CONDITIONS DE CONFIDENTIALITÉ DE L’ANNONCEUR TABOOLA
Date de prise d’effet:Date d’entrée en vigueur : 14 août 2023
Les présentes Conditions de confide tialité de l’annonceur Taboola («’Conditions de Confidentialité de l’Annonceur ») s’appliquen’ aux services de publicité numérique de Taboola, par exemple lorsque Taboola distribue le contenu d’un Annonceur via s’ plateforme de distribution, conformément à un accord entre Taboola et un Annonceur (« Accord »), et les présentes Conditions de confidentialité de l’annonceur seront considérées comme incorporées dans un tel Accord et en feront partie intégrante. Les présentes Conditions de confidentialité de l’annonceur identifient les rôles et responsabilités de Taboola et de l’Annonceur en ce qui concerne les Données personnelles.
- Ordre de préséance. En cas de conflit entre les Conditions de confidentialité de l’annonceur et l’Accord, les Conditions de confidentialité de l’annonceur prévaudront, à moins que la disposition conflictuelle de l’accord ne fasse expressément référence à la disposition conflictuelle des présentes Conditions de confidentialité de l’annonceur et ne spécifie qu’elle prévaut sur cette disposition conflictuelle.
- Définitions. Les termes définis dans la présente section ont la signification indiquée ci-dessous, et les termes apparentés sont interprétés en conséquence. Les termes en majuscules utilisés mais non définis dans les Conditions de confidentialité de l’annonceur ont la signification définie dans l’Accord.
-
-
- « Lois sur la protection des données applicables » désigne toutes les lois fédérales, nationales, étatiques ou autres sur la protection de la vie privée et des données qui s’appliquent au traitement faisant’l’objet du Contrat et de’ présentes Conditions de confidentialité de l’annonceur, telles qu’elles peuvent être modifiées ou remplacées de temps à autre.
- « Données collectées » désigne les données à caractère personnel que chaque partie collecte auprès des personnes concernées sur ou par l’intermédiaire de ses serveurs ou réseaux (y compris toutes les données collectées passivement ou lisibles par machine, telles que les données basées sur le type de navigateur et les identificateurs d’appareil) dans le cadre de la fourniture ou de la réception des services.
- Le terme « Contrôleur » désigne : (i) une entité qui détermine les finalités et les moyens du traitement des données à caractère personnel, et (ii) toute personne qui entre dans le champ d’application du terme « responsable du traitement » (ou de tout terme substantiellement analogue) tel que défini par les lois applicables en matière de protection des données.
- « Loi californienne sur la protction de la vie privée » désigne la loi californienne de 2018 sur la protection de la vie privée des consom ateurs, Cal. Civil Code § 1798.100 et seq. (« CCPA »), tel que modifié (y compris par le California Privacy Rights Act), ainsi que toute législation subordonnée et toute règlementation d’application.
- « Personne concernée » désigne : (i) une personne physique identifiée ou identifiable (et, à ces fins, une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui entre dans le champ d’application des termes « personne concernée », « consommateur » (ou tout terme substantiellement analogue) tels qu’ils sont définis dans les lois sur la protection des données.
- « oi de l’UE sur la protection des données » désigne : (i) le Règlement général de l’UE sur la protection des données (règlement 20 « /6 »9) (“RGPDdel‘UE“) ; (ii) la directive de l’UE sur la vie privée et les communications élec roniques (directive 2002/58/CE) ; et (iii) toute loi nationale sur la protection des données adoptée en vertu ou en application de (i) ou (ii), chacune pouvant être modifiée ou remplacée de temps à autre.
- « ins autorisées » a la signification qui lui est donnée à l’article 3.
- « Données à caractère personnel » : toute information relative à une personne concernée (y compris, si la législation applicable en matière de protection des données l’exige, les identifiants uniques de navigateur ou d’app’reil), telle que définie à l’annexe A, partie B.
- « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, l’agrégation, la déduction, la dérivation, l’analyse, la restriction, l’effacement, la destruction ou l’élimination ou tout autre traitement de données à caractère personnel, y compris la manière dont ce terme est défini en vertu de la législation applicable en matière de protection des données.
- Le terme « Processeur » désigne : (i) une entité qui traite des données à caractère personnel pour le compte d’un contrôleur, et (ii) toute personne qui entre dans le champ d’application du terme « sous-traitant » (ou de tout terme substantiellement analogue) tel que défini par les lois applicables en matière de protection des données.
- Le terme « transfert restreint » désigne : (i) lorsque le RGPD de l’UE ’’applique, un transfert de Données à c’ractère personnel de l’EEE vers un pays situé en dehors de l’EEE qui ne fait pas l’objet d’une détermination d’adéquation par la Commission européenne (un « Transfert restreint de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis ou fondé sur des règlements d’adéquation en vertu de la section 17A de la loi britannique sur la protection des données de 2018 (un « Transfert restreint du Royaume-Uni »).
- Les termes « vente » et « vendre » désignent l’échange de données à caractère personnel contre de l’argent ou une autre contrepartie de valeur, et comprennent la façon dont ces termes sont définis en vertu de la législation applicable en matière de protection des données.
- « Services » désigne les services fournis par Taboola dans le cadre du Contrat avec l’Annonceur.
- « Incident de sécurité » signifie une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès à celles-ci, de manière accidentelle ou illicite.
- « Clauses contractuelles types » signifie : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles an’exées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le t ansfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du ’onseil (« Clauses ’ontract’elles types de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique,’« l’Addendum’sur’le transfert international de données aux clauses contractuelles types de la Commission de l’UE » publié par le commissaire à l’information en vertu de l’art. 119.A(1) du DPA 2018 (« UK Addendum »).
- Le terme « Tiers » désigne une entreprise qui agit en tant que contrôleur en ce qui concerne les données à caractère personnel et qui n’est pas l’entreprise avec laquelle la personne concernée dont les données personnelles sont traitées a intentionnellement interagi ; ce terme comprend la définition qui en est donnée en vertu de la législation applicable en matière de protection des données.
- « Loi du Royaume-Uni sur la protection des données » désigne : (i) la loi du Royaume-Uni sur la protection des données 2018, (ii) le RGPD du Royaume-Uni (tel que défini à l’article 3(10) de la loi britannique sur la protection des données 2018) (« RGPD du Royaume-Uni »), (iii) le règlement britannique sur la vie privée et les communications électroniques (directive CE) 2003), et (iv) toute autre loi britannique adoptée en vertu de (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.
-
- Limitation de l’objet. Chaque partie traite les données collectées qu’elle recueille ou reçoit de l’autre partie aux fi’s énoncées à l’annexe A, partie B (les « Fins autorisées »). L’Annonceur accepte que Taboola traite les Données recueillies conformément à la Politique de confidentialité de Taboola (ce qui, pour plus de clarté, constitue également une fin autorisée pour Taboola).
- Relationship of the Parties. Relations entre les parties. Dans la mesure où les données collectées sont qualifiées de données à caractère personnel ou en contiennent en vertu des lois applicables en matière de protection des données, chaque partie traite les données collectées qu’elle recueille ou reçoit de l’autre partie en tant que contrôleur (ce qui peut inclure, lorsque la loi californienne sur la protection de la vie privée s’applique, en tant que tierce partie, le cas échéant). Les divulgations (qu’il s’agisse d’un transfert ou de la mise à disposition de données par une partie à l’autre partie) de données collectées ou de données à caractère personnel d’une partie à l’autre sont des divulgations à des tiers.
-
- Si la loi sur la protection des données des États-Unis ou d’un État américain s’applique aux données collectées, y compris, sans limitation, la loi californienne sur la protection de la vie privée, dans la mesure où Taboola Pixels utilisé dans le cadre des Services traite des données personnelles d’un Visiteur, Taboola agit en tant que tiers à l’égard de l’Annonceur pour ce qui concerne ces données personnelles. Taboola traitera ces données personnelles aux fins autorisées. Ces données personnelles ne sont mises à la disposition de Taboola qu’aux fins autorisées. Taboola s’engage à offrir le même niveau de protection de la vie privée que celui exigé des entreprises par les lois américaines sur la protection des données, y compris, le cas échéant, les lois californiennes sur la protection de la vie privée. Taboola informera l’Annonceur dans les délais requis par la Loi sur la Protection des Données Applicable si Taboola détermine qu’elle n’est plus en mesure de respecter ses obligations en vertu de la Loi sur la Protection des Données Applicable. Sur notification à Taboola, l’Annonceur a le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des Données Personnelles qu’il met à la disposition de Taboola.
-
- Application de la loi sur la protection des données. Les parties reconnaissent certaines ou toutes les Données collectées peuvent être qualifiées de données à caractère personnel ou en comprendre et que, par conséquent, les lois applicables en matière de protection des données peuvent s’appliquer au traitement des données collectées par chacune des parties. Dans ce cas, et sous réserve de la section 7, chaque partie est individuellement responsable de son propre respect des lois applicables en matière de protection des données, y compris de toute exigence applicable en la matière : (i) fournir une transparence aux personnes concernées, (ii) obtenir un consentement ou une autre base légale pour le traitement, et (iii) mettre à disposition un point de contact par lequel les personnes concernées peuvent exercer leurs droits en matière de protection des données.
- Transferts internationaux. Si l’une des parties effectue un transfert restreint de données collectées à l’autre partie, les dispositions de l’annexe C s’appliqueront.
- Transparence pour les visiteurs de la page d’accueil de l’Annonceur. Taboola utilise Taboola Pixels pour fournir les services. Nonobstant les dispositions de l’article 5, dans la mesure où Taboola recueille des Données à partir des propriétés numériques de l’Annonceur (telles que les sites web, les applications mobiles ou autres) en utilisant Taboola Pixels, l’Annonceur doit : (i) fournir aux Personnes concernées tous les avis de transparence requis concernant l’utilisation par Taboola de Taboola Pixels pour collecter les Données collectées à partir des propriétés numériques des Annonceurs aux fins autorisées, et (ii) obtenir (et, à la demande de Taboola à tout moment, fournir les preuves appropriées) le consentement des Personnes concernées à une telle utilisation des Taboola Pixels aux fins autorisées, dans chaque cas en conformité avec les exigences des Lois applicables sur la protection des données. Les obligations de l’Annonceur à cet égard comprennent l’identification de Taboola et de son utilisation de Taboola Pixels pour les finalités autorisées expressément dans les avis de transparence et les invites de consentement que l’Annonceur fournit aux personnes concernées, ainsi que toute autre information requise par les lois applicables sur la protection des données, afin que Taboola puisse fournir ses services légalement par le biais de ces propriétés numériques et traiter les données collectées et les données personnelles pour les finalités autorisées. Sur demande écrite, Taboola fournira à l’Annonceur les informations nécessaires concernant Taboola Pixels et le traitement par Taboola des données collectées par le biais des propriétés numériques de l’Annonceur, afin que ce dernier puisse s’assurer que ses mécanismes de notification et de consentement sont conformes aux lois applicables en matière de protection des données. L’Annonceur s’abstiendra d’utiliser Taboola Pixels tant que la transparence nécessaire n’aura pas été fournie et que les autorisations requises en vertu des lois sur la protection des données n’auront pas été obtenues. L’Annonceur fournira également aux personnes concernées des informations sur la manière dont elles peuvent exercer leurs droits en matière de protection des données en vertu des lois applicables sur la protection des données, et fournira un point de contact que les personnes concernées pourront contacter afin d’exercer leurs droits. L’Annonceur doit informer Taboola dans les plus brefs délais si et dans la mesure où il reçoit une demande de protection des données concernant le traitement par Taboola des Données collectées en tant que Contrôleur, afin que Taboola puisse répondre à la demande conformément à ses obligations en vertu de la Loi sur la protection des données en vigueur.
- Partenaires d’attribution. Si à la demande de l’Annonceur Taboola transmet des Données Personnelles au partenaire d’attribution de l’Annonceur ou à l’Annonceur à des fins d’attribution, l’Annonceur déclare et garantit que : (i) son partenaire d’attribution est un Processeur pour le compte de l’Annonceur ; (ii) sauf collecte indépendante, l’Annonceur et le partenaire d’attribution utiliseront ces Données Personnelles uniquement à des fins d’attribution ; et (iii) le partenaire d’attribution et l’Annonceur supprimeront toutes les Données Personnelles transmises dans les trente (30) jours suivant la dernière identification du Visiteur comme provenant de Taboola.
- Sécurité. Chaque partie met en place des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données collectées et/ou les données à caractère personnel qu’elle traite contre un incident de sécurité. Ces mesures comprennent celles énoncées à l’annexe B.
- Incidents de sécurité. Si l’une des parties est victime d’un incident de sécurité concernant les données collectées et/ou les données personnelles qu’elle traite et qui font l’objet de l’accord et des présentes Conditions de confidentialité de l’Annonceur, cette partie doit : (i) s’acquitter (à ses propres frais) de toutes les obligations de déclaration qui lui incombent en vertu des lois applicables en matière de protection des données auprès des autorités chargées de la protection des données et/ou des personnes concernées, (ii) notifier l’autre partie dans les meilleurs délais, fournir les informations sur l’incident de sécurité qui peuvent être raisonnablement demandées par l’autre partie ou qui sont autrement nécessaires pour permettre à l’autre partie de déterminer si elle peut également avoir des obligations de déclaration en vertu des lois sur la protection des données applicables en ce qui concerne l’incident de sécurité, et (iii) prendre toutes les actions et mesures, sans retard injustifié, qui sont appropriées pour remédier à l’incident de sécurité et/ou en atténuer les effets.
- Analyses d’impact relatives à la protection des données. Lorsque et dans la mesure où les lois applicables en matière de protection des données auxquelles chaque partie est soumise l’exigent, chaque partie procède à une évaluation de l’impact sur la protection des données en ce qui concerne le traitement des données collectées et/ou des données à caractère personnel aux fins autorisées et/ou consulte les autorités compétentes en matière de protection des données, le cas échéant. Chaque partie fournit toute la coopération et les informations raisonnablement demandées par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de réaliser une évaluation de l’impact sur la protection des données et/ou de consulter les autorités compétentes en matière de protection des données conformément aux obligations de l’autre partie en vertu de la présente section 11.
Annexe A
Description du traitement
A. LISTE DES PARTIES
Chaque partie est:
-
-
- un responsable du traitement des données (et un exportateur de données) pour les données collectées qu’il divulgue ou met à la disposition de l’autre partie, et
- un responsable du traitement des données (et un importateur de données) des données collectées qu’il reçoit de l’autre partie ou auxquelles l’autre partie lui donne accès.
-
Les détails de chaque partie sont fournis ci-dessous.
Nom: Voir les coordonnées de l’Annonceur dans le contrat.
Adresse:Voir les coordonnées de l’Annonceur dans le contrat.
Nom, fonction et coordonnées de la personne à contacter: Voirles coordonnées de l’Annonceur indiquées dans le contrat ou convenues par écrit entre les parties.
Activités en rapport avec les données transférées en vertu des présentes clauses: La réception des services, tels qu’ils sont décrits dans le Contrat.
Signature et date: La présente annexe A est réputée exécutée dès l’acceptation par l’Annonceur des présentes Conditions de confidentialité de l’Annonceur.
Rôle (contrôleur/processeur): Contrôleur (lorsqu’il est exportateur de données) et Contrôleur (lorsqu’il est importateur de données)
Nom: Voir les détails de Taboola dans l’introduction du Contrat.
Adresse: Voir les détails de Taboola dans l’introduction du Contrat.
Nom, fonction et coordonnées de la personne à contacter: L’équipe de Taboola chargée de la protection de la vie privée : privacy@taboola.com
Activités en rapport avec les données transférées en vertu des présentes clauses: La réception des services, tels qu’ils sont décrits dans le Contrat.
Signature et date: La présente Annexe A est réputée exécutée dès l’acceptation par Taboola des présentes Conditions de confidentialité de l’Annonceur.
Rôle (contrôleur/processeur): Contrôleur (lorsqu’il est exportateur de données) et Contrôleur (lorsqu’il est importateur de données).
B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT
Catégories de personnes dont les données à caractère personnel sont traitées et/ou transférées: Utilisateurs
Catégories de données à caractère personnel traitées et/ou transférées:
Données de l’appareil: Système d’exploitation, type de navigateur, version du navigateur, adresse IP (tronquée dans les 30 jours) de la collecte, code postal (dérivé de l’adresse IP), ID utilisateur Taboola haché, e-mails hachés, visites de pages initiales et ultérieures sur le site Web de l’Annonceur, sexe de l’utilisateur (déduit des intérêts), signaux d’engagement (temps passé sur le site, profondeur du défilement, profondeur de la session), données de conversion.
Données relatives à la propriété numérique visitée par l’utilisateur: L’URL de la page visitée, le site web de référence.
Données sensibles transférées (le cas échéant) et restrictions ou garanties mises en place qui prennent pleinement en compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires: Sans objet.
la fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue): Continu pendant la durée de l’Accord.
Nature du traitement: Traitement des données à caractère personnel nécessaires à la fourniture des services, comme décrits dans le Contrat.
Finalité(s) du traitement des données / transfert et traitement ultérieur: The provision of the Services, as set out in the Agreement.
La réception des services, tels qu’ils sont décrits dans le Contrat.
La durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée:
-
-
- Taboola: Les données brutes sont conservées pendant 13 mois au maximum.
- Annonceur: Pour la durée nécessaire à la fourniture des services ou pour toute autre durée spécifiée dans l’Accord.
-
Pour les transferts aux (sous-)traitants, préciser également l’objet, la nature et la durée du traitement: Sans objet.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Autorité de contrôle compétente lorsque le RGPD de l’UE s’applique: L’autorité de contrôle compétente pour chaque partie est décrite ci-dessous:
-
-
- Taboola: L’autorité de contrôle compétente est déterminée conformément à la clause 13 des clauses contractuelles types de l’UE.
- Annonceur: L’autorité de contrôle compétente est déterminée conformément à la clause 13 des clauses contractuelles types de l’UE.
-
Autorité de contrôle compétente lorsque le RGPD du Royaume Uni s’applique:Le bureau du commissaire à l’information.
Annexe B
Mesures de sécurité
Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Mesures de pseudonymisation et de chiffrement des données à caractère personnel: Taboola ne collecte que des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes, car nous n’avons pas connaissance du nom, de l’adresse e-mail ou d’autres données identifiables de l’utilisateur. Les informations utilisateur que nous recueillons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation d’un utilisateur, son adresse IP, les pages web consultées par les utilisateurs sur les sites web de nos clients, le lien qui a conduit un utilisateur sur le site web d’un client, les dates et heures d’accès d’un utilisateur au site web d’un client et d’autres données de navigation sur le web. Le CookieID est anonymisé à l’aide de Bcrypt et l’adresse IP est tronquée.
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement: Taboola utilise plusieurs niveaux de sécurité électronique (ex : sécurité des points d’extrémité, sécurité côté serveur, suivi des détections, tests de pénétration périodiques, et collecte d’informations approfondies pour l’examen des évènements post-mortem).
Mesures visant à garantir la capacité de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci en temps utile en cas d’incident physique ou technique: Taboola dispose de 9 centres de données répartis dans le monde entier. Chaque centre de données est utilisé comme une réplique de l’autre, de sorte que si l’un d’eux tombe en panne, les données peuvent être extraites des autres centres de données.
Procédures permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement: Taboola maintient des processus stricts pour tester l’efficacité de ses contrôles (à la fois techniques et organisationnels). Nous avons mis en place un système d’enregistrement et de surveillance, des tests DR mensuels (au moins), des tests de pénétration trimestriels, des pare-feu protégeant le web et des leurres répartis sur le réseau pour détecter toute activité malveillante. Nous avons également mis en place un programme de primes qui nous aide à surveiller constamment notre réseau.
Mesures d’identification et d’autorisation des utilisateurs: Chaque utilisateur de Taboola est associé à un nom d’utilisateur et à un mot de passe spécifiques. Tout accès au réseau interne de Taboola se fait avec une authentification à deux facteurs utilisant l’authentification Google. Les utilisateurs sont créés uniquement par le service informatique, au cours du processus d’intégration et seulement après avoir reçu tous les détails et le contrat signé par le service des ressources humaines.
Mesures de protection des données lors de leur transmission: Taboola prend en charge toute transmission de données via des protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). De plus, les systèmes pouvant contenir des informations personnellement identifiables sont sécurisés et les données sont conservées de manière hashée et anonymisée.
Mesures de protection des données pendant le stockage:Les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est réduit au minimum et fondé sur le principe du « besoin de savoir ».
Mesures visant à assurer la sécurité physique des lieux où sont traitées les données à caractère personnel: Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie) possède tous ses serveurs situés dans des armoires verrouillées réservées exclusivement à l’usage de Taboola. Ces armoires sont gérées par des sociétés certifiées SOC2 ou dont les mesures de sécurité ont été examinées par Taboola. En outre, tout accès aux serveurs nécessite une autorisation écrite et consignée. Tous les bureaux de Taboola sont également contrôlés et les employés doivent utiliser des cartes d’accès pour y accéder. En outre, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite une autorisation écrite et enregistrée.
Mesures visant à garantir l’enregistrement des évènements: Taboola met en place des outils de surveillance et les journaux sont collectés dans notre système SIEM qui nous alerte en cas d’évènement suspect et qui sont également surveillés par l’équipe NOC.
Mesures visant à garantir la configuration du système, y compris la configuration par défaut: Les serveurs sont analysés à la fois au niveau de la dérive de la configuration et au niveau des correctifs. Les rapports et/ou les alertes sont définis pour les deux et le niveau de correctif correspondant est confirmé. Les nouveaux correctifs sont distribués à l’aide de Puppet. Toutes les révisions techniques sont gérées par l’application R&D et obtenues par un processus formel de révision (AQ) après le codage et les processus CI/CD sont également mis en œuvre.
Mesures relatives à la gouvernance et à la gestion internes de l’informatique et de la sécurité informatique: Taboola est certifié ISO 27001:2013 et 27701. Taboola a mis en place une politique de sécurité de l’information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de toutes les informations physiques et électroniques dans l’ensemble de l’organisation. Taboola organise des formations à la sécurité pour tous les nouveaux employés, des formations au phishing pour tous les employés au niveau mondial, et des formations régulières à la sécurité pour tous les employés, ainsi que des sessions dédiées aux groupes de R&D.
Mesures de certification/assurance des processus et des produits: Audit interne trimestriel / semestriel / annuel sur plusieurs processus et systèmes afin de valider que Taboola se conforme aux objectifs et mesures de sécurité définis.
Mesures visant à garantir la minimisation des données: Taboola limite intentionnellement les données que nous collectons dans le cadre des principes globaux de minimisation des données de Taboola qui consistent à ne traiter que les données limitées nécessaires à nos objectifs commerciaux spécifiques. De plus, Taboola n’a pas la capacité, ni le besoin, de faire de l’ingénierie inverse sur les points de données utilisés dans notre algorithme afin de fournir nos services. Plus précisément, les données collectées par Taboola ne sont jamais indicatives de l’identité d’un utilisateur – car Taboola ne collecte ni ne traite d’informations telles que le nom, le numéro de téléphone, l’adresse électronique ou l’adresse physique de l’utilisateur. Au lieu de cela, Taboola ne recueille que des identifiants pseudonymes, qui identifient simplement les caractéristiques de l’appareil d’un utilisateur. Il s’agit notamment des adresses IP (qui sont tronquées lors de la collecte et ne peuvent identifier que le code IP général de l’appareil, mais jamais une géolocalisation précise) et, dans certains cas limités, des adresses électroniques hachées (qui sont intrinsèquement irréversibles et ne peuvent être décryptées pour révéler l’adresse électronique d’origine). En outre, Taboola effectue et enregistre des évaluations de l’impact sur la vie privée dans le but de minimiser les risques de nos services, processus et politiques en matière de protection de la vie privée.
Mesures visant à garantir la qualité des données: Les données sont collectées directement auprès de l’utilisateur et ce dernier a la possibilité de corriger toute donnée associée à son CookieID via le portail Taboola Subject Access Request : https://accessrequest.taboola.com/access.
Mesures visant à garantir une conservation limitée des données: Nous conservons les informations de l’utilisateur, qui sont directement collectées à des fins de diffusion de publicités, pendant au maximum treize (13) mois à compter de la dernière interaction de l’utilisateur avec nos services (souvent pendant une période plus courte), après quoi nous dépersonnalisons les données en supprimant les identificateurs uniques ou en agrégeant les données. Ce processus se fait automatiquement.
Mesures visant à garantir l’obligation de rendre compte: Taboola effectue plusieurs audits de sécurité et tests de pénétration (mais pas pour tous les systèmes). Taboola fait également appel à des fournisseurs de services Cloud qui sont certifiés ISO et qui se conforment à d’autres certifications relatives à l’informatique en nuage pour le maintien des garanties physiques d’un serveur.
Mesures visant à permettre la portabilité des données et à garantir leur effacement: Taboola est lié à l’élimination des supports, quelle que soit leur nature, car ils peuvent contenir des informations personnelles identifiables (PII). Tout support doit être entièrement nettoyé avant d’être réutilisé ou éliminé. Toute élimination de support est documentée. Les employés sont instruits de ne pas imprimer de documents susceptibles de contenir des informations personnelles.
Annexe C
Transferts restreints
-
- Dans la mesure où une partie effectue un transfert restreint de données collectées à l’autre partie, les Clauses contractuelles types seront intégrées aux présentes Conditions de confidentialité de l’Annonceur et s’appliqueront comme suit:
- lorsque le transfert restreint est un transfert restreint de l’UE, les clauses contractuelles types de l’UE s’appliquent entre les parties comme suit:
- Le module Un s’applique ;
- dans la clause 7, la clause facultative de raccordement s’applique ;
- dans la clause 11, la clause facultative de langue ne s’appliquera pas ;
- dans la clause 17, l’option 1 s’appliquera et les clauses contractuelles types de l’UE seront régies par la loi irlandaise ;
- dans la clause 18(b), les litiges sont résolus devant les tribunaux irlandais ;
- Les parties A, B et C de l’annexe I sont réputées complétées avec les informations figurant dans les parties A, B et C de l’annexe A des présentes Conditions de confidentialité de l’Annonceur ; et
- L’annexe II est réputée complétée avec les mesures de sécurité énoncées à l’annexe B des présentes Conditions de confidentialité de l’annonceur ;
- Lorsque le transfert restreint est un transfert restreint au Royaume-Uni, l’addendum britannique s’applique entre les parties comme suit :
- Les clauses contractuelles types de l’UE, complétées comme indiqué ci-dessus, s’appliqueront entre les parties et seront modifiées par l’addendum du Royaume-Uni (complété comme indiqué dans la sous-clause (ii) ci-dessous) ; et
- Les tableaux 1 à 3 de l’addendum britannique sont réputés complétés avec les informations pertinentes des clauses contractuelles types de l’UE, complétées comme indiqué ci-dessus, et les options « Exportateur » et « Importateur » sont réputées cochées dans le tableau 4. La date d’entrée en vigueur de l’addendum britannique (comme indiqué dans le tableau 1) correspond à la date d’entrée en vigueur des présentes Conditions de confidentialité de l’Annonceur.
- lorsque le transfert restreint est un transfert restreint de l’UE, les clauses contractuelles types de l’UE s’appliquent entre les parties comme suit:
- Transferts restreints ultérieurs : Aucune des parties ne fera de transfert restreint ultérieur de données collectées qu’elle reçoit de l’autre partie à moins qu’elle n’ait pris toutes les mesures nécessaires pour garantir que ce transfert restreint ultérieur est conforme à la législation applicable en matière de protection des données et à toute clause contractuelle type convenue avec l’autre partie.
- Dans la mesure où une partie effectue un transfert restreint de données collectées à l’autre partie, les Clauses contractuelles types seront intégrées aux présentes Conditions de confidentialité de l’Annonceur et s’appliqueront comme suit: