronquée et imprécise, le type de connexion et les dimensions de l’écran.

Données sur la propriété numérique visitée par l’utilisateur : comment la plateforme a été affichée et si l’utilisateur a interagi avec la plateforme ; comportement sur le web ou l’application.

Dans la mesure où le Header Bidding fait partie des Services, ce qui suit s’applique :

  • Donnees de Bid Request / Bid Response : Identifiant unique de la demande d’offre, objet IMP représentant l’impression proposée, site ou application de l’Éditeur représenté, Application, Appareil, Type d’Enchère, Temps Maximum, Devise, Catégories Bloquées, ID de l’Appareil, ID Utilisateur Taboola, Partenaires d’Étiquettes d’Appel : URL.

En ce qui concerne Taboola Newsroom, ce qui suit s’applique :

  • Événements du site web de l’éditeur : Données de conversion
  • Informations sur le navigateur de l’utilisateur lues à partir de l’agent utilisateur : L’URL de la page visitée, le site web référent, système d’exploitation, type de navigateur et version du navigateur, ID Utilisateur Taboola haché associé lu à partir du cookie, adresse IP associée, (tronquée après 30 jours).

Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte des finalités, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Non applicable.

La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue) : Continue pendant la durée de l’Accord.

Nature du traitement : Traitement des données personnelles nécessaires à la fourniture des services, comme indiqué dans l’Accord.

Objectif(s) du traitement / transfert des données et traitement ultérieur : La fourniture des Services, comme indiqué dans l’Accord. Pour éviter tout doute, les Finalités Autorisées incluent : (i) stocker et/ou accéder à des informations sur un appareil ; (ii) sélectionner des publicités de base ; (iii) créer un profil publicitaire personnalisé ; (iv) sélectionner des publicités personnalisées ; (v) créer un profil de contenu personnalisé ; (vi) sélectionner du contenu personnalisé ; (vii) mesurer la performance des publicités ; (viii) mesurer la performance du contenu ; (ix) développer et améliorer des produits ; (x) garantir la sécurité, prévenir la fraude et déboguer ; (xi) livrer techniquement des publicités ou du contenu ; (xii) faire correspondre et combiner des sources de données hors ligne ; (xiii) lier différents appareils ; (xiv) recevoir et utiliser des caractéristiques d’appareil envoyées automatiquement pour identification ; (xv) utiliser des données limitées pour sélectionner du contenu, et (xvi) sauvegarder et communiquer des choix de confidentialité.

En ce qui concerne Taboola Newsroom, ce qui suit s’applique : (i) suivi des événements de conversion d’abonnement.

En ce qui concerne Taboola Push, le but supplémentaire suivant s’applique : (i) envoi de notifications sur l’appareil d’un utilisateur.

Dans la mesure où le Header Bidding fait partie des Services, le but supplémentaire suivant s’applique : (i) déterminer s’il faut enchérir sur un emplacement et fournir des recommandations personnalisées.

Dans la mesure où Home Page 4 You fait partie des Services, le but supplémentaire suivant s’applique : (i) automatiser et organiser le contenu des éditeurs au sein des pages d’accueil des propriétés numériques désignées.

La période pendant laquelle les données personnelles seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période :

  • Taboola : Les données brutes sont conservées pendant au maximum 13 mois.
  • Annonceur : Aussi longtemps que nécessaire pour recevoir les services ou comme spécifié autrement dans l’Accord.

Pour les transferts vers des (sous-)traitants, spécifiez également l’objet, la nature et la durée du traitement : Non applicable.

 

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Autorité de contrôle compétente où s’applique le RGPD de l’UE : L’autorité de contrôle compétente pour chaque partie est décrite ci-dessous :

  • Taboola : L’autorité de contrôle compétente sera déterminée conformément à la Clause 13 des SCC de l’UE.
  • Annonceur : L’autorité de contrôle compétente sera déterminée conformément à la Clause 13 des SCC de l’UE.

Autorité de contrôle compétente où s’applique le RGPD du Royaume-Uni : Bureau du Commissaire à l’information

Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, en tenant compte de la nature, de l’étendue, du contexte et de l’objectif du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Mesures de pseudonymisation et de cryptage des données personnelles : Taboola ne collecte que des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes car nous ne connaissons ni ne traitons le nom, l’adresse e-mail ou d’autres données identifiables de l’utilisateur. Les informations sur l’utilisateur que nous collectons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation d’un utilisateur, l’adresse IP, les pages web consultées par les utilisateurs sur les sites web de nos clients, le lien qui a conduit un utilisateur à un site web client, les dates et heures auxquelles un utilisateur accède à un site web client et d’autres données de navigation web. L’ID de cookie est anonymisé à l’aide de Bcrypt et l’adresse IP est tronquée.

Mesures pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : Taboola utilise plusieurs niveaux de sécurité électronique (ex : sécurité des points de terminaison, sécurité côté serveur, suivi des détections, tests de pénétration périodiques et collecte d’intelligence approfondie pour examiner les événements post-mortem).

Mesures pour garantir la capacité de restaurer la disponibilité et l’accès aux données personnelles en temps voulu en cas d’incident physique ou technique : Taboola maintient 9 centres de données opérationnels dans le monde entier. Chaque centre de données est utilisé comme une réplique des autres, donc si l’un tombe en panne, les données peuvent être extraites d’un autre centre de données.

Processus pour tester, évaluer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement : Taboola maintient des processus stricts pour tester l’efficacité de ses contrôles (techniques et organisationnels). Nous avons mis en place une journalisation et une surveillance des systèmes, des tests de reprise après sinistre mensuels (au moins), des tests de pénétration trimestriels, des pare-feu protégeant le web et des honeypots répartis sur le réseau pour détecter toute activité malveillante. De plus, nous avons un programme de primes en place qui nous aide à surveiller constamment notre réseau.

Mesures pour l’identification et l’autorisation des utilisateurs : Chaque utilisateur de Taboola est associé à un nom d’utilisateur et un mot de passe dédiés. Chaque accès au réseau interne de Taboola se fait avec une authentification à deux facteurs utilisant Google. Les utilisateurs ne sont créés que par le département informatique, lors du processus d’intégration et uniquement après avoir reçu tous les détails et le contrat signé du département des ressources humaines.

Mesures pour la protection des données lors de la transmission : Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). De plus, les systèmes pouvant contenir des informations personnelles identifiables (PII) sont sécurisés et les données sont conservées sous forme hachée et anonymisée.

Mesures pour la protection des données pendant le stockage : Les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est minimisé et basé sur le principe du « besoin d’en connaître » pour les affaires.

Mesures pour garantir la sécurité physique des lieux où les données personnelles sont traitées : Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie) a tous ses serveurs situés dans des armoires verrouillées qui sont maintenues exclusivement pour l’utilisation de Taboola. Ces armoires sont entretenues par des entreprises qui sont soit certifiées SOC2, soit dont Taboola a examiné les mesures de sécurité. De plus, tout accès aux serveurs nécessite une autorisation écrite et enregistrée. Tous les bureaux de Taboola sont également contrôlés et nécessitent que les employés utilisent des cartes d’accès pour entrer. De plus, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et enregistrée.

Mesures pour garantir l’enregistrement des événements : Taboola met en œuvre des outils de surveillance et les journaux sont collectés dans notre système SIEM qui nous alerte sur tout événement suspect et est également surveillé par l’équipe NOC.

Mesures pour garantir la configuration du système, y compris la configuration par défaut : Les serveurs sont scannés pour détecter à la fois les dérives de configuration et le niveau de correctif. Des rapports et/ou des alertes sont définis sur les deux et le niveau de correctif pertinent est confirmé. De nouveaux correctifs sont distribués à l’aide de Puppet. Tous les examens techniques sont gérés via l’application R&D et obtenus par un processus formel d’examen (QA) après que le codage et les processus CI/CD ont également été mis en œuvre.

Mesures pour la gouvernance et la gestion internes des TI et de la sécurité des TI : Taboola est certifiée ISO 27001:2013 et 27701. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de tous les actifs d’information physiques et électroniques au sein de leur organisation. Taboola organise des formations à la sécurité pour tous les nouveaux employés, des formations sur le phishing pour tous les employés à l’échelle mondiale, et des formations régulières à la sécurité pour tous les employés, ainsi que des sessions dédiées pour les groupes de R&D.

Mesures pour la certification/l’assurance des processus et des produits : Audit interne trimestriel / semestriel / annuel sur plusieurs processus et systèmes pour valider que Taboola respecte ses objectifs de sécurité et les mesures définies.

Mesures pour garantir la minimisation des données : Taboola limite intentionnellement les données que nous collectons dans le cadre des principes mondiaux de minimisation des données de Taboola, en ne traitant que les données limitées nécessaires à nos objectifs commerciaux spécifiques. De plus, Taboola n’a pas la capacité, ni le besoin commercial, de « rétroconcevoir » l’un des points de données utilisés dans notre algorithme afin de fournir nos services. Plus précisément, les points de données que Taboola collecte ne sont jamais indicatifs de l’identité d’un utilisateur — car Taboola ne collecte ni ne traite des informations telles que le nom de l’utilisateur, son numéro de téléphone, son e-mail ou ses adresses physiques. Au lieu de cela, Taboola ne collecte que des identifiants pseudonymes, qui identifient simplement des caractéristiques concernant l’appareil d’un utilisateur. Cela inclut les adresses IP (qui sont tronquées lors de la collecte et ne peuvent identifier que l’emplacement général du code postal de l’appareil, mais jamais une géolocalisation précise) et, dans certains cas limités, des adresses e-mail hachées (qui sont intrinsèquement irréversibles et ne peuvent pas être décryptées pour révéler l’adresse e-mail d’origine). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous collectons ne peuvent jamais produire le nom, le numéro de téléphone, l’e-mail ou l’adresse physique d’un individu, et nos ingénieurs ne travaillent en aucun cas pour atteindre cet objectif. De plus, Taboola effectue et enregistre des évaluations d’impact sur la vie privée dans le but de minimiser les risques pour la vie privée de nos services, processus et politiques.

Mesures pour garantir la qualité des données : Les données sont collectées directement auprès de l’utilisateur et l’utilisateur a la possibilité de corriger toute donnée associée à son CookieID via le portail de demande d’accès aux données de Taboola : https://accessrequest.taboola.com/access

Mesures pour garantir une conservation limitée des données : Nous conservons les informations utilisateur, qui sont directement collectées aux fins de diffusion d’annonces, pendant au maximum treize (13) mois à partir de la dernière interaction de l’utilisateur avec nos services (souvent pour une période plus courte), après quoi nous dé-identifions les données en supprimant les identifiants uniques ou en agrégeant les données. Ce processus est effectué automatiquement.

Mesures pour garantir la responsabilité : Taboola effectue plusieurs audits de sécurité et tests de pénétration (mais pas pour tous les systèmes). Taboola utilise également des fournisseurs de cloud qui sont certifiés ISO et qui respectent d’autres certifications pertinentes pour le cloud afin de maintenir les protections physiques d’un serveur.

Mesures permettant la portabilité des données et garantissant l’effacement : Taboola lié à l’élimination des médias, la même chose pour tous les types de médias car cela pourrait contenir des informations personnelles identifiables. Tout média doit être complètement effacé avant d’être réutilisé ou éliminé. Toute élimination de média est documentée. Les employés sont instruits de ne pas imprimer de papier pouvant contenir des informations personnelles.

  1. Dans la mesure où une partie effectue un Transfert Restreint de Données Collectées à l’autre partie, les Standard Contractual Clauses seront intégrées dans ces Conditions de Confidentialité des Éditeurs et s’appliqueront comme suit :

a. lorsque le Transfert Restreint est un Transfert Restreint de l’UE, les CCT de l’UE s’appliqueront entre les parties comme suit :

  1. (i) Module Un s’appliquera ;
  2. (ii) dans la Clause 7, la Clause d’amarrage optionnelle s’appliquera ;
  3. (iv) dans la Clause 11, la langue optionnelle ne s’appliquera pas ;
  4. (v) dans la Clause 17, l’Option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;
  5. (vi) dans la Clause 18(b), les litiges seront résolus devant les tribunaux d’Irlande ;
  6. (vii) Les Parties A, B et C de l’Annexe I seront considérées comme complètes avec les informations énoncées dans les Parties A, B et C de l’Annexe A de ces Conditions de Confidentialité des Éditeurs ; et
  7. (vii) L’Annexe II sera considérée comme complète avec les mesures de sécurité énoncées dans l’Annexe B de ces Conditions de Confidentialité des Éditeurs ;

b. lorsque le Transfert Restreint est un Transfert Restreint du Royaume-Uni, l’Addendum du Royaume-Uni s’appliquera entre les parties comme suit :

(i) les CCT de l’UE, complétées comme indiqué ci-dessus, s’appliqueront entre les parties et seront modifiées par l’Addendum du Royaume-Uni (complété comme indiqué dans le sous-clause (ii) ci-dessous) ; et

(ii) les tableaux 1 à 3 de l’Addendum du Royaume-Uni seront considérés comme complétés avec les informations pertinentes des CCT de l’UE, complétées comme indiqué ci-dessus, et les options “Exportateur” et “Importateur” seront considérées comme cochées dans le tableau 4. La date de début de l’Addendum du Royaume-Uni (comme indiqué dans le tableau 1) sera la Date d’Effet de ces Conditions de Confidentialité des Éditeurs.

2. Transferts Restreints ultérieurs : Aucune des parties ne procédera à un Transfert Restreint de Données Collectées qu’elle reçoit de l’autre partie, à moins qu’elle n’ait effectué tous les actes et choses nécessaires pour garantir que ce Transfert Restreint est conforme à la Loi Applicable sur la Protection des Données et à tout Clauses Contractuelles Standards qu’elle a convenues avec l’autre partie.