CONDITIONS DE CONFIDENTIALITÉ COMMERÇANT
Date d’Entrée en Vigueur : 22 septembre 2024
Les présentes Conditions de Confidentialité Commerçant de Connexity (« Conditions de Confidentialité Commerçant ») s’appliquent aux services de publicité digitale de Connexity, notamment lorsque Connexity, Inc. (« Connexity ») ou un membre des Sociétés Connexity (définies ci-après) distribue le Contenu Commerçant dans le Réseau Connexity, conformément à un contrat conclu entre Connexity et un Commerçant (« Contrat »), et les présentes Conditions de Confidentialité Commerçant sont réputées incorporées à un tel Contrat et en font partie intégrante. Connexity conclut les présentes Conditions de Confidentialité Commerçant en son nom propre et au nom de sa société affiliée, Taboola.com, Ltd. (« Taboola »). Connexity et Taboola sont collectivement appelées les « Sociétés Connexity ». Les présentes Conditions de Confidentialité Commerçant définissent les rôles et les responsabilités des Sociétés Connexity et du Commerçant en ce qui concerne les Données Personnelles.
1. Ordre de prévalence. En cas de conflit entre les Conditions de Confidentialité Commerçant et le Contrat, les Conditions de Confidentialité Commerçant prévaudront dans la limite de ce conflit, à moins que la disposition litigieuse du Contrat ne fasse expressément référence à la disposition litigieuse des présentes Conditions de Confidentialité Commerçant et ne précise qu’elle prévaut sur cette disposition conflictuelle.
2. Définitions. Les termes définis dans la présente section ont la signification indiquée ci-après, et les termes similaires sont interprétés en conséquence. Les termes en majuscules utilisés mais non définis dans les présentes Conditions de Confidentialité Commerçant ont le sens qui leur est donné dans le Contrat. La référence à une « partie » dans les présentes Conditions de Confidentialité Commerçant doit être interprétée comme faisant référence au Commerçant ou aux Sociétés Connexity, selon le contexte, et le terme « parties » doit être interprété en conséquence.
a. « Lois Applicables sur la Protection des Données » désigne toutes les lois fédérales, nationales, étatiques ou autres lois sur la protection de la vie privée et des données qui s’appliquent au Traitement faisant l’objet du Contrat et des présentes Conditions de Confidentialité Commerçant, telles que modifiées ou remplacées de temps à autre.
b. « Loi Californienne sur la Protection de la Vie Privée » désigne la loi Californienne sur la Protection de la Vie Privée des Consommateurs de 2018, le Code Civil Californien § 1798.100 et suivants (« CCPA »), tels que modifiés (y compris par la Loi Californienne sur la Protection de la Vie Privée des Consommateurs), et toute législation subordonnée et règlementations d’application.
c. « Données Collectées » désigne les Données Personnelles visées à l’Annexe A, Partie B, que chaque partie collecte auprès des Personnes Concernées sur ou via ses serveurs ou réseaux (y compris toutes les données collectées passivement ou lisibles par machine, telles que les données basées sur le type de navigateur et les identifiants d’appareil) ou qu’elle reçoit de l’autre partie dans le cadre de la fourniture ou de la réception du Service.
d. « Responsable de Traitement » désigne (i) une entité qui détermine les finalités et les moyens du Traitement des Données Personnelles, et (ii) toute personne qui entre dans le champ d’application du terme « responsable de traitement » (ou de tout terme substantiellement similaire) tel que défini par les Lois Applicables sur la Protection des Données.
e. « Personne Concernée » désigne (i) une personne physique identifiée ou identifiable (et, pour ces finalités, une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui entre dans le champ d’application des termes « personne concernée », « consommateur » (ou tout terme substantiellement similaire) tels que définis dans les Lois Applicables sur la Protection des Données.
f. « Loi de l’UE sur la Protection des Données » désigne : (i) le Règlement Général de l’UE sur la Protection des Données (Règlement 2016/679) (« RGPD de l’UE ») ; (ii) la Directive de l’UE sur la Vie Privée et les Communications Electroniques (Directive 2002/58/CE) ; et (iii) toute loi nationale sur la protection des données adoptée en vertu ou en application de (i) ou (ii), chacune pouvant être modifiée ou remplacée de temps à autre.
g. « Finalités Autorisées » a la signification donnée à la section 3.
h. « Données Personnelles » désigne toute information relative à une Personne Concernée (y compris, si les Lois Applicables sur la Protection des Données l’exigent, les identifiants uniques de navigateur ou d’appareil).
i. « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, la réception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accès, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, l’agrégation, la déduction, la dérivation, l’analyse, la restriction, l’effacement, la destruction ou l’élimination ou tout autre traitement de Données Personnelles, y compris la manière dont ce terme est défini en vertu des Lois Applicables sur la Protection des Données.
j. « Sous-traitant » désigne : (i) une entité qui Traite des Données Personnelles pour le compte d’un Responsable de Traitement, et (ii) toute personne qui entre dans le champ d’application du terme « Sous-traitant » (ou de tout terme substantiellement analogue) tel que défini par les Lois Applicables sur la Protection des Données.
k. « Transfert Restreint » désigne : (i) lorsque le RGPD de l’UE s’applique, un transfert de Données Personnelles de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis à une décision d’adéquation de la Commission Européenne (un « Transfert Restreint de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données Personnelles du Royaume-Uni vers tout autre pays qui n’est pas soumis ou basé sur des règlements d’adéquation en vertu de l’Article 17A de la Loi Britannique sur la Protection des Données de 2018 (un « Transfert Restreint du Royaume-Uni »).
l. « Vente » et « Vendre » désignent l’échange de Données Personnelles contre de l’argent ou une autre contrepartie de valeur, et comprennent la manière dont ces termes sont définis en vertu des Lois Applicables sur la Protection des Données.
m. « Service » désigne les services fournis par les Sociétés Connexity dans le cadre du Contrat avec le Commerçant.
n. « Incident de Sécurité » désigne une brèche de sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles ou l’accès à celles-ci.
o. « Clauses Contractuelles Types » désigne : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la Décision d’Exécution 2021/914 de la Commission Européenne du 4 juin 2021 relative aux Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement Européen et du Conseil (« CCT de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’ « Addendum sur le transfert international de données aux Clauses Contractuelles Types de la Commission de l’UE » publié par le Bureau du Commissaire à l’Information en vertu de l’Article 119.A(1) de la Loi du Royaume-Uni sur la Protection des Données de 2018 (« l’Addendum du Royaume-Uni »).
p. « Tiers » signifie une entreprise qui agit en tant que Responsable de Traitement relativement à des Données Personnelles et qui n’est pas l’entreprise avec laquelle la Personne Concernée dont les Données Personnelles sont Traitées a intentionnellement interagi ; le terme comprend la manière dont ce terme est défini en vertu des Lois Applicables sur la Protection des Données.
q. « Loi du Royaume-Uni sur la Protection des Données » désigne : (i) la loi du Royaume-Uni de 2018 sur la Protection des Données, (ii) le RGPD du Royaume-Uni (tel que défini à l’Article 3(10) de la Loi du Royaume-Uni de 2018 sur la Protection des Données) (le « RGPD du Royaume-Uni »), (iii) le Règlement du Royaume-Uni de 2003 sur la Protection de la Vie Privée et les Communications Electroniques (Directive CE), et (iv) toute autre loi britannique adoptée en vertu ou en application de (i), (ii) ou (iii), chacune pouvant être modifiée ou remplacée de temps à autre.
3. Limitation des Finalités. Chaque partie Traite les Données Collectées qu’elle recueille ou reçoit de l’autre partie pour les finalités énoncées à l’Annexe A, Partie B (les « Finalités Autorisées »).
4. Relation entre les Parties. Chaque partie Traite les Données Collectées qu’elle recueille ou reçoit de l’autre partie en tant que Responsable du traitement.
a. Si les Lois Applicables sur la Protection des Données en vigueur aux États-Unis s’appliquent aux Données Collectées, y compris, sans s’y limiter, la Loi Californienne sur la Protection de la Vie Privée, alors, dans la mesure où les Sociétés Connexity reçoivent des Données Collectées par l’entremise des Pixels des Sociétés Connexity installés sur le(s) site(s) Web du Commerçant en lien avec le Service, les Sociétés Connexity recevront les Données Collectées en qualité de Tiers. Les Sociétés Connexity Traiteront ces Données Personnelles pour les Finalités Autorisées. Les Sociétés Connexity fourniront le même niveau de protection de la vie privée aux Données Collectées que celui exigé des Responsables du traitement ou des Entreprises par les Lois Applicables sur la Protection des Données aux États-Unis, y compris, s’il y a lieu, la Loi Californienne sur la Protection de la Vie Privée. Les Sociétés Connexity informeront le Commerçant dans le délai requis par les Lois Applicables sur la Protection des Données aux États-Unis si elles déterminent qu’elles ne sont plus en mesure de respecter leurs obligations en vertu de ces Lois Applicables sur la Protection des Données. Après en avoir avisé Connexity, le Commerçant a le droit de prendre des mesures raisonnables et appropriées pour mettre fin à l’utilisation non autorisée des Données Collectées qu’il met à la disposition des Sociétés Connexity et pour y remédier.
5. Lois Applicables sur la Protection des Données. Les parties reconnaissent que les Lois Applicables sur la Protection des Données peuvent s’appliquer au Traitement des Données Collectées par chaque partie et, sous réserve de la section 7, chaque partie est individuellement responsable de son propre respect des Lois Applicables sur la Protection des Données Applicables, y compris toutes obligations concernant : (i) la transparence vis-à-vis des Personnes Concernées, (ii) le consentement ou une autre base légale pour le Traitement, et (iii) la mise à disposition d’un point de contact par lequel les Personnes Concernées peuvent exercer leurs droits en matière de protection des données.
6. Transferts Internationaux. Si l’une des parties effectue un Transfert Restreint de Données Collectées à l’autre partie, les dispositions de l’Annexe C s’appliquent.
7. Transparence pour les Utilisateurs sur la Page d’Accueil du Commerçant. Les Sociétés Connexity utilisent les Pixels des Sociétés Connexity pour fournir le Service. Nonobstant la section 5, dans la mesure où les Sociétés Connexity collectent des Données Collectées sur le(s) site(s) web du Commerçant en utilisant le(s) pixel(s) des Sociétés Connexity, le Commerçant doit : (i) fournir tous les avis de transparence requis aux Personnes Concernées concernant l’utilisation par les Sociétés Connexity des Pixels des Sociétés Connexity pour recueillir des Données Collectées à partir du ou des sites Web du Commerçant pour les Finalités Autorisées, et (ii) obtenir (et, à la demande de Connexity en tout temps, fournir la preuve appropriée) le consentement des Personnes Concernées à l’utilisation des Pixels des Sociétés Connexity pour les Finalités Autorisées, dans chaque cas conformément aux exigences des Lois Applicables en matière de Protection des Données. Les obligations du Commerçant à cet égard comprennent l’identification des Sociétés Connexity et de son utilisation des Pixels des Sociétés Connexity pour les Finalités Autorisées expressément dans les avis de transparence et les demandes de consentement que le Commerçant fournit aux Personnes Concernées, ainsi que toute autre information requise par les Lois Applicables en matière de Protection des Données, afin que les Sociétés Connexity puissent fournir leur Service légalement par l’entremise de ces propriétés numériques et traiter les Données Collectées pour les Finalités Autorisées. Sur demande écrite, Connexity fournira au Commerçant les renseignements nécessaires sur le(s) Pixel(s) des Sociétés Connexity et sur le Traitement par les Sociétés Connexity des Données Collectées par l’intermédiaire du(des) site(s) Web du Commerçant, afin que le Commerçant puisse les utiliser dans les mécanismes d’avis et d’obtention de consentement qu’il veillera à mettre en conformité avec les Lois Applicables sur la Protection des Données. Le Commerçant n’utilisera aucun des Pixels des Sociétés Connexity tant que la transparence nécessaire n’aura pas été assurée et que les consentements requis en vertu des Lois Applicables en matière de Protection des Données n’auront pas été obtenus. Le Commerçant doit en outre fournir aux Personnes Concernées des informations sur la manière dont elles peuvent exercer leurs droits en matière de protection des données en vertu des Lois Applicables sur la Protection des Données, et fournir un point de contact que les Personnes Concernées peuvent contacter afin d’exercer leurs droits. Le Commerçant doit aviser promptement Connexity si et dans la mesure où il reçoit une demande d’exercice de droits à la protection des données concernant le Traitement des Données Collectées par les Sociétés Connexity en tant que Responsable du traitement, afin que Connexity puisse répondre à la demande conformément à ses obligations en vertu des Lois Applicables sur la Protection des Données.
8. Partenaires d’Attribution. Si les Sociétés Connexity, à la demande du Commerçant, transmettent la totalité ou une partie des Données Collectées au Partenaire d’Attribution du Commerçant ou au Commerçant à des fins d’attribution, le Commerçant déclare et garantit que : (i) son partenaire d’attribution est un Sous-traitant pour le compte du Commerçant; (ii) sauf collecte indépendante, le Commerçant et le partenaire d’attribution utiliseront ces Données Collectées uniquement à des fins d’attribution ; et (iii) le partenaire d’attribution et le Commerçant supprimeront toutes les Données Collectées transmises dans les trente (30) jours suivant la dernière identification de l’utilisateur d’un site web du Commerçant comme provenant des Sociétés Connexity.
9. Sécurité. Chaque partie met en œuvre les mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Collectées qu’elle Traite contre un Incident de Sécurité. Ces mesures comprennent les mesures énoncées à l’Annexe B.
10. Incidents de Sécurité. Si l’une des parties subit un Incident de Sécurité concernant les Données Collectées qu’elle Traite et qui font l’objet du Contrat et des présentes Conditions de Confidentialité Commerçant, cette partie doit : (i) s’acquitter (à ses propres frais) de toutes les obligations de déclaration qui lui incombent en vertu des Lois Applicables sur la Protection des Données auprès des autorités chargées de la protection des données et/ou des Personnes Concernées, (ii) notifier l’autre partie dans les meilleurs délais, en fournissant les informations sur l’Incident de Sécurité qui peuvent être raisonnablement demandées par l’autre partie ou qui sont autrement nécessaires pour permettre à l’autre partie de déterminer si elle peut également avoir des obligations de déclaration en vertu des Lois Applicables sur la Protection des Données en ce qui concerne l’Incident de Sécurité, et (iii) prendre toutes les actions et mesures, sans retard injustifié, qui sont appropriées pour remédier à l’Incident de Sécurité et/ou en atténuer les effets.
11. DPIAs. Lorsque et dans la mesure où les Lois Applicables sur la Protection des Données auxquelles chaque partie est soumise l’exigent, chaque partie doit effectuer une évaluation de l’impact sur la protection des données en ce qui concerne son Traitement des Données Collectées pour les Finalités Autorisées et/ou consulter les autorités compétentes en matière de protection des données, le cas échéant. Chaque partie fournit toute la coopération et les informations raisonnablement demandées par l’autre partie, lorsque cela est nécessaire pour permettre à l’autre partie de réaliser une évaluation de l’impact sur la protection des données et/ou de consulter les autorités compétentes en matière de protection des données conformément aux obligations de l’autre partie en vertu de la présente section 11.
Annexe A
Description du Traitement
A. LISTE DES PARTIES
Chaque partie doit être :
● un responsable de traitement des données (et un exportateur de données) pour les Données Collectées qu’il divulgue ou met à la disposition de l’autre partie, et
● un responsable de traitement des données (et un importateur de données) des Données Collectées qu’il reçoit de l’autre partie ou auxquelles l’autre partie lui donne accès.
Les détails de chaque partie sont fournis ci-dessous.
Nom : | Voir les coordonnées du Commerçant dans le Contrat. |
Address : | Voir les coordonnées du Commerçant dans le Contrat. |
Nom, fonction et coordonnées de la personne de contact : | Voir les coordonnées du Commerçant dans le Contrat ou convenues autrement par écrit entre les parties. |
Activités en rapport avec les données transférées en vertu des présentes Clauses : | La réception du Service, telle que définie dans le Contrat. |
Signature et date : | La présente Annexe A est réputée exécutée à compter de l’acceptation par le Commerçant des présentes Conditions de Confidentialité Commerçant. |
Rôle (responsable de traitement/sous-traitant) : | Responsable de Traitement (lorsqu’il est exportateur de données) et Responsable de Traitement (lorsqu’il est importateur de données) |
Nom : | Pour les Sociétés Connexity : Voir les détails de Connexity dans l’introduction du Contrat. Taboola: Taboola.com, Ltd. |
Adresse : | Pour les Sociétés Connexity : Voir les détails de Connexity dans l’introduction du Contrat. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
Nom, fonction et coordonnées de la personne de contact : | L’équipe de Connexity chargée de la protection de la vie privée, dataprotection@connexity.com. |
Activités en rapport avec les données transférées en vertu des présentes Clauses : | La fourniture du Service, telle qu’elle est définie dans le Contrat. |
Signature et date : | La présente Annexe A est réputée exécutée dès l’acceptation par Connexity des présentes Conditions de Confidentialité Commerçant. |
Rôle (responsable de traitement/sous-traitant) : | Responsable de Traitement (lorsqu’il est exportateur de données) et Responsable de Traitement (lorsqu’il est importateur de données) |
B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT
Catégories de personnes concernées dont les données personnelles sont traitées et/ou transférées | Utilisateurs |
Catégories de données à caractère personnel traitées et/ou transférées | Données relatives à l’appareil : Système d’exploitation, type de navigateur, version du navigateur, adresse IP (tronquée dans les 30 jours) de la collecte, code postal (dérivé de l’adresse IP), ID utilisateur Taboola haché, e-mails hachés, visites de pages initiales et ultérieures sur le site Web de l’Annonceur, sexe de l’utilisateur (déduit par les intérêts), signaux d’engagement (temps sur le site, durée de défilement, durée de la session), données de conversion, ID de clic. Données sur la propriété numérique visitée par l’utilisateur : L’URL de la page visitée, le site web de référence et d’autres informations partagées par le Commerçant sur la façon dont les utilisateurs interagissent avec son (ses) site(s) web Commerçant, telles que les pages vues, les produits vus, les événements d’ajout au panier, les événements d’achat et d’autres types d’événements. |
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires |
Not applicable. |
La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de manière ponctuelle ou continue) | Continu pendant la durée du Contrat. |
Nature du traitement | Traitement des Données Personnelles nécessaires à la fourniture du Service, comme indiqué dans le Contrat. |
Finalité(s) du traitement des données / transfert et traitement ultérieur | La fourniture du Service, telle que défini dans le Contrat, et notamment pour les finalités suivantes (sous réserve des autorisations appropriées des personnes concernées, le cas échéant, en vertu des Lois Applicables sur la Protection des Données): ● Stocker et/ou accéder à des informations sur un appareil ● Sélectionner les publicités de base ; ● Créer un profil de publicités personnalisées ; ● Sélectionner des publicités personnalisées ; ● Créer un profil de contenu personnalisé ; ● Sélectionner un contenu personnalisé ; ● Mesurer la performance de la publicité ; ● Mesurer la performance du contenu ; \Développer et améliorer les produits ; ● Assurer la sécurité, prévenir la fraude et déboguer ; ● Diffuser techniquement des publicités ou du contenu ; ● Faire correspondre et combiner des sources de données hors ligne ; ● Relier différents appareils ; ● Recevoir et utiliser les caractéristiques de l’appareil envoyées automatiquement à des fins d’identification ; et ● Utiliser des données limitées pour sélectionner le contenu. |
La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée | Les parties conservent les Données Personnelles aussi longtemps que nécessaire pour fournir le Service. |
Pour les transferts aux sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement | Not applicable. |
C. AUTORITÉ DE CONTROLE COMPÉTENTE
Autorité de contrôle compétente lorsque le RGPD de l’UE s’applique | TL’autorité de contrôle compétente pour chaque partie est décrite ci-dessous : ● Sociétés Connexity : L’autorité de contrôle compétente est déterminée conformément à la Clause 13 des CCT de l’UE. ● Commerçant : L’autorité de contrôle compétente est déterminée conformément à la Clause 13 des CCT de l’UE. |
Autorité de contrôle compétente lorsque le RGPD du Royaume-Uni s’applique | Le Bureau du Commissaire à l’Information (Information Commissioner’s Office |
Annexe B
Mesures de sécurité
Description des mesures techniques et organisationnelles mises en œuvre par chaque partie (y compris toutes certification pertinentes) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Mesures de pseudonymisation et de chiffrement des données personnelles | Les Sociétés Connexity ne recueillent que des données pseudonymisées, ce qui signifie que nous ne savons pas qui vous êtes parce que nous ne connaissons pas ou ne traitons pas le nom, l’adresse électronique ou d’autres données identifiables de l’utilisateur. Les Informations sur l’utilisateur que nous recueillons comprennent, sans s’y limiter, des informations sur l’appareil et le système d’exploitation de l’utilisateur, l’adresse IP, les pages Web consultées par les utilisateurs sur les sites Web de nos Clients, le lien qui a conduit un utilisateur au site Web d’un Client, les dates et heures d’accès d’un utilisateur au site Web d’un Client et d’autres données de navigation sur le Web. Connexity s’engage à ce qui suit : l’Agent utilisateur et l’Adresse IP sont tous deux stockés de manière chiffrée et, pour les visiteurs provenant de régions où les réglementations exigent l’anonymisation (par exemple, lorsque le RGPD est applicable), l’Agent utilisateur et l’Adresse IP sont tous deux tronqués avant le chiffrement. En outre, Taboola s’engage à ce que le CookieID soit anonymisé à l’aide de Bcrypt et que l’adresse IP soit tronquée. |
Mesures visant à garantir en continu la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement | Connexity utilise plusieurs niveaux de sécurité électronique (par exemple : sécurité des terminaux, sécurité côté serveur, suivi des détections, tests de pénétration périodiques et collecte d’informations approfondies pour examiner les événements post-mortem). |
Mesures visant à garantir la capacité de rétablir la disponibilité et l’acès des données personnelles en temps utile en cas d’incident physique ou technique | Connexity met en œuvre les éléments suivants : ● La disponibilité des Données Personnelles est assurée par l’utilisation par Connexity d’achitectures de réplication des bases de données pour la redondance et la sauvegarde automatique des données dans plusieurs régions. ● Les systèmes qui suivent les événements des utilisateurs sont également redondants dans plusieurs régions qui prennent en charge le basculement, de sorte que même une panne totale dans une région ne rendra pas les services indisponibles. Taboola dispose de 9 centres de données répartis dans le monde entier. Chaque centre de données est utilisé comme une réplique de l’autre, de sorte que si l’un d’eux tombe en panne, les données peuvent être extraites de l’autre centre de données. |
Procédures permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement. | Afin de veiller à ce que la protection des données et pour faire respecter les obligations et les procédures en matière de confidentialité Connexity a mis en œuvre les protocoles suivants : ● Formation et sensibilisation des employés à la protection des données, à la sécurité de l’information, aux obligations de confidentialité et à la conformité. ● Audit régulier des procédures de traitement des données. ● Des protocoles intégrés de notification et de traitement sont en place pour les violations de la protection des données et la protection des droits des personnes concernées. Taboola maintient des processus stricts pour tester l’efficacité de ses contrôles (à la fois techniques et organisationnels). Nous avons mis en place un système d’enregistrement et de surveillance, des tests de reprise après sinistre mensuels (au moins), des tests de pénétration trimestriels, des Pare-feu protégeant le web et des honeypots répartis sur le réseau pour détecter toute activité malveillante. En outre, nous avons mis en place un programme de primes qui nous aide à surveiller constamment notre réseau. |
Mesures d’identification et d’autorisation des utilisateurs | Chaque utilisateur des Sociétés Connexity est associé à un nom d’utilisateur et à un mot de passe dédiés. Chaque accès au réseau interne des Sociétés Connexity se fait avec une authentification à deux facteurs (2FA). Les utilisateurs sont créés uniquement par le département informatique, pendant le processus d’intégration et seulement après avoir reçu tous les détails et le contrat signé par le département des ressources humaines. |
Mesures de protection des données lors de leur transmission | Connexity met en œuvre les éléments suivants : ● Toute transmission de Données Personnelles est effectuée au moyen de protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). En outre, les systèmes susceptibles de contenir des Données Personnelles sont sécurisés et les données sont hachées et anonymisées. ● Le transfert de Données Personnelles à un tiers (par exemple un client, un sous-traitant ou un prestataire de services) n’a lieu que s’il existe un contrat correspondant et uniquement pour une finalité précise. Connexity garantit l’existence d’un niveau adéquat de protection des données sur le site ou dans l’organisation cible, conformément aux exigences de l’UE en matière de protection des données. Taboola soutient toute transmission de données par le biais de protocoles de transmission sécurisés (HTTPS et TLS v1.2 au minimum). En outre, les systèmes susceptibles de contenir des Données Personnelles sont sécurisés et les données sont hachées et anonymisées. |
Mesures de protection des données pendant le stockage | Les droits d’accès au réseau et au système de Connexity sont délivrés par le biais d’un processus d’examen et d’autorisation réglementé et accordés selon un protocole fondé sur le principe du « a besoin de savoir ». Taboola s’assure que les données stockées dans nos bases de données sont anonymisées et hachées à l’aide de Bcrypt. L’accès à la base de données est minimisé et basé sur le principe du « le business a besoin de savoir ». |
Mesures visant à assurer la sécurité physique des lieux où sont traitées les données à caractère personnel | Connexity met en œuvre les éléments suivants : ● Les contrôles de sécurité physique dans les bureaux de Connexity, où le traitement des Données Personnelles peut avoir lieu ou les systèmes de traitement des données peuvent être hébergés, comprennent la protection des locaux et de leurs périmètres à l’aide de diverses mesures de contrôle d’accès, y compris, mais sans s’y limiter, l’accès par carte magnétique aux bureaux et aux parkings pour les employés, l’entrée surveillée dans les bureaux pendant les heures d’ouverture, le personnel de sécurité sur place 24/7/365 et les systèmes de caméras de sécurité. ● En dehors des heures d’ouverture, les ascenseurs du 4e étage, où se trouvent les bureaux de Connexity, sont désactivés et ne peuvent fonctionner qu’avec une carte magnétique active délivrée à un employé ou à un membre du personnel autorisé de l’immeuble de bureaux. ● Les pièces contenant des systèmes informatiques (serveurs, répartiteurs de réseau, etc.) sont fermées à clé et ne sont accessibles qu’aux employés autorisés des départements Administration ou Infrastructure informatique. ● Les visiteurs programmés et les vendeurs extérieurs à l’entreprise doivent signer un registre des invités à leur arrivée à la réception et indiquer la raison de leur visite. Les visiteurs ne peuvent se trouver dans les locaux de l’entreprise que s’ils sont escortés et/ou surveillés par le service de sécurité du bâtiment ou par un employé de Connexity à tout moment. Chacun des centres de données mondiaux de Taboola (aux États-Unis, en Europe et en Asie), possède tous ses serveurs situés dans des armoires fermées à clé qui sont maintenues exclusivement pour l’usage de Taboola. Ces armoires sont entretenues par des sociétés certifiées SOC2 ou dont Taboola a examiné les mesures de sécurité. En outre, tout accès aux serveurs nécessite une autorisation écrite et journalisée. Tous les bureaux de Taboola sont également contrôlés et les employés doivent utiliser des cartes d’accès pour y pénétrer. En outre, seul un nombre limité d’employés a accès aux serveurs de Taboola et tout accès nécessite également une autorisation écrite et journalisée. |
Mesures visant à garantir l’enregistrement des événements | L’accès au réseau de l’entreprise Connexity est automatiquement contrôlé et enregistré, y compris les tentatives de connexion infructueuses. L’accès au réseau est automatiquement bloqué par le système après cinq tentatives infructueuses et ne peut être rétabli que par un employé autorisé de l’administration informatique. Taboola met en œuvre des outils de surveillance et les journaux sont collectés dans notre système SIEM qui nous alerte sur tout événement suspect et qui est également surveillé par l’équipe NOC. |
Mesures visant à garantir la configuration du système, y compris la configuration par défaut | Connexity met en œuvre les éléments suivants : ● Connexity utilise des systèmes automatisés de gestion de la configuration pour que toutes les configurations de serveurs soient à jour et fonctionnent selon une configuration standard. Les configurations font l’objet d’un contrôle des modifications et doivent être examinées avant le déploiement. ● Les configurations des applications sont également soumises à un contrôle des modifications et doivent être examinées avant leur déploiement. ● Les modifications apportées aux applications sont soumises à un processus formel de gestion du changement et de cycle de vie du développement logiciel, comprenant la révision du code, l’assurance qualité et des processus CI/CD normalisés. Les Serveurs Taboola sont analysés à la fois pour la dérive de la configuration et le niveau de correctif. Des rapports et/ou des alertes sont établis pour ces deux éléments et le niveau de correctif correspondant est confirmé. Les nouveaux correctifs sont distribués à l’aide de Puppet. Toutes les révisions techniques sont gérées par l’application R&D et obtenues par un processus formel de révision (QA) après le codage et les processus CI/CD sont également mis en œuvre. |
Mesures relatives à la gouvernance et à la gestion internes de l’informatique et de la sécurité informatique | Connexity adhère aux politiques de sécurité définies par sa société mère. Taboola est certifiée ISO 27001:2013 et 27701. Taboola a mis en place une Politique de Sécurité de l’Information qui stipule que le conseil d’administration et la direction de Taboola s’engagent à préserver la confidentialité, l’intégrité et la disponibilité de toutes les informations physiques et électroniques dans l’ensemble de leur organisation. Taboola organise des formations à la sécurité pour tous les nouveaux employés, des formations au phishing pour tous les employés au niveau mondial, et des formations régulières à la sécurité pour tous les employés, ainsi que des sessions dédiées aux groupes de R&D. |
Mesures de certification/assurance des processus et des produits | En tant que filiale d’une société publique, Connexity fait l’objet d’un audit SOX rigoureux sur une base annuelle. Taboola fait l’objet d’un audit interne trimestriel / Semestriel / Annuel sur de multiples processus et systèmes afin de valider que Taboola se conforme à ses objectifs et mesures de sécurité définis. |
Mesures visant à garantir la minimisation des données | Les Sociétés Connexity limitent intentionnellement les données qu’elles recueillent dans le cadre des principes globaux de minimisation des données de Taboola, qui consistent à ne traiter que les données limitées nécessaires à nos objectifs commerciaux spécifiques. En outre, les Sociétés Connexity n’ont pas la capacité, ni le besoin, de faire de l’ingénierie inverse sur les points de données utilisés dans notre traitement afin de fournir nos services. Plus précisément, les points de données que les sociétés Connexity recueillent ne sont jamais indicatifs de l’identité d’un utilisateur – puisque les sociétés Connexity ne recueillent ni ne traitent des renseignements tels que le nom, le numéro de téléphone, le courriel ou l’adresse physique de l’utilisateur. Au contraire, les Sociétés Connexity ne recueillent que des identifiants seudonymes, qui ne font qu’identifier les caractéristiques de l’appareil d’un utilisateur. Il s’agit notamment des adresses IP (qui sont tronquées lors de la collecte et ne peuvent identifier que le code postal général de l’appareil, mais jamais une géolocalisation précise). De plus, même lorsqu’elles sont utilisées collectivement, les données que nous recueillons ne peuvent jamais produire le nom, le numéro de téléphone, le courriel ou l’adresse physique d’une personne, et nos ingénieurs ne travaillent d’aucune façon pour atteindre cet objectif. De plus, les Sociétés Connexity effectuent et enregistrent des evaluations de l’impact sur la vie privée dans le but de minimiser les risques de nos services, processus et politiques en matière de protection de la vie privée. |
Mesures visant à garantir la qualité des données | Connexity recueille des données directement à partir des événements de l’utilisateur et effectue plusieurs niveaux de validation des entrées pour s’assurer que seules les données valides sont stockées. Nous exécutons également des processus automatisés pour analyser des schémas dans les données d’événements après coup afin de pouvoir distinguer les événements qui sont le résultat d’acteurs automatisés de ceux qui sont le fait d’utilisateurs humains individuels. Pour Taboola, les données sont collectées directement auprès de l’utilisateur et ce dernier a la possibilité de corriger toute donnée associée à son CookieID via le portail de demandes d’accès de Taboola : https://accessrequest.taboola.com/access. |
Mesures visant à garantir une conservation limitée des données | Connexity : Les pratiques de gestion des documents sont respectées dans tous les services de la Société, conformément à la Politique de Conservation et de Suppression des Documents de Connexity. Taboola conserve les Informations de l’utilisateur, qui sont directement collectées dans le but de diffuser des publicités, pendant au maximum treize (13) mois à compter de la dernière interaction de l’utilisateur avec nos Services (souvent pour une période plus courte), après quoi nous dépersonnalisons les données en supprimant les identificateurs uniques ou en agrégeant les données. Ce processus est effectué automatiquement. |
Mesures visant à garantir le principe d’accountability | Les Sociétés Connexity effectuent plusieurs audits de sécurité et tests de pénétration (mais pas pour tous les systèmes). Taboola fait également appel à des fournisseurs de services en nuage qui sont certifiés ISO et qui se conforment à d’autres certifications relatives à l’informatique en nuage pour le maintien des garanties physiques d’un serveur. |
Mesures visant à permettre la portabilité des données et à garantir leur effacement | Connexity dispose d’une Politique de Protection des Données et d’une Politique de Conservation et d’Elimination des Documents. Connexity a également mis en place des procédures formelles de demande d’accès par les personnes concernées, qui peuvent ainsi exercer leur droit d’accès et de portabilité des données les concernant détenues par Connexity, ainsi que leur droit d’effacement ou de suppression de ces données. Taboola prend des mesures pour s’assurer que les procédures d’élimination des supports sont les mêmes pour tous les types de supports car ils peuvent contenir des données personnelles. Tout support doit être entièrement effacé avant d’être réutilisé ou éliminé. Toute suppression de support est documentée. Les employés ont pour instruction de ne pas imprimer de papier susceptible de contenir des informations personnelles. |
Annexe C
Transferts Restreints
1. Dans la mesure où une partie effectue un Transfert Restreint de Données collectées à l’autre partie, les Clauses Contractuelles Types sont intégrées aux présentes Conditions de Confidentialité Commerçant et s’appliquent comme suit :
(a) lorsque le Transfert Restreint est un Transfert Restreint de l’UE, les CCT de l’UE s’appliquent entre les parties comme suit :
(i) (Le module 1 s’applique ;
(ii) à la Clause 7, la Clause d’adhésion facultative s’applique ;
(iii) à la Clause 11, la langue optionnelle ne s’applique pas ;
(iv) dans la Clause 17, l’Option 1 s’applique et les CCT de l’UE sont régies par le droit irlandais ;
(v) la Clause 18(b), les litiges sont résolus devant les tribunaux d’Irlande ;
(vi) les Parties A, B et C de l’Annexe I sont réputées complétées par les informations figurant dans les Parties A, B et C de l’Annexe A des présentes Conditions de Confidentialité Commerçant; et
(vii) L’Annexe II est réputée complétée par les mesures de sécurité énoncées à l’annexe B des présentes Conditions de Confidentialité du Commerçant;
(b) lorsque le Transfert Restreint est un Transfert Restreint du Royaume-Uni, l’Addendum du Royaume-Uni s’appliquera entre les parties comme suit :
(i) les CCT de l’UE, complétées comme indiqué ci-dessus, s’appliquent entre les parties et sont modifiées par l’Addendum du Royaume-Uni (complété comme indiqué dans la sous-section (ii) ci-dessous) ; et
(ii) les tableaux 1 à 3 de l’Addendum du Royaume-Uni sont réputés complétés par les informations pertinentes des CCT de l’UE, complétées comme indiqué ci-dessus, et les options « Exportateur » et « Importateur » sont réputées cochées dans le tableau 4. La date de début de l’Addendum du Royaume-Uni (comme indiqué dans le tableau 1) correspond à la date d’entrée en vigueur des présentes Conditions de Confidentialité Commerçant.
2. Transferts Restreints ultérieurs : Aucune des parties n’effectuera de Transfert Restreint ultérieur des Données Collectées qu’elle reçoit de l’autre partie à moins qu’elle n’ait pris toutes les mesures nécessaires pour s’assurer que ce Transfert Restreint ultérieur est conforme aux Lois Applicables sur la Protection des Données et à toute Clause Contractuelle Type convenue avec l’autre partie.