Conditions de confidentialité de l’éditeur

Last Update: October 10, 2024

Date d’entrée en vigueur : 10 octobre 2024

Les présentes Conditions de confidentialité de l’éditeur Taboola (« Conditions de confidentialité de l’éditeur ») s’appliquent aux services de publicité numérique de Taboola, par exemple lorsque Taboola place du contenu de l’annonceur sur les propriétés de l’éditeur, y compris, mais sans s’y limiter, les produits et services de l’éditeur tels que Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News et Taboola Push, conformément à un accord entre Taboola et un éditeur (« Contrat »), et les présentes Conditions de confidentialité de l’éditeur seront réputées être intégrées à un tel Contrat et en feront partie intégrante. Les présentes Conditions de confidentialité de l’éditeur identifient Taboola et les rôles et responsabilités de l’Éditeur en ce qui concerne les Données personnelles.

En cas de conflit entre les Conditions de confidentialité de l’éditeur et le Contrat, les Conditions de confidentialité de l’éditeur prévaudront, à moins que la disposition contradictoire du Contrat ne fasse expressément référence à la disposition contradictoire des présentes Conditions de confidentialité de l’éditeur et spécifie qu’elle remplace la disposition contradictoire.

Les termes définis dans la présente section ont le sens qui leur est donné ci-dessous, et les termes apparentés doivent être interprétés en conséquence. Les termes commençant par une majuscule utilisés mais non définis dans les Conditions de confidentialité de l’éditeur ont la signification définie dans le Contrat.

      1. Lois applicables en matière de protection des données» désigne toutes les lois fédérales, nationales, étatiques ou autres lois applicables en matière de confidentialité et de protection des données qui s’appliquent au Traitement faisant l’objet du Contrat et des présentes Conditions de confidentialité de l’éditeur, telles qu’elles peuvent être modifiées ou remplacées de temps à autre.
      2. Loi californienne sur la protection de la vie privée” désigne la loi californienne sur la protection de la vie privée des consommateurs de 2018, Cal. Code civil § 1798.100 et suiv. (également, «Le CCPA»), telle que modifiée (y compris par la loi californienne sur les droits à la vie privée), ainsi que toute législation et réglementation subordonnée.
      3. Contrôleur» désigne : (i) une entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel, et (ii) toute personne ou entité qui entre dans le champ d’application du terme « Responsable du traitement » ou « Entreprise » (ou tout terme substantiellement analogue) tel que défini par les Lois applicables en matière de protection des données.
      4. Personne concernée» désigne : (i) une personne physique identifiée ou identifiable (et, à ces fins, une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques aux facteurs physiques, physiologiques, génétiques, l’identité mentale, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui entre dans le champ d’application des termes « personne concernée », « consommateur » (ou tout terme substantiellement analogue) tel que défini par les Lois sur la protection des données.
      5. Loi de l’UE sur la protection des données» désigne : (i) le Règlement général sur la protection des données de l’UE (Règlement 2016/679) ()RGPD de l’UE”); ii) la directive de l’UE sur la vie privée et les communications électroniques (directive 2002/58/CE) ; et (iii) toute loi nationale sur la protection des données adoptée en vertu de (i) ou (ii), chacune pouvant être modifiée ou remplacée de temps à autre.
      6. Données personnelles» désigne toute information se rapportant à une personne identifiée ou identifiable (et ce terme inclut, lorsque la Législation applicable en matière de protection des données l’exige, les identifiants uniques de navigateur ou d’appareil), comme indiqué à l’Annexe A, Partie B.
        1. Interaction Données personnelles» désigne toutes les données personnelles collectées auprès des consommateurs au moment ou à la suite de l’interaction intentionnelle d’un consommateur avec Taboola, les produits de Taboola, les propriétés de Taboola et les publicités placées par Taboola.
        2. Données personnelles à interaction passive» désigne toutes les Données personnelles collectées passivement à partir des Propriétés de l’Éditeur, y compris, mais sans s’y limiter, l’adresse IP, l’URL de la page et la chaîne d’agent utilisateur collectées par Taboola, avant ou en l’absence d’interaction intentionnelle d’un consommateur avec Taboola, les produits de Taboola, les propriétés de Taboola et les publicités placées par Taboola.
      7. Processus» désigne toute opération ou ensemble d’opérations qui est effectuée sur des Données à caractère personnel ou sur des ensembles de Données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, l’agrégation, l’inférence, la dérivation, l’analyse, la restriction, l’effacement, la destruction, l’élimination ou toute autre manipulation des Données personnelles, y compris la définition de ce terme en vertu de la Loi applicable en matière de protection des données.
      8. Processeur» désigne une entité qui traite des données personnelles pour le compte d’un responsable du traitement, et inclut la manière dont ce terme et/ou le terme « sous-traitant » (ou tout terme substantiellement analogue) est défini en vertu de la loi applicable en matière de protection des données.
      9. Transfert restreint» désigne : (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à caractère personnel de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis à une détermination d’adéquation par la Commission européenne (un «Transfert restreint dans l’UE“); et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis à des réglementations d’adéquation ou qui n’est pas fondé sur celles-ci en vertu de l’article 17A de la loi sur la protection des données du Royaume-Uni de 2018 (une «Transfert restreint au Royaume-Uni“).
      10. Les services” désigne les services fournis par Taboola dans le cadre de l’Accord avec l’Éditeur.
      11. « Incident de sécurité» désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite à des Données à caractère personnel.
      12. « Clauses contractuelles types » désigne : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (“CCT de l’UE”); et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’« Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne » publié par le Commissaire à l’information en vertu de l’article 119A(1) de la DPA 2018 («Addendum Royaume-Uni”).
      13. Tiers» désigne une entreprise qui agit en tant que Responsable du traitement en ce qui concerne les Données à caractère personnel, et qui n’est pas l’entreprise avec laquelle la Personne concernée dont les Données à caractère personnel sont traitées a intentionnellement interagi ; le terme inclut la façon dont ce terme est défini en vertu de la loi applicable en matière de protection des données.
      14. Loi britannique sur la protection des données» désigne : (i) la loi britannique sur la protection des données de 2018, (ii) le RGPD du Royaume-Uni (tel que défini à l’article 3(10) de la loi britannique sur la protection des données de 2018) ()RGPD au Royaume-Uni»), (iii) le Règlement de 2003 sur la protection de la vie privée et les communications électroniques (Directive CE) du Royaume-Uni), et (iv) toute autre loi britannique adoptée en vertu de (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.

Pour les Données Personnelles Traitées dans le cadre des Services, chaque partie accepte de Traiter les Données Personnelles qu’elle collecte uniquement aux fins décrites à l’Annexe A, Partie B (la «Fins permises») et dans la mesure permise par les présentes Conditions de confidentialité de l’éditeur, le Contrat et les Lois applicables en matière de protection des données, chacune d’entre elles pouvant être mise à jour de temps à autre. Taboola peut également traiter les données personnelles d’interaction passive comme le permet la politique de confidentialité de Taboola et qui peut être mise à jour de temps à autre.

Chaque Partie traitera les Données à caractère personnel d’interaction passive qu’elle collecte en tant que Responsable du traitement ou Tiers, selon le cas. Chaque partie traitera les données personnelles d’interaction qu’elle collecte en tant que responsable du traitement ou entreprise, selon le cas. Les divulgations (que ce soit directement ou par l’intermédiaire d’une partie mettant des données à la disposition de l’autre partie) de Données personnelles d’une partie à l’autre sont des divulgations à des Tiers.

      1. Si la loi américaine ou un État américain sur la protection des données s’applique aux données personnelles, y compris, mais sans s’y limiter, la loi californienne sur la protection de la vie privée, dans la mesure où Taboola traite des données personnelles d’interaction passive en relation avec les Services, Taboola agit en tant que tiers de l’éditeur pour ces données personnelles d’interaction passive. Taboola traitera ces Données personnelles d’interaction passive aux fins décrites à l’Annexe A, Partie B et comme le permettent les présentes Conditions de confidentialité de l’éditeur, l’Accord, la Loi applicable en matière de protection des données et la Politique de confidentialité de Taboola, chacune pouvant être mise à jour de temps à autre. Ces données personnelles d’interaction passive ne sont mises à la disposition de Taboola qu’à ces fins. Taboola fournira le même niveau de protection de la vie privée que celui exigé des entreprises par les lois américaines applicables en matière de protection des données, y compris, le cas échéant, les lois californiennes sur la protection de la vie privée. L’Éditeur a le droit de s’assurer que Taboola utilise les Données personnelles d’interaction passive d’une manière conforme aux obligations de l’Éditeur. Après en avoir informé Taboola, l’Éditeur a le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des Données personnelles qu’il met à la disposition de Taboola. Taboola informera l’Éditeur dans le délai requis par les Lois applicables en matière de protection des données si Taboola détermine qu’il n’est plus en mesure de respecter ses obligations en vertu des Lois applicables en matière de protection des données. Dans la mesure où Taboola collecte des Données personnelles d’interaction dans le cadre des Services, elle le fera en tant qu’entreprise distincte.

Les parties reconnaissent qu’elles peuvent traiter des données à caractère personnel et que les lois applicables en matière de protection des données peuvent s’appliquer au traitement des données à caractère personnel par chaque partie. Lorsque tel est le cas, chaque partie doit se conformer à ces Lois applicables en matière de protection des données en ce qui concerne son traitement des Données personnelles. Lorsque tel est le cas, et sous réserve de l’article 7, chaque partie est individuellement responsable de son propre respect des Lois applicables en matière de protection des données, y compris de toute exigence applicable pour : (i) assurer la transparence aux Personnes concernées, (ii) obtenir le consentement ou une autre base légale pour le Traitement, et (iii) mettre à disposition un point de contact par l’intermédiaire duquel les Personnes concernées peuvent exercer leurs droits en matière de protection des données. L’Éditeur informera rapidement Taboola si et dans la mesure où il reçoit une demande de droits de protection des données concernant le Traitement des données personnelles de Taboola en tant que Responsable du traitement afin que Taboola puisse répondre à la demande conformément à ses obligations en vertu de la Loi applicable en matière de protection des données.

  1. L’Editeur adressera toute demande de la personne concernée reçue concernant les Services de Taboola à Portail mondial de demande d’accès aux données de Taboola ou États-Unis Portail de désinscription des droits des consommateurs, le cas échéant.

Si l’une ou l’autre des Parties reçoit une demande de renseignements, une plainte ou une correspondance (une «Avis à un tiers») d’une personne, d’un organisme de réglementation ou d’un autre tiers concernant le traitement des Données à caractère personnel de la Personne concernée dans le cadre des Services, il informera rapidement l’autre Partie et les Parties coopéreront de bonne foi et dans la mesure où cela est raisonnablement nécessaire pour répondre aux exigences de cet Avis à un tiers.

Dans le cas où l’une des parties effectue un transfert restreint de données personnelles à l’autre partie, les dispositions de l’annexe C s’appliquent.

Dans la mesure où Taboola collecte des données personnelles auprès des Propriétés de l’éditeur à l’aide du code Taboola, des pixels et d’autres technologies de suivi, l’Éditeur doit : (i) fournir tous les avis de transparence requis aux Personnes concernées concernant l’utilisation du code Taboola par Taboola pour collecter des Données personnelles des Propriétés de l’Éditeur aux fins autorisées, et (ii) obtenir (et, sur demande à tout moment de Taboola, fournir une preuve appropriée du consentement de la Personne concernée à une telle utilisation du code Taboola aux fins autorisées, dans chaque cas conformément aux exigences des Lois applicables en matière de protection des données. Les obligations de l’Éditeur à cet égard comprennent l’identification de Taboola et son utilisation du code Taboola pour les Fins autorisées expressément dans les avis de transparence et les invites de consentement que l’Éditeur fournit aux Personnes concernées, ainsi que toute autre information requise par les Lois applicables en matière de protection des données, afin que Taboola puisse fournir ses Services légalement par le biais de ces Propriétés et Traiter les Données personnelles aux Fins autorisées. Sur demande écrite, Taboola fournira à l’Éditeur les informations que l’Éditeur peut raisonnablement exiger sur le code Taboola et le Traitement des données personnelles par Taboola par le biais des Propriétés de l’Éditeur pour que l’Éditeur s’assure que ses mécanismes de notification et de consentement seront conformes aux Lois applicables en matière de protection des données. L’Editeur convient spécifiquement que :

  1. en ce qui concerne ses Propriétés Web, la Politique de confidentialité de l’Éditeur doit décrire l’utilisation de cookies, d’identifiants uniques et de technologies autres que les cookies par des tiers (c’est-à-dire Taboola) pour la publicité et l’analyse basées sur les intérêts (sur et en dehors des Propriétés), et doit fournir un lien vers la page de désinscription de l’industrie de la NAI à l’adresse http://www.networkadvertising.org, la page de désinscription de l’industrie de la DAA à l’http://www.aboutads.info, ou (en ce qui concerne les médias Web européens et la collecte de données) un lien vers la désinscription de l’EDAA lien à http://www.youronlinechoices.eu, d’une manière qui répond aux exigences de la Loi applicable en matière de protection des données ; et
  2. en ce qui concerne les Propriétés basées sur des applications mobiles, la Politique de confidentialité de l’Éditeur doit décrire l’utilisation sur ses applications mobiles des SDK et la collecte d’identifiants publicitaires mobiles pour la publicité et l’analyse basées sur les intérêts ou inter-applications (sur et en dehors des Propriétés) ; et fournir une description de la manière dont les utilisateurs et les visiteurs peuvent refuser la collecte de données mobiles pour la publicité inter-applications via les paramètres de l’appareil.
  3. pour ses Propriétés destinées à l’UE, l’Éditeur doit s’assurer qu’il obtient le consentement libre, spécifique, éclairé et sans ambiguïté des Visiteurs, conformément à la Législation de l’UE sur la protection de la vie privée, en ce qui concerne le placement ou l’accès à des cookies Taboola ou à tout autre identifiant unique sur le(s) appareil(s) des Visiteurs. L’Éditeur doit fournir à ses Visiteurs des coordonnées (ce qui peut inclure la mise à disposition de ces détails par le biais de sa Politique de confidentialité) afin qu’ils puissent contacter l’Éditeur pour exercer leurs droits en matière de protection des données (y compris en ce qui concerne les Données personnelles traitées dans le cadre des Services). Les obligations qui précèdent s’appliquent lorsque les Propriétés de l’Éditeur attirent des Visiteurs dans des juridictions exigeant des mécanismes de consentement en ce qui concerne les Services.

Pendant la Durée, Taboola peut fournir une politique de confidentialité recommandée ou un langage de divulgation à l’Éditeur. L’Éditeur reconnaît qu’il ne s’appuiera pas sur un langage recommandé en tant qu’avis juridique ou en tant que substitut à celui-ci et que l’Éditeur ou la Société elle-même est seul responsable de toute divulgation dans sa politique de confidentialité ou sur son site Web.

L’Éditeur ne doit pas fournir ou configurer les Services pour collecter ou divulguer à Taboola des catégories spéciales de données personnelles ou d’informations personnelles sensibles ou de données sensibles (telles que définies en vertu de la Loi applicable en matière de protection des données) à Taboola pour traitement. De plus, l’Éditeur doit s’assurer que les URL de page mises à la disposition de Taboola ne contiennent pas d’informations sur le titre de la vidéo. Taboola se réserve le droit de suspendre les Services en cas de non-respect du présent paragraphe par l’Éditeur, à moins que et jusqu’à ce qu’il soit remédié à ce manquement.

Chaque Partie mettra en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles des Visiteurs contre un Incident de Sécurité. Ces mesures comprennent les mesures énoncées à l’annexe B.

Si l’une ou l’autre des Parties subit un Incident de sécurité concernant les Données à caractère personnel qu’elle Traite et qui font l’objet du Contrat et des présentes Conditions de confidentialité de l’Éditeur, cette Partie devra : (i) être responsable de l’exécution (à ses propres frais) de toute obligation de déclaration qui lui est applicable en vertu des Lois applicables en matière de protection des données aux autorités de protection des données et/ou aux Personnes concernées concernées, (ii) notifier l’autre Partie sans retard injustifié, en fournissant les informations sur l’Incident de sécurité qui peuvent raisonnablement être demandées par l’autre Partie ou qui sont autrement requises pour que l’autre Partie puisse déterminer si elle peut également avoir des obligations de signalement en vertu des Lois applicables en matière de protection des données à l’égard de l’Incident de sécurité, et (iii) prendre toutes ces actions et mesures, sans retard injustifié, le cas échéant pour remédier et/ou atténuer les effets de l’Incident de sécurité.

Lorsque et dans la mesure requise par les Lois applicables en matière de protection des données auxquelles chaque partie est soumise, chaque partie doit effectuer toute analyse d’impact relative à la protection des données concernant son Traitement des données personnelles aux fins autorisées et/ou consulter les autorités compétentes en matière de protection des données, le cas échéant. Chaque partie doit fournir toute la coopération raisonnable et les informations raisonnablement demandées par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de réaliser une analyse d’impact relative à la protection des données et/ou de consulter les autorités de protection des données applicables conformément aux obligations de cette autre partie en vertu de la présente section.

A. LISTE DES PARTIES

Chaque partie est :

  • un responsable du traitement (et un exportateur de données) des Données collectées qu’il divulgue ou met à la disposition de l’autre partie, et
  • un responsable du traitement (et un importateur de données) des données collectées qu’il reçoit de l’autre partie ou auxquelles il donne accès.

Les coordonnées de chaque partie sont fournies ci-dessous.

Nom: Consultez les coordonnées de l’annonceur figurant dans le Contrat.

Adresse: Consultez les coordonnées de l’annonceur figurant dans le Contrat.

Nom de la personne de contact, fonction et coordonnées : Voir les coordonnées de l’Annonceur énoncées dans le Contrat ou autrement convenues par écrit entre les parties.

Activités relatives aux données transférées en vertu des présentes Clauses : La réception des Services, comme indiqué dans le Contrat.

Signature et date : La présente Annexe A sera réputée exécutée dès l’acceptation par l’Annonceur des présentes Conditions de confidentialité de l’Annonceur.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement (lorsqu’il s’agit d’un exportateur de données) et Responsable du traitement (s’il s’agit d’un importateur de données)

 

Nom: Voir les détails de Taboola présentés dans l’introduction de l’Accord.

Adresse: Voir les détails de Taboola présentés dans l’introduction de l’Accord.

Nom de la personne de contact, fonction et coordonnées : L’équipe de confidentialité de Taboola, privacy@taboola.com.

Activités relatives aux données transférées en vertu des présentes Clauses : La fourniture des Services, telle que définie dans le Contrat.

Signature et date : Cette Annexe A sera considérée comme exécutée dès l’acceptation par Taboola des présentes Conditions de confidentialité de l’annonceur.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement (lorsqu’il s’agit d’un exportateur de données) et Responsable du traitement (s’il s’agit d’un importateur de données)

 

B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT 

Catégories de personnes concernées dont les données à caractère personnel sont traitées et/ou transférées : Utilisateurs

Catégories de données personnelles traitées et/ou transférées :

Données de l’appareil : Système d’exploitation, type de navigateur, version du navigateur, adresse IP (tronquée dans les 30 jours) de la collecte, code postal (dérivé de l’adresse IP), identifiant d’utilisateur Taboola haché, e-mails hachés, visites initiales et ultérieures de la page sur le site Web de l’annonceur, sexe de l’utilisateur (déduit des intérêts), signaux d’engagement (temps passé sur le site, profondeur de défilement, profondeur de session), données de conversion.

Données sur la propriété numérique visitée par l’utilisateur : L’URL de la page visitée, du site web référent

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Sans objet.

La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue) : Continu pendant toute la durée de l’Accord.

Nature du traitement : Traitement des Données à caractère personnel nécessaire à la fourniture des Services, comme indiqué dans le Contrat.

Finalité(s) du traitement/transfert des données et du traitement ultérieur : La fourniture des Services, telle que définie dans le Contrat. Afin d’éviter toute ambiguïté, les finalités autorisées comprennent : (i) le stockage et/ou l’accès à des informations sur un appareil ; (ii) sélection des publicités de base ; (iii) la création d’un profil publicitaire personnalisé ; (iv) la sélection d’annonces personnalisées ; (v) la création d’un profil de contenu personnalisé ; (vi) la sélection de contenu personnalisé ; (vii) mesurer les performances publicitaires ; (viii) mesurer la performance du contenu ; ix) la mise au point et l’amélioration des produits ; (x) assurer la sécurité, prévenir la fraude et le débogage ; (xi) la diffusion technique de publicités ou de contenu ; (xii) l’appariement et la combinaison de sources de données hors ligne ; (xiii) liaison de différents appareils ; (xiv) la réception et l’utilisation des caractéristiques du dispositif envoyées automatiquement à des fins d’identification ; (xv) l’utilisation de données limitées pour sélectionner le contenu, et (xvi) la compréhension des audiences à l’aide de statistiques.

La durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée :

  • Taboola: Les données brutes sont stockées pendant 13 mois au maximum.
  • Annonceur: Aussi longtemps que nécessaire pour recevoir les Services ou comme autrement spécifié dans le Contrat.

Pour les transferts à des (sous-)sous-traitants ultérieurs, précisez également l’objet, la nature et la durée du traitement : Sans objet.

 

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Autorité de contrôle compétente lorsque le RGPD de l’UE s’applique : L’autorité de contrôle compétente pour chaque partie est décrite ci-dessous :

  • Taboola: L’autorité de contrôle compétente est déterminée conformément à l’article 13 des CCT de l’UE.
  • Annonceur: L’autorité de contrôle compétente est déterminée conformément à l’article 13 des CCT de l’UE.

Autorité de contrôle compétente lorsque le RGPD britannique s’applique : Le Commissariat à l’information

Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris les éventuelles certifications pertinentes) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Mesures de pseudonymisation et de cryptage des données personnelles : Taboola ne collecte que des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes parce que nous ne connaissons pas ou ne traitons pas le nom, l’adresse e-mail ou d’autres données identifiables de l’utilisateur. Les informations utilisateur que nous recueillons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation d’un utilisateur, l’adresse IP, les pages Web consultées par les utilisateurs sur les sites Web de nos clients, le lien qui a conduit un utilisateur au site Web d’un client, les dates et heures auxquelles un utilisateur accède au site Web d’un client et d’autres données de navigation Web. Le CookieID est anonymisé à l’aide de Bcrypt et l’adresse IP est tronquée.

Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : Taboola utilise plusieurs niveaux de sécurité électronique (par exemple : sécurité des terminaux, sécurité côté serveur, suivi des détections, tests d’intrusion périodiques et collecte de renseignements approfondis pour examiner les événements post-mortem).

Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique : Taboola gère 9 centres de données opérant dans le monde entier. Chaque centre de données est utilisé comme une réplication les uns des autres, de sorte que si l’un d’entre eux tombe en panne, les données peuvent être extraites d’un autre centre de données.

Processus permettant de tester, d’évaluer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement : Taboola maintient des processus stricts pour tester l’efficacité de ses contrôles (à la fois techniques et organisationnels). Nous avons mis en place une journalisation et une surveillance du système, des tests de reprise après sinistre mensuels (au moins), des tests d’intrusion trimestriels, des pare-feu protégeant le Web et des honeypots répartis sur le réseau pour détecter toute activité malveillante. De plus, nous avons mis en place un programme de primes qui nous aide à surveiller constamment notre réseau.

Mesures d’identification et d’autorisation de l’utilisateur : Chaque utilisateur de Taboola est associé à un nom d’utilisateur et à un mot de passe dédiés. Chaque accès au réseau interne de Taboola se fait avec 2FA en utilisant l’authentification Google. Les utilisateurs sont créés uniquement par le service informatique, pendant le processus d’intégration et uniquement après avoir reçu tous les détails et signé le contrat du service RH.

Mesures de protection des données lors de la transmission : Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). De plus, les systèmes susceptibles de contenir des informations personnelles sont sécurisés et les données sont hachées et anonymisées.

Mesures de protection des données pendant le stockage : Les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est minimisé et basé sur le principe du « besoin de savoir de l’entreprise ».

Mesures visant à assurer la sécurité physique des lieux où les données à caractère personnel sont traitées : Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie) a tous ses serveurs situés dans des armoires verrouillées qui sont maintenues exclusivement pour l’utilisation de Taboola. Ces armoires sont entretenues par des entreprises certifiées SOC2 ou Taboola a revu ses mesures de sécurité. De plus, tout accès aux serveurs nécessite une autorisation écrite et enregistrée. Tous les bureaux de Taboola sont également contrôlés et exigent que les employés utilisent des cartes d’accès pour entrer. De plus, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et enregistrée.

Mesures pour assurer l’enregistrement des événements : Taboola met en œuvre des outils de surveillance et les journaux sont rassemblés dans notre système SIEM qui nous alerte en cas d’événement suspect et est également surveillé par l’équipe NOC.

Mesures pour assurer la configuration du système, y compris la configuration par défaut : Les serveurs sont analysés à la fois pour la dérive de configuration et le niveau de correctif. Les rapports et/ou les alertes sont définis sur les deux et le niveau de correctif pertinent est confirmé. Les nouveaux correctifs sont distribués à l’aide de Puppet. Tous les examens techniques sont gérés par l’application de R-D et obtenus par le biais d’un processus formel d’examen (AQ) après la mise en œuvre des processus de codage et de CI/CD.

Mesures de gouvernance et de gestion internes de l’informatique et de la sécurité informatique : Taboola est certifié ISO 27001:2013 et 27701. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de tous les actifs d’information physiques et électroniques dans l’ensemble de leur organisation. Taboola organise des formations à la sécurité pour tous les nouveaux employés, des formations sur le phishing pour tous les employés dans le monde entier, et des formations régulières à la sécurité pour tous les employés, ainsi que des sessions dédiées aux groupes de R&D.

Mesures de certification/assurance des processus et des produits : Audit interne trimestriel / semestriel / annuel sur plusieurs processus et systèmes pour valider que Taboola se conforme à ses objectifs et mesures de sécurité définis.

Mesures pour assurer la minimisation des données : Taboola limite intentionnellement les données que nous collectons dans le cadre des principes mondiaux de minimisation des données de Taboola qui consistent à ne traiter que les données limitées nécessaires à nos fins commerciales spécifiques. De plus, Taboola n’a pas la capacité, ni aucune obligation commerciale, de « faire de l’ingénierie inverse » sur l’un des points de données utilisés dans notre algorithme afin de fournir nos services. Plus précisément, les points de données collectés par Taboola ne sont jamais indicatifs de l’identité d’un utilisateur, car Taboola ne collecte ni ne traite d’informations telles que le nom de l’utilisateur, son numéro de téléphone, son adresse e-mail ou son adresse physique. Au lieu de cela, Taboola ne collecte que des identifiants pseudonymes, qui identifient simplement les caractéristiques de l’appareil d’un utilisateur. Cela inclut les adresses IP (qui sont tronquées lors de la collecte et ne peuvent identifier que l’emplacement général du code postal de l’appareil, mais jamais une géolocalisation précise) et, dans certains cas limités, les adresses e-mail hachées (qui sont intrinsèquement irréversibles et ne peuvent pas être déchiffrées pour révéler l’adresse e-mail d’origine). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous recueillons ne peuvent jamais produire le nom, le numéro de téléphone, l’adresse e-mail ou l’adresse physique d’un individu, et nos ingénieurs ne travaillent en aucune manière pour atteindre cet objectif. De plus, Taboola effectue et enregistre des évaluations d’impact sur la vie privée dans le but de minimiser les risques de confidentialité de nos services, processus et politiques.

Mesures visant à garantir la qualité des données : Les données sont collectées directement auprès de l’utilisateur et celui-ci a la possibilité de corriger toutes les données associées à son CookieID via le portail de demande d’accès du sujet Taboola : https://accessrequest.taboola.com/access

Mesures visant à garantir une conservation limitée des données : Nous conservons les informations de l’utilisateur, qui sont directement collectées dans le but de diffuser des publicités, pendant au plus treize (13) mois à compter de la dernière interaction de l’utilisateur avec nos services (souvent pour une période plus courte), après quoi nous dépersonnalisons les données en supprimant les identifiants uniques ou en agrégeant les données. Ce processus se fait automatiquement.

Mesures visant à assurer l’obligation de rendre des comptes : Taboola effectue plusieurs audits de sécurité et tests d’intrusion (mais pas pour tous les systèmes). Taboola utilise également des fournisseurs de cloud certifiés ISO et conformes à d’autres certifications pertinentes pour le cloud pour maintenir les protections physiques d’un serveur.

Mesures visant à permettre la portabilité des données et à garantir l’effacement : Taboola lié à l’élimination des supports est le même pour tous les types de médias car il peut contenir des PII. Tout support doit être complètement essuyé avant d’être réutilisé ou éliminé. Toute élimination de support est documentée. Les employés ont pour instruction de ne pas imprimer de papier qui pourrait contenir des informations personnelles.

  1. Dans la mesure où une partie effectue un transfert restreint des données collectées à l’autre partie, les clauses contractuelles types seront intégrées aux présentes conditions de confidentialité de l’éditeur et s’appliqueront comme suit :

a. lorsque le transfert restreint est un transfert restreint de l’UE, les CCT de l’UE s’appliqueront entre les parties comme suit :

  1. (i) le module un s’appliquera ;
  2. (ii) dans la Clause 7, la Clause d’amarrage facultative s’appliquera ;
  3. (iv) dans la Clause 11, la formulation facultative ne s’appliquera pas ;
  4. (v) dans la Clause 17, l’Option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;
  5. (vi) dans la clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;
  6. (vii) Les parties A, B et C de l’Annexe I sont réputées complétées avec les informations énoncées dans les Parties A, B et C de l’Annexe A des présentes Conditions de confidentialité de l’éditeur ; et
  7. (vii) l’Annexe II est réputée avoir été complétée avec les mesures de sécurité énoncées à l’Annexe B des présentes Conditions de confidentialité de l’éditeur ;

b. lorsque le Transfert restreint est un Transfert restreint au Royaume-Uni, l’Addendum au Royaume-Uni s’appliquera entre les parties comme suit :

(i) les CCT de l’UE, remplies comme indiqué ci-dessus, s’appliquent entre les parties et sont modifiées par l’Addendum du Royaume-Uni (complété comme indiqué à l’alinéa (ii) ci-dessous) ; et

ii) les tableaux 1 à 3 de l’addendum du Royaume-Uni sont réputés complétés par les informations pertinentes provenant des CCT de l’UE, complétés comme indiqué ci-dessus, et les options « Exportateur » et « Importateur » sont réputées cochées dans le tableau 4. La date d’entrée en vigueur de l’Addendum pour le Royaume-Uni (telle qu’indiquée dans le tableau 1) est la Date d’entrée en vigueur des présentes Conditions de confidentialité de l’éditeur.

2. Transferts restreints ultérieurs : Aucune des parties n’effectuera de transfert restreint ultérieur des données collectées qu’elle reçoit de l’autre partie, à moins qu’elle n’ait fait tous les actes et choses nécessaires pour s’assurer que ce transfert restreint ultérieur est conforme à la loi applicable en matière de protection des données et à toutes les clauses contractuelles types qu’elle a convenues avec l’autre partie.