CONDITIONS DE CONFIDENTIALITĂ COMMERĂANT
Date d’EntrĂ©e en Vigueur : 15 octobre 2024
Les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant de Connexity (« Conditions de ConfidentialitĂ© Commerçant ») s’appliquent aux services de publicitĂ© digitale de Connexity, notamment lorsque Connexity, Inc. (« Connexity ») ou un membre des SociĂ©tĂ©s Connexity (dĂ©finies ci-aprĂšs) distribue le Contenu Commerçant dans le RĂ©seau Connexity, conformĂ©ment Ă un contrat conclu entre Connexity et un Commerçant (« Contrat »), et les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant sont rĂ©putĂ©es incorporĂ©es Ă un tel Contrat et en font partie intĂ©grante. Connexity conclut les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant en son nom propre et au nom de sa sociĂ©tĂ© affiliĂ©e, Taboola.com, Ltd. (« Taboola »). Connexity et Taboola sont collectivement appelĂ©es les « SociĂ©tĂ©s Connexity ». Les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant dĂ©finissent les rĂŽles et les responsabilitĂ©s des SociĂ©tĂ©s Connexity et du Commerçant en ce qui concerne les DonnĂ©es Personnelles.
1. Ordre de prĂ©valence. En cas de conflit entre les Conditions de ConfidentialitĂ© Commerçant et le Contrat, les Conditions de ConfidentialitĂ© Commerçant prĂ©vaudront dans la limite de ce conflit, Ă moins que la disposition litigieuse du Contrat ne fasse expressĂ©ment rĂ©fĂ©rence Ă la disposition litigieuse des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant et ne prĂ©cise qu’elle prĂ©vaut sur cette disposition conflictuelle.
2. DĂ©finitions. Les termes dĂ©finis dans la prĂ©sente section ont la signification indiquĂ©e ci-aprĂšs, et les termes similaires sont interprĂ©tĂ©s en consĂ©quence. Les termes en majuscules utilisĂ©s mais non dĂ©finis dans les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant ont le sens qui leur est donnĂ© dans le Contrat. La rĂ©fĂ©rence Ă une « partie » dans les prĂ©sentes Conditions de ConfidentialitĂ© Commerçant doit ĂȘtre interprĂ©tĂ©e comme faisant rĂ©fĂ©rence au Commerçant ou aux SociĂ©tĂ©s Connexity, selon le contexte, et le terme « parties » doit ĂȘtre interprĂ©tĂ© en consĂ©quence.
a. « Lois Applicables sur la Protection des DonnĂ©es » dĂ©signe toutes les lois fĂ©dĂ©rales, nationales, Ă©tatiques ou autres lois sur la protection de la vie privĂ©e et des donnĂ©es qui s’appliquent au Traitement faisant l’objet du Contrat et des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant, telles que modifiĂ©es ou remplacĂ©es de temps Ă autre.
b. « Loi Californienne sur la Protection de la Vie PrivĂ©e » dĂ©signe la loi Californienne sur la Protection de la Vie PrivĂ©e des Consommateurs de 2018, le Code Civil Californien § 1798.100 et suivants (« CCPA »), tels que modifiĂ©s (y compris par la Loi Californienne sur la Protection de la Vie PrivĂ©e des Consommateurs), et toute lĂ©gislation subordonnĂ©e et rĂšglementations d’application.
c. « DonnĂ©es CollectĂ©es » dĂ©signe les DonnĂ©es Personnelles visĂ©es Ă l’Annexe A, Partie B, que chaque partie collecte auprĂšs des Personnes ConcernĂ©es sur ou via ses serveurs ou rĂ©seaux (y compris toutes les donnĂ©es collectĂ©es passivement ou lisibles par machine, telles que les donnĂ©es basĂ©es sur le type de navigateur et les identifiants d’appareil) ou qu’elle reçoit de l’autre partie dans le cadre de la fourniture ou de la rĂ©ception du Service.
d. « Responsable de Traitement » dĂ©signe (i) une entitĂ© qui dĂ©termine les finalitĂ©s et les moyens du Traitement des DonnĂ©es Personnelles, et (ii) toute personne qui entre dans le champ d’application du terme « responsable de traitement » (ou de tout terme substantiellement similaire) tel que dĂ©fini par les Lois Applicables sur la Protection des DonnĂ©es.
e. « Personne ConcernĂ©e » dĂ©signe (i) une personne physique identifiĂ©e ou identifiable (et, pour ces finalitĂ©s, une personne physique identifiable est une personne qui peut ĂȘtre identifiĂ©e, directement ou indirectement, notamment par rĂ©fĂ©rence Ă un identifiant tel qu’un nom, un numĂ©ro d’identification, des donnĂ©es de localisation, un identifiant en ligne ou Ă un ou plusieurs Ă©lĂ©ments spĂ©cifiques propres Ă l’identitĂ© physique, physiologique, gĂ©nĂ©tique, psychique, Ă©conomique, culturelle ou sociale de cette personne physique), et (ii) toute personne qui entre dans le champ d’application des termes « personne concernĂ©e », « consommateur » (ou tout terme substantiellement similaire) tels que dĂ©finis dans les Lois Applicables sur la Protection des DonnĂ©es.
f. « Loi de l’UE sur la Protection des DonnĂ©es » dĂ©signe : (i) le RĂšglement GĂ©nĂ©ral de l’UE sur la Protection des DonnĂ©es (RĂšglement 2016/679) (« RGPD de lâUE ») ; (ii) la Directive de l’UE sur la Vie PrivĂ©e et les Communications Electroniques (Directive 2002/58/CE) ; et (iii) toute loi nationale sur la protection des donnĂ©es adoptĂ©e en vertu ou en application de (i) ou (ii), chacune pouvant ĂȘtre modifiĂ©e ou remplacĂ©e de temps Ă autre.
g. « Finalités Autorisées » a la signification donnée à la section 3.
h. « DonnĂ©es Personnelles » dĂ©signe toute information relative Ă une Personne ConcernĂ©e (y compris, si les Lois Applicables sur la Protection des DonnĂ©es l’exigent, les identifiants uniques de navigateur ou d’appareil).
i. « Traitement » dĂ©signe toute opĂ©ration ou ensemble d’opĂ©rations effectuĂ©es sur des DonnĂ©es Personnelles ou sur des ensembles de DonnĂ©es Personnelles, que ce soit ou non par des moyens automatisĂ©s, telles que la collecte, la rĂ©ception, l’enregistrement, l’organisation, la structuration, l’utilisation, la transmission, l’accĂšs, le partage, la divulgation, le transfert, le stockage, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise Ă disposition, l’alignement ou la combinaison, l’agrĂ©gation, la dĂ©duction, la dĂ©rivation, l’analyse, la restriction, l’effacement, la destruction ou l’Ă©limination ou tout autre traitement de DonnĂ©es Personnelles, y compris la maniĂšre dont ce terme est dĂ©fini en vertu des Lois Applicables sur la Protection des DonnĂ©es.
j. « Sous-traitant » dĂ©signe : (i) une entitĂ© qui Traite des DonnĂ©es Personnelles pour le compte d’un Responsable de Traitement, et (ii) toute personne qui entre dans le champ d’application du terme « Sous-traitant » (ou de tout terme substantiellement analogue) tel que dĂ©fini par les Lois Applicables sur la Protection des DonnĂ©es.
k. « Transfert Restreint » dĂ©signe : (i) lorsque le RGPD de l’UE s’applique, un transfert de DonnĂ©es Personnelles de l’EEE vers un pays en dehors de l’EEE qui n’est pas soumis Ă une dĂ©cision d’adĂ©quation de la Commission EuropĂ©enne (un « Transfert Restreint de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de DonnĂ©es Personnelles du Royaume-Uni vers tout autre pays qui n’est pas soumis ou basĂ© sur des rĂšglements d’adĂ©quation en vertu de lâArticle 17A de la Loi Britannique sur la Protection des DonnĂ©es de 2018 (un « Transfert Restreint du Royaume-Uni »).
l. « Vente » et « Vendre » dĂ©signent l’Ă©change de DonnĂ©es Personnelles contre de l’argent ou une autre contrepartie de valeur, et comprennent la maniĂšre dont ces termes sont dĂ©finis en vertu des Lois Applicables sur la Protection des DonnĂ©es.
m. « Service » désigne les services fournis par les Sociétés Connexity dans le cadre du Contrat avec le Commerçant.
n. « Incident de SĂ©curité » dĂ©signe une brĂšche de sĂ©curitĂ© entraĂźnant accidentellement ou illĂ©galement la destruction, la perte, l’altĂ©ration, la divulgation non autorisĂ©e de DonnĂ©es Personnelles ou l’accĂšs Ă celles-ci.
o. « Clauses Contractuelles Types » dĂ©signe : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexĂ©es Ă la DĂ©cision d’ExĂ©cution 2021/914 de la Commission EuropĂ©enne du 4 juin 2021 relative aux Clauses Contractuelles Types pour le transfert de donnĂ©es Ă caractĂšre personnel vers des pays tiers en vertu du RĂšglement (UE) 2016/679 du Parlement EuropĂ©en et du Conseil (« CCT de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’ « Addendum sur le transfert international de donnĂ©es aux Clauses Contractuelles Types de la Commission de l’UE » publiĂ© par le Bureau du Commissaire Ă lâInformation en vertu de l’Article 119.A(1) de la Loi du Royaume-Uni sur la Protection des DonnĂ©es de 2018 (« lâAddendum du Royaume-Uni »).
p. « Tiers » signifie une entreprise qui agit en tant que Responsable de Traitement relativement Ă des DonnĂ©es Personnelles et qui n’est pas l’entreprise avec laquelle la Personne ConcernĂ©e dont les DonnĂ©es Personnelles sont TraitĂ©es a intentionnellement interagi ; le terme comprend la maniĂšre dont ce terme est dĂ©fini en vertu des Lois Applicables sur la Protection des DonnĂ©es.
q. « Loi du Royaume-Uni sur la Protection des DonnĂ©es » dĂ©signe : (i) la loi du Royaume-Uni de 2018 sur la Protection des DonnĂ©es, (ii) le RGPD du Royaume-Uni (tel que dĂ©fini Ă l’Article 3(10) de la Loi du Royaume-Uni de 2018 sur la Protection des DonnĂ©es) (le « RGPD du Royaume-Uni »), (iii) le RĂšglement du Royaume-Uni de 2003 sur la Protection de la Vie PrivĂ©e et les Communications Electroniques (Directive CE), et (iv) toute autre loi britannique adoptĂ©e en vertu ou en application de (i), (ii) ou (iii), chacune pouvant ĂȘtre modifiĂ©e ou remplacĂ©e de temps Ă autre.
3. Limitation des FinalitĂ©s. Chaque partie Traite les DonnĂ©es CollectĂ©es qu’elle recueille ou reçoit de l’autre partie pour les finalitĂ©s Ă©noncĂ©es Ă l’Annexe A, Partie B (les « FinalitĂ©s AutorisĂ©es »).
4. Relation entre les Parties. Chaque partie Traite les DonnĂ©es CollectĂ©es qu’elle recueille ou reçoit de l’autre partie en tant que Responsable du traitement.
a. Si les Lois Applicables sur la Protection des DonnĂ©es en vigueur aux Ătats-Unis s’appliquent aux DonnĂ©es CollectĂ©es, y compris, sans s’y limiter, la Loi Californienne sur la Protection de la Vie PrivĂ©e, alors, dans la mesure oĂč les SociĂ©tĂ©s Connexity reçoivent des DonnĂ©es CollectĂ©es par l’entremise des Pixels des SociĂ©tĂ©s Connexity installĂ©s sur le(s) site(s) Web du Commerçant en lien avec le Service, les SociĂ©tĂ©s Connexity recevront les DonnĂ©es CollectĂ©es en qualitĂ© de Tiers. Les SociĂ©tĂ©s Connexity Traiteront ces DonnĂ©es Personnelles pour les FinalitĂ©s AutorisĂ©es. Les SociĂ©tĂ©s Connexity fourniront le mĂȘme niveau de protection de la vie privĂ©e aux DonnĂ©es CollectĂ©es que celui exigĂ© des Responsables du traitement ou des Entreprises par les Lois Applicables sur la Protection des DonnĂ©es aux Ătats-Unis, y compris, s’il y a lieu, la Loi Californienne sur la Protection de la Vie PrivĂ©e. Les SociĂ©tĂ©s Connexity informeront le Commerçant dans le dĂ©lai requis par les Lois Applicables sur la Protection des DonnĂ©es aux Ătats-Unis si elles dĂ©terminent qu’elles ne sont plus en mesure de respecter leurs obligations en vertu de ces Lois Applicables sur la Protection des DonnĂ©es. AprĂšs en avoir avisĂ© Connexity, le Commerçant a le droit de prendre des mesures raisonnables et appropriĂ©es pour mettre fin Ă l’utilisation non autorisĂ©e des DonnĂ©es CollectĂ©es qu’il met Ă la disposition des SociĂ©tĂ©s Connexity et pour y remĂ©dier.
5. Lois Applicables sur la Protection des DonnĂ©es. Les parties reconnaissent que les Lois Applicables sur la Protection des DonnĂ©es peuvent s’appliquer au Traitement des DonnĂ©es CollectĂ©es par chaque partie et, sous rĂ©serve de la section 7, chaque partie est individuellement responsable de son propre respect des Lois Applicables sur la Protection des DonnĂ©es Applicables, y compris toutes obligations concernant : (i) la transparence vis-Ă -vis des Personnes ConcernĂ©es, (ii) le consentement ou une autre base lĂ©gale pour le Traitement, et (iii) la mise Ă disposition d’un point de contact par lequel les Personnes ConcernĂ©es peuvent exercer leurs droits en matiĂšre de protection des donnĂ©es.
6. Transferts Internationaux. Si l’une des parties effectue un Transfert Restreint de DonnĂ©es CollectĂ©es Ă l’autre partie, les dispositions de l’Annexe C s’appliquent.
7. Transparence pour les Utilisateurs sur la Page d’Accueil du Commerçant. Les SociĂ©tĂ©s Connexity utilisent les Pixels des SociĂ©tĂ©s Connexity pour fournir le Service. Nonobstant la section 5, dans la mesure oĂč les SociĂ©tĂ©s Connexity collectent des DonnĂ©es CollectĂ©es sur le(s) site(s) web du Commerçant en utilisant le(s) pixel(s) des SociĂ©tĂ©s Connexity, le Commerçant doit : (i) fournir tous les avis de transparence requis aux Personnes ConcernĂ©es concernant l’utilisation par les SociĂ©tĂ©s Connexity des Pixels des SociĂ©tĂ©s Connexity pour recueillir des DonnĂ©es CollectĂ©es Ă partir du ou des sites Web du Commerçant pour les FinalitĂ©s AutorisĂ©es, et (ii) obtenir (et, Ă la demande de Connexity en tout temps, fournir la preuve appropriĂ©e) le consentement des Personnes ConcernĂ©es Ă l’utilisation des Pixels des SociĂ©tĂ©s Connexity pour les FinalitĂ©s AutorisĂ©es, dans chaque cas conformĂ©ment aux exigences des Lois Applicables en matiĂšre de Protection des DonnĂ©es. Les obligations du Commerçant Ă cet Ă©gard comprennent l’identification des SociĂ©tĂ©s Connexity et de son utilisation des Pixels des SociĂ©tĂ©s Connexity pour les FinalitĂ©s AutorisĂ©es expressĂ©ment dans les avis de transparence et les demandes de consentement que le Commerçant fournit aux Personnes ConcernĂ©es, ainsi que toute autre information requise par les Lois Applicables en matiĂšre de Protection des DonnĂ©es, afin que les SociĂ©tĂ©s Connexity puissent fournir leur Service lĂ©galement par l’entremise de ces propriĂ©tĂ©s numĂ©riques et traiter les DonnĂ©es CollectĂ©es pour les FinalitĂ©s AutorisĂ©es. Sur demande Ă©crite, Connexity fournira au Commerçant les renseignements nĂ©cessaires sur le(s) Pixel(s) des SociĂ©tĂ©s Connexity et sur le Traitement par les SociĂ©tĂ©s Connexity des DonnĂ©es CollectĂ©es par l’intermĂ©diaire du(des) site(s) Web du Commerçant, afin que le Commerçant puisse les utiliser dans les mĂ©canismes d’avis et dâobtention de consentement qu’il veillera Ă mettre en conformitĂ© avec les Lois Applicables sur la Protection des DonnĂ©es. Le Commerçant n’utilisera aucun des Pixels des SociĂ©tĂ©s Connexity tant que la transparence nĂ©cessaire n’aura pas Ă©tĂ© assurĂ©e et que les consentements requis en vertu des Lois Applicables en matiĂšre de Protection des DonnĂ©es n’auront pas Ă©tĂ© obtenus. Le Commerçant doit en outre fournir aux Personnes ConcernĂ©es des informations sur la maniĂšre dont elles peuvent exercer leurs droits en matiĂšre de protection des donnĂ©es en vertu des Lois Applicables sur la Protection des DonnĂ©es, et fournir un point de contact que les Personnes ConcernĂ©es peuvent contacter afin d’exercer leurs droits. Le Commerçant doit aviser promptement Connexity si et dans la mesure oĂč il reçoit une demande dâexercice de droits Ă la protection des donnĂ©es concernant le Traitement des DonnĂ©es CollectĂ©es par les SociĂ©tĂ©s Connexity en tant que Responsable du traitement, afin que Connexity puisse rĂ©pondre Ă la demande conformĂ©ment Ă ses obligations en vertu des Lois Applicables sur la Protection des DonnĂ©es.
8. Partenaires d’Attribution. Si les SociĂ©tĂ©s Connexity, Ă la demande du Commerçant, transmettent la totalitĂ© ou une partie des DonnĂ©es CollectĂ©es au Partenaire d’Attribution du Commerçant ou au Commerçant Ă des fins d’attribution, le Commerçant dĂ©clare et garantit que : (i) son partenaire d’attribution est un Sous-traitant pour le compte du Commerçant; (ii) sauf collecte indĂ©pendante, le Commerçant et le partenaire d’attribution utiliseront ces DonnĂ©es CollectĂ©es uniquement Ă des fins d’attribution ; et (iii) le partenaire d’attribution et le Commerçant supprimeront toutes les DonnĂ©es CollectĂ©es transmises dans les trente (30) jours suivant la derniĂšre identification de l’utilisateur d’un site web du Commerçant comme provenant des SociĂ©tĂ©s Connexity.
9. SĂ©curitĂ©. Chaque partie met en Ćuvre les mesures de sĂ©curitĂ© techniques et organisationnelles appropriĂ©es pour protĂ©ger les DonnĂ©es CollectĂ©es qu’elle Traite contre un Incident de SĂ©curitĂ©. Ces mesures comprennent les mesures Ă©noncĂ©es Ă l’Annexe B.
10. Incidents de SĂ©curitĂ©. Si l’une des parties subit un Incident de SĂ©curitĂ© concernant les DonnĂ©es CollectĂ©es qu’elle Traite et qui font l’objet du Contrat et des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant, cette partie doit : (i) s’acquitter (Ă ses propres frais) de toutes les obligations de dĂ©claration qui lui incombent en vertu des Lois Applicables sur la Protection des DonnĂ©es auprĂšs des autoritĂ©s chargĂ©es de la protection des donnĂ©es et/ou des Personnes ConcernĂ©es, (ii) notifier l’autre partie dans les meilleurs dĂ©lais, en fournissant les informations sur l’Incident de SĂ©curitĂ© qui peuvent ĂȘtre raisonnablement demandĂ©es par l’autre partie ou qui sont autrement nĂ©cessaires pour permettre Ă l’autre partie de dĂ©terminer si elle peut Ă©galement avoir des obligations de dĂ©claration en vertu des Lois Applicables sur la Protection des DonnĂ©es en ce qui concerne l’Incident de SĂ©curitĂ©, et (iii) prendre toutes les actions et mesures, sans retard injustifiĂ©, qui sont appropriĂ©es pour remĂ©dier Ă l’Incident de SĂ©curitĂ© et/ou en attĂ©nuer les effets.
11. DPIAs. Lorsque et dans la mesure oĂč les Lois Applicables sur la Protection des DonnĂ©es auxquelles chaque partie est soumise l’exigent, chaque partie doit effectuer une Ă©valuation de l’impact sur la protection des donnĂ©es en ce qui concerne son Traitement des DonnĂ©es CollectĂ©es pour les FinalitĂ©s AutorisĂ©es et/ou consulter les autoritĂ©s compĂ©tentes en matiĂšre de protection des donnĂ©es, le cas Ă©chĂ©ant. Chaque partie fournit toute la coopĂ©ration et les informations raisonnablement demandĂ©es par l’autre partie, lorsque cela est nĂ©cessaire pour permettre Ă l’autre partie de rĂ©aliser une Ă©valuation de l’impact sur la protection des donnĂ©es et/ou de consulter les autoritĂ©s compĂ©tentes en matiĂšre de protection des donnĂ©es conformĂ©ment aux obligations de l’autre partie en vertu de la prĂ©sente section 11.
12. ContrÎles en langue anglaise. En cas de conflit entre la version anglaise des présentes Conditions de Confidentialité Commerçant et toute version traduite que nous pourrions fournir, chaque partie accepte que la version anglaise prévale dans tous les cas.
Annexe A
Description du Traitement
A. LISTE DES PARTIES
Chaque partie doit ĂȘtre :
â un responsable de traitement des donnĂ©es (et un exportateur de donnĂ©es) pour les DonnĂ©es CollectĂ©es qu’il divulgue ou met Ă la disposition de l’autre partie, et
â un responsable de traitement des donnĂ©es (et un importateur de donnĂ©es) des DonnĂ©es CollectĂ©es qu’il reçoit de l’autre partie ou auxquelles l’autre partie lui donne accĂšs.
Les détails de chaque partie sont fournis ci-dessous.
| Nom : | Voir les coordonnées du Commerçant dans le Contrat. |
| Address : | Voir les coordonnées du Commerçant dans le Contrat. |
| Nom, fonction et coordonnées de la personne de contact : | Voir les coordonnées du Commerçant dans le Contrat ou convenues autrement par écrit entre les parties. |
| Activités en rapport avec les données transférées en vertu des présentes Clauses : | La réception du Service, telle que définie dans le Contrat. |
| Signature et date : | La prĂ©sente Annexe A est rĂ©putĂ©e exĂ©cutĂ©e Ă compter de l’acceptation par le Commerçant des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant. |
| RĂŽle (responsable de traitement/sous-traitant) : | Responsable de Traitement (lorsqu’il est exportateur de donnĂ©es) et Responsable de Traitement (lorsqu’il est importateur de donnĂ©es) |
| Nom : | Pour les SociĂ©tĂ©s Connexity : Voir les dĂ©tails de Connexity dans l’introduction du Contrat. Taboola: Taboola.com, Ltd. |
| Adresse : | Pour les SociĂ©tĂ©s Connexity : Voir les dĂ©tails de Connexity dans l’introduction du Contrat. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
| Nom, fonction et coordonnĂ©es de la personne de contact : | L’Ă©quipe de Connexity chargĂ©e de la protection de la vie privĂ©e, dataprotection@connexity.com. |
| ActivitĂ©s en rapport avec les donnĂ©es transfĂ©rĂ©es en vertu des prĂ©sentes Clauses : | La fourniture du Service, telle qu’elle est dĂ©finie dans le Contrat. |
| Signature et date : | La prĂ©sente Annexe A est rĂ©putĂ©e exĂ©cutĂ©e dĂšs l’acceptation par Connexity des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant. |
| RĂŽle (responsable de traitement/sous-traitant) : | Responsable de Traitement (lorsquâil est exportateur de donnĂ©es) et Responsable de Traitement (lorsquâil est importateur de donnĂ©es) |
B.   DESCRIPTION DU TRAITEMENT ET DU TRANSFERT
| Catégories de personnes concernées dont les données personnelles sont traitées et/ou transférées | Utilisateurs |
| CatĂ©gories de donnĂ©es Ă caractĂšre personnel traitĂ©es et/ou transfĂ©rĂ©es | DonnĂ©es relatives Ă l’appareil : SystĂšme d’exploitation, type de navigateur, version du navigateur, adresse IP (tronquĂ©e dans les 30 jours) de la collecte, code postal (dĂ©rivĂ© de l’adresse IP), ID utilisateur Taboola hachĂ©, e-mails hachĂ©s, visites de pages initiales et ultĂ©rieures sur le site Web de l’Annonceur, sexe de l’utilisateur (dĂ©duit par les intĂ©rĂȘts), signaux d’engagement (temps sur le site, durĂ©e de dĂ©filement, durĂ©e de la session), donnĂ©es de conversion, ID de clic. DonnĂ©es sur la propriĂ©tĂ© numĂ©rique visitĂ©e par l’utilisateur : L’URL de la page visitĂ©e, le site web de rĂ©fĂ©rence et d’autres informations partagĂ©es par le Commerçant sur la façon dont les utilisateurs interagissent avec son (ses) site(s) web Commerçant, telles que les pages vues, les produits vus, les Ă©vĂ©nements d’ajout au panier, les Ă©vĂ©nements d’achat et dâautres types d’Ă©vĂ©nements. |
| DonnĂ©es sensibles transfĂ©rĂ©es (le cas Ă©chĂ©ant) et restrictions ou garanties appliquĂ©es qui tiennent pleinement compte de la nature des donnĂ©es et des risques encourus, comme par exemple une limitation stricte de la finalitĂ©, des restrictions d’accĂšs (y compris un accĂšs rĂ©servĂ© au personnel ayant suivi une formation spĂ©cialisĂ©e), la tenue d’un registre d’accĂšs aux donnĂ©es, des restrictions pour les transferts ultĂ©rieurs ou des mesures de sĂ©curitĂ© supplĂ©mentaires |
Not applicable. |
| La fréquence du traitement et/ou des transferts (par exemple, si les données sont traitées et/ou transférées de maniÚre ponctuelle ou continue) | Continu pendant la durée du Contrat. |
| Nature du traitement | Traitement des Données Personnelles nécessaires à la fourniture du Service, comme indiqué dans le Contrat. |
| FinalitĂ©(s) du traitement des donnĂ©es / transfert et traitement ultĂ©rieur | La fourniture du Service, telle que dĂ©fini dans le Contrat, et notamment pour les finalitĂ©s suivantes (sous rĂ©serve des autorisations appropriĂ©es des personnes concernĂ©es, le cas Ă©chĂ©ant, en vertu des Lois Applicables sur la Protection des DonnĂ©es): â Stocker et/ou accĂ©der Ă des informations sur un appareil â SĂ©lectionner les publicitĂ©s de base ; â CrĂ©er un profil de publicitĂ©s personnalisĂ©es ; â SĂ©lectionner des publicitĂ©s personnalisĂ©es ; â CrĂ©er un profil de contenu personnalisĂ© ; â SĂ©lectionner un contenu personnalisĂ© ; â Mesurer la performance de la publicitĂ© ; â Mesurer la performance du contenu ; \DĂ©velopper et amĂ©liorer les produits ; â Assurer la sĂ©curitĂ©, prĂ©venir la fraude et dĂ©boguer ; â Diffuser techniquement des publicitĂ©s ou du contenu ; â Faire correspondre et combiner des sources de donnĂ©es hors ligne ; â Relier diffĂ©rents appareils ; â Recevoir et utiliser les caractĂ©ristiques de l’appareil envoyĂ©es automatiquement Ă des fins d’identification ; et â Utiliser des donnĂ©es limitĂ©es pour sĂ©lectionner le contenu. |
| La durĂ©e de conservation des donnĂ©es personnelles ou, si cela n’est pas possible, les critĂšres utilisĂ©s pour dĂ©terminer cette durĂ©e | Les parties conservent les DonnĂ©es Personnelles aussi longtemps que nĂ©cessaire pour fournir le Service. |
| Pour les transferts aux sous-traitants (ultĂ©rieurs), prĂ©ciser Ă©galement l’objet, la nature et la durĂ©e du traitement | Not applicable. |
C.   AUTORITĂ DE CONTROLE COMPĂTENTE
| AutoritĂ© de contrĂŽle compĂ©tente lorsque le RGPD de l’UE s’applique | TL’autoritĂ© de contrĂŽle compĂ©tente pour chaque partie est dĂ©crite ci-dessous : â SociĂ©tĂ©s Connexity : L’autoritĂ© de contrĂŽle compĂ©tente est dĂ©terminĂ©e conformĂ©ment Ă la Clause 13 des CCT de l’UE. â Commerçant : L’autoritĂ© de contrĂŽle compĂ©tente est dĂ©terminĂ©e conformĂ©ment Ă la Clause 13 des CCT de l’UE. |
| AutoritĂ© de contrĂŽle compĂ©tente lorsque le RGPD du Royaume-Uni s’applique | Le Bureau du Commissaire Ă l’Information (Information Commissionerâs Office |
Annexe B
Mesures de sécurité
Description des mesures techniques et organisationnelles mises en Ćuvre par chaque partie (y compris toutes certification pertinentes) pour garantir un niveau de sĂ©curitĂ© appropriĂ©, compte tenu de la nature, de la portĂ©e, du contexte et de la finalitĂ© du traitement, ainsi que des risques pour les droits et libertĂ©s des personnes physiques.
| Mesures de pseudonymisation et de chiffrement des donnĂ©es personnelles | Les SociĂ©tĂ©s Connexity ne recueillent que des donnĂ©es pseudonymisĂ©es, ce qui signifie que nous ne savons pas qui vous ĂȘtes parce que nous ne connaissons pas ou ne traitons pas le nom, l’adresse Ă©lectronique ou d’autres donnĂ©es identifiables de l’utilisateur. Les Informations sur lâutilisateur que nous recueillons comprennent, sans s’y limiter, des informations sur l’appareil et le systĂšme d’exploitation de l’utilisateur, l’adresse IP, les pages Web consultĂ©es par les utilisateurs sur les sites Web de nos Clients, le lien qui a conduit un utilisateur au site Web d’un Client, les dates et heures d’accĂšs d’un utilisateur au site Web d’un Client et d’autres donnĂ©es de navigation sur le Web. Connexity s’engage Ă ce qui suit : l’Agent utilisateur et l’Adresse IP sont tous deux stockĂ©s de maniĂšre chiffrĂ©e et, pour les visiteurs provenant de rĂ©gions oĂč les rĂ©glementations exigent l’anonymisation (par exemple, lorsque le RGPD est applicable), l’Agent utilisateur et l’Adresse IP sont tous deux tronquĂ©s avant le chiffrement. En outre, Taboola s’engage Ă ce que le CookieID soit anonymisĂ© Ă l’aide de Bcrypt et que l’adresse IP soit tronquĂ©e. |
| Mesures visant Ă garantir en continu la confidentialitĂ©, l’intĂ©gritĂ©, la disponibilitĂ© et la rĂ©silience des systĂšmes et services de traitement | Connexity utilise plusieurs niveaux de sĂ©curitĂ© Ă©lectronique (par exemple : sĂ©curitĂ© des terminaux, sĂ©curitĂ© cĂŽtĂ© serveur, suivi des dĂ©tections, tests de pĂ©nĂ©tration pĂ©riodiques et collecte d’informations approfondies pour examiner les Ă©vĂ©nements post-mortem). |
| Mesures visant Ă garantir la capacitĂ© de rĂ©tablir la disponibilitĂ© et lâacĂšs des donnĂ©es personnelles en temps utile en cas d’incident physique ou technique | Connexity met en Ćuvre les Ă©lĂ©ments suivants : â La disponibilitĂ© des DonnĂ©es Personnelles est assurĂ©e par lâutilisation par Connexity dâachitectures de rĂ©plication des bases de donnĂ©es pour la redondance et la sauvegarde automatique des donnĂ©es dans plusieurs rĂ©gions. â Les systĂšmes qui suivent les Ă©vĂ©nements des utilisateurs sont Ă©galement redondants dans plusieurs rĂ©gions qui prennent en charge le basculement, de sorte que mĂȘme une panne totale dans une rĂ©gion ne rendra pas les services indisponibles. Taboola dispose de 9 centres de donnĂ©es rĂ©partis dans le monde entier. Chaque centre de donnĂ©es est utilisĂ© comme une rĂ©plique de l’autre, de sorte que si l’un d’eux tombe en panne, les donnĂ©es peuvent ĂȘtre extraites de l’autre centre de donnĂ©es. |
| ProcĂ©dures permettant de tester, d’apprĂ©cier et d’Ă©valuer rĂ©guliĂšrement l’efficacitĂ© des mesures techniques et organisationnelles afin d’assurer la sĂ©curitĂ© du traitement. | Afin de veiller Ă ce que la protection des donnĂ©es et pour faire respecter les obligations et les procĂ©dures en matiĂšre de confidentialitĂ© Connexity a mis en Ćuvre les protocoles suivants : â Formation et sensibilisation des employĂ©s Ă la protection des donnĂ©es, Ă la sĂ©curitĂ© de l’information, aux obligations de confidentialitĂ© et Ă la conformitĂ©. â Audit rĂ©gulier des procĂ©dures de traitement des donnĂ©es. â Des protocoles intĂ©grĂ©s de notification et de traitement sont en place pour les violations de la protection des donnĂ©es et la protection des droits des personnes concernĂ©es. Taboola maintient des processus stricts pour tester l’efficacitĂ© de ses contrĂŽles (Ă la fois techniques et organisationnels). Nous avons mis en place un systĂšme d’enregistrement et de surveillance, des tests de reprise aprĂšs sinistre mensuels (au moins), des tests de pĂ©nĂ©tration trimestriels, des Pare-feu protĂ©geant le web et des honeypots rĂ©partis sur le rĂ©seau pour dĂ©tecter toute activitĂ© malveillante. En outre, nous avons mis en place un programme de primes qui nous aide Ă surveiller constamment notre rĂ©seau. |
| Mesures d’identification et d’autorisation des utilisateurs | Chaque utilisateur des SociĂ©tĂ©s Connexity est associĂ© Ă un nom d’utilisateur et Ă un mot de passe dĂ©diĂ©s. Chaque accĂšs au rĂ©seau interne des SociĂ©tĂ©s Connexity se fait avec une authentification Ă deux facteurs (2FA). Les utilisateurs sont crĂ©Ă©s uniquement par le dĂ©partement informatique, pendant le processus d’intĂ©gration et seulement aprĂšs avoir reçu tous les dĂ©tails et le contrat signĂ© par le dĂ©partement des ressources humaines. |
| Mesures de protection des donnĂ©es lors de leur transmission | Connexity met en Ćuvre les Ă©lĂ©ments suivants : â Toute transmission de DonnĂ©es Personnelles est effectuĂ©e au moyen de protocoles de transmission sĂ©curisĂ©s (HTTPS et TLS v1.2 au minimum). En outre, les systĂšmes susceptibles de contenir des DonnĂ©es Personnelles sont sĂ©curisĂ©s et les donnĂ©es sont hachĂ©es et anonymisĂ©es. â Le transfert de DonnĂ©es Personnelles Ă un tiers (par exemple un client, un sous-traitant ou un prestataire de services) n’a lieu que s’il existe un contrat correspondant et uniquement pour une finalitĂ© prĂ©cise. Connexity garantit l’existence d’un niveau adĂ©quat de protection des donnĂ©es sur le site ou dans l’organisation cible, conformĂ©ment aux exigences de l’UE en matiĂšre de protection des donnĂ©es. Taboola soutient toute transmission de donnĂ©es par le biais de protocoles de transmission sĂ©curisĂ©s (HTTPS et TLS v1.2 au minimum). En outre, les systĂšmes susceptibles de contenir des DonnĂ©es Personnelles sont sĂ©curisĂ©s et les donnĂ©es sont hachĂ©es et anonymisĂ©es. |
| Mesures de protection des donnĂ©es pendant le stockage | Les droits d’accĂšs au rĂ©seau et au systĂšme de Connexity sont dĂ©livrĂ©s par le biais d’un processus d’examen et d’autorisation rĂ©glementĂ© et accordĂ©s selon un protocole fondĂ© sur le principe du « a besoin de savoir ». Taboola s’assure que les donnĂ©es stockĂ©es dans nos bases de donnĂ©es sont anonymisĂ©es et hachĂ©es Ă l’aide de Bcrypt. L’accĂšs Ă la base de donnĂ©es est minimisĂ© et basĂ© sur le principe du « le business a besoin de savoir ». |
| Mesures visant Ă assurer la sĂ©curitĂ© physique des lieux oĂč sont traitĂ©es les donnĂ©es Ă caractĂšre personnel | Connexity met en Ćuvre les Ă©lĂ©ments suivants : â Les contrĂŽles de sĂ©curitĂ© physique dans les bureaux de Connexity, oĂč le traitement des DonnĂ©es Personnelles peut avoir lieu ou les systĂšmes de traitement des donnĂ©es peuvent ĂȘtre hĂ©bergĂ©s, comprennent la protection des locaux et de leurs pĂ©rimĂštres Ă l’aide de diverses mesures de contrĂŽle d’accĂšs, y compris, mais sans s’y limiter, l’accĂšs par carte magnĂ©tique aux bureaux et aux parkings pour les employĂ©s, l’entrĂ©e surveillĂ©e dans les bureaux pendant les heures d’ouverture, le personnel de sĂ©curitĂ© sur place 24/7/365 et les systĂšmes de camĂ©ras de sĂ©curitĂ©. â En dehors des heures d’ouverture, les ascenseurs du 4e Ă©tage, oĂč se trouvent les bureaux de Connexity, sont dĂ©sactivĂ©s et ne peuvent fonctionner qu’avec une carte magnĂ©tique active dĂ©livrĂ©e Ă un employĂ© ou Ă un membre du personnel autorisĂ© de l’immeuble de bureaux. â Les piĂšces contenant des systĂšmes informatiques (serveurs, rĂ©partiteurs de rĂ©seau, etc.) sont fermĂ©es Ă clĂ© et ne sont accessibles qu’aux employĂ©s autorisĂ©s des dĂ©partements Administration ou Infrastructure informatique. â Les visiteurs programmĂ©s et les vendeurs extĂ©rieurs Ă l’entreprise doivent signer un registre des invitĂ©s Ă leur arrivĂ©e Ă la rĂ©ception et indiquer la raison de leur visite. Les visiteurs ne peuvent se trouver dans les locaux de l’entreprise que s’ils sont escortĂ©s et/ou surveillĂ©s par le service de sĂ©curitĂ© du bĂątiment ou par un employĂ© de Connexity Ă tout moment. Chacun des centres de donnĂ©es mondiaux de Taboola (aux Ătats-Unis, en Europe et en Asie), possĂšde tous ses serveurs situĂ©s dans des armoires fermĂ©es Ă clĂ© qui sont maintenues exclusivement pour l’usage de Taboola. Ces armoires sont entretenues par des sociĂ©tĂ©s certifiĂ©es SOC2 ou dont Taboola a examinĂ© les mesures de sĂ©curitĂ©. En outre, tout accĂšs aux serveurs nĂ©cessite une autorisation Ă©crite et journalisĂ©e. Tous les bureaux de Taboola sont Ă©galement contrĂŽlĂ©s et les employĂ©s doivent utiliser des cartes d’accĂšs pour y pĂ©nĂ©trer. En outre, seul un nombre limitĂ© d’employĂ©s a accĂšs aux serveurs de Taboola et tout accĂšs nĂ©cessite Ă©galement une autorisation Ă©crite et journalisĂ©e. |
| Mesures visant Ă garantir l’enregistrement des Ă©vĂ©nements | L’accĂšs au rĂ©seau de l’entreprise Connexity est automatiquement contrĂŽlĂ© et enregistrĂ©, y compris les tentatives de connexion infructueuses. L’accĂšs au rĂ©seau est automatiquement bloquĂ© par le systĂšme aprĂšs cinq tentatives infructueuses et ne peut ĂȘtre rĂ©tabli que par un employĂ© autorisĂ© de l’administration informatique. Taboola met en Ćuvre des outils de surveillance et les journaux sont collectĂ©s dans notre systĂšme SIEM qui nous alerte sur tout Ă©vĂ©nement suspect et qui est Ă©galement surveillĂ© par l’Ă©quipe NOC. |
| Mesures visant Ă garantir la configuration du systĂšme, y compris la configuration par dĂ©faut | Connexity met en Ćuvre les Ă©lĂ©ments suivants : â Connexity utilise des systĂšmes automatisĂ©s de gestion de la configuration pour que toutes les configurations de serveurs soient Ă jour et fonctionnent selon une configuration standard. Les configurations font l’objet d’un contrĂŽle des modifications et doivent ĂȘtre examinĂ©es avant le dĂ©ploiement. â Les configurations des applications sont Ă©galement soumises Ă un contrĂŽle des modifications et doivent ĂȘtre examinĂ©es avant leur dĂ©ploiement. â Les modifications apportĂ©es aux applications sont soumises Ă un processus formel de gestion du changement et de cycle de vie du dĂ©veloppement logiciel, comprenant la rĂ©vision du code, lâassurance qualitĂ© et des processus CI/CD normalisĂ©s. Les Serveurs Taboola sont analysĂ©s Ă la fois pour la dĂ©rive de la configuration et le niveau de correctif. Des rapports et/ou des alertes sont Ă©tablis pour ces deux Ă©lĂ©ments et le niveau de correctif correspondant est confirmĂ©. Les nouveaux correctifs sont distribuĂ©s Ă l’aide de Puppet. Toutes les rĂ©visions techniques sont gĂ©rĂ©es par l’application R&D et obtenues par un processus formel de rĂ©vision (QA) aprĂšs le codage et les processus CI/CD sont Ă©galement mis en Ćuvre. |
| Mesures relatives Ă la gouvernance et Ă la gestion internes de l’informatique et de la sĂ©curitĂ© informatique | Connexity adhĂšre aux politiques de sĂ©curitĂ© dĂ©finies par sa sociĂ©tĂ© mĂšre. Taboola est certifiĂ©e ISO 27001:2013 et 27701. Taboola a mis en place une Politique de SĂ©curitĂ© de l’Information qui stipule que le conseil d’administration et la direction de Taboola s’engagent Ă prĂ©server la confidentialitĂ©, l’intĂ©gritĂ© et la disponibilitĂ© de toutes les informations physiques et Ă©lectroniques dans l’ensemble de leur organisation. Taboola organise des formations Ă la sĂ©curitĂ© pour tous les nouveaux employĂ©s, des formations au phishing pour tous les employĂ©s au niveau mondial, et des formations rĂ©guliĂšres Ă la sĂ©curitĂ© pour tous les employĂ©s, ainsi que des sessions dĂ©diĂ©es aux groupes de R&D. |
| Mesures de certification/assurance des processus et des produits | En tant que filiale d’une sociĂ©tĂ© publique, Connexity fait l’objet d’un audit SOX rigoureux sur une base annuelle. Taboola fait l’objet d’un audit interne trimestriel / Semestriel / Annuel sur de multiples processus et systĂšmes afin de valider que Taboola se conforme Ă ses objectifs et mesures de sĂ©curitĂ© dĂ©finis. |
| Mesures visant Ă garantir la minimisation des donnĂ©es | Les SociĂ©tĂ©s Connexity limitent intentionnellement les donnĂ©es qu’elles recueillent dans le cadre des principes globaux de minimisation des donnĂ©es de Taboola, qui consistent Ă ne traiter que les donnĂ©es limitĂ©es nĂ©cessaires Ă nos objectifs commerciaux spĂ©cifiques. En outre, les SociĂ©tĂ©s Connexity n’ont pas la capacitĂ©, ni le besoin, de faire de l’ingĂ©nierie inverse sur les points de donnĂ©es utilisĂ©s dans notre traitement afin de fournir nos services. Plus prĂ©cisĂ©ment, les points de donnĂ©es que les sociĂ©tĂ©s Connexity recueillent ne sont jamais indicatifs de l’identitĂ© d’un utilisateur – puisque les sociĂ©tĂ©s Connexity ne recueillent ni ne traitent des renseignements tels que le nom, le numĂ©ro de tĂ©lĂ©phone, le courriel ou l’adresse physique de l’utilisateur. Au contraire, les SociĂ©tĂ©s Connexity ne recueillent que des identifiants seudonymes, qui ne font qu’identifier les caractĂ©ristiques de l’appareil d’un utilisateur. Il s’agit notamment des adresses IP (qui sont tronquĂ©es lors de la collecte et ne peuvent identifier que le code postal gĂ©nĂ©ral de l’appareil, mais jamais une gĂ©olocalisation prĂ©cise). De plus, mĂȘme lorsqu’elles sont utilisĂ©es collectivement, les donnĂ©es que nous recueillons ne peuvent jamais produire le nom, le numĂ©ro de tĂ©lĂ©phone, le courriel ou l’adresse physique d’une personne, et nos ingĂ©nieurs ne travaillent d’aucune façon pour atteindre cet objectif. De plus, les SociĂ©tĂ©s Connexity effectuent et enregistrent des evaluations de l’impact sur la vie privĂ©e dans le but de minimiser les risques de nos services, processus et politiques en matiĂšre de protection de la vie privĂ©e. |
| Mesures visant Ă garantir la qualitĂ© des donnĂ©es | Connexity recueille des donnĂ©es directement Ă partir des Ă©vĂ©nements de l’utilisateur et effectue plusieurs niveaux de validation des entrĂ©es pour s’assurer que seules les donnĂ©es valides sont stockĂ©es. Nous exĂ©cutons Ă©galement des processus automatisĂ©s pour analyser des schĂ©mas dans les donnĂ©es d’Ă©vĂ©nements aprĂšs coup afin de pouvoir distinguer les Ă©vĂ©nements qui sont le rĂ©sultat d’acteurs automatisĂ©s de ceux qui sont le fait d’utilisateurs humains individuels. Pour Taboola, les donnĂ©es sont collectĂ©es directement auprĂšs de l’utilisateur et ce dernier a la possibilitĂ© de corriger toute donnĂ©e associĂ©e Ă son CookieID via le portail de demandes dâaccĂšs de Taboola : https://accessrequest.taboola.com/access. |
| Mesures visant Ă garantir une conservation limitĂ©e des donnĂ©es | Connexity : Les pratiques de gestion des documents sont respectĂ©es dans tous les services de la SociĂ©tĂ©, conformĂ©ment Ă la Politique de Conservation et de Suppression des Documents de Connexity. Taboola conserve les Informations de l’utilisateur, qui sont directement collectĂ©es dans le but de diffuser des publicitĂ©s, pendant au maximum treize (13) mois Ă compter de la derniĂšre interaction de l’utilisateur avec nos Services (souvent pour une pĂ©riode plus courte), aprĂšs quoi nous dĂ©personnalisons les donnĂ©es en supprimant les identificateurs uniques ou en agrĂ©geant les donnĂ©es. Ce processus est effectuĂ© automatiquement. |
| Mesures visant Ă garantir le principe dâaccountability | Les SociĂ©tĂ©s Connexity effectuent plusieurs audits de sĂ©curitĂ© et tests de pĂ©nĂ©tration (mais pas pour tous les systĂšmes). Taboola fait Ă©galement appel Ă des fournisseurs de services en nuage qui sont certifiĂ©s ISO et qui se conforment Ă d’autres certifications relatives Ă l’informatique en nuage pour le maintien des garanties physiques d’un serveur. |
| Mesures visant Ă permettre la portabilitĂ© des donnĂ©es et Ă garantir leur effacement | Connexity dispose d’une Politique de Protection des DonnĂ©es et d’une Politique de Conservation et d’Elimination des Documents. Connexity a Ă©galement mis en place des procĂ©dures formelles de demande d’accĂšs par les personnes concernĂ©es, qui peuvent ainsi exercer leur droit d’accĂšs et de portabilitĂ© des donnĂ©es les concernant dĂ©tenues par Connexity, ainsi que leur droit d’effacement ou de suppression de ces donnĂ©es. Taboola prend des mesures pour s’assurer que les procĂ©dures d’Ă©limination des supports sont les mĂȘmes pour tous les types de supports car ils peuvent contenir des donnĂ©es personnelles. Tout support doit ĂȘtre entiĂšrement effacĂ© avant d’ĂȘtre rĂ©utilisĂ© ou Ă©liminĂ©. Toute suppression de support est documentĂ©e. Les employĂ©s ont pour instruction de ne pas imprimer de papier susceptible de contenir des informations personnelles. |
Annexe C
Transferts Restreints
1. Dans la mesure oĂč une partie effectue un Transfert Restreint de DonnĂ©es collectĂ©es Ă l’autre partie, les Clauses Contractuelles Types sont intĂ©grĂ©es aux prĂ©sentes Conditions de ConfidentialitĂ© Commerçant et s’appliquent comme suit :
(a) lorsque le Transfert Restreint est un Transfert Restreint de l’UE, les CCT de l’UE s’appliquent entre les parties comme suit :
(i) (Le module 1 s’applique ;
(ii) Ă la Clause 7, la Clause dâadhĂ©sion facultative s’applique ;
(iii) Ă la Clause 11, la langue optionnelle ne s’applique pas ;
(iv) dans la Clause 17, l’Option 1 s’applique et les CCT de l’UE sont rĂ©gies par le droit irlandais ;
(v) la Clause 18(b), les litiges sont rĂ©solus devant les tribunaux dâIrlande ;
(vi) les Parties A, B et C de l’Annexe I sont rĂ©putĂ©es complĂ©tĂ©es par les informations figurant dans les Parties A, B et C de l’Annexe A des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant; et
(vii) LâAnnexe II est rĂ©putĂ©e complĂ©tĂ©e par les mesures de sĂ©curitĂ© Ă©noncĂ©es Ă l’annexe B des prĂ©sentes Conditions de ConfidentialitĂ© du Commerçant;
(b) lorsque le Transfert Restreint est un Transfert Restreint du Royaume-Uni, l’Addendum du Royaume-Uni s’appliquera entre les parties comme suit :
(i) les CCT de l’UE, complĂ©tĂ©es comme indiquĂ© ci-dessus, s’appliquent entre les parties et sont modifiĂ©es par l’Addendum du Royaume-Uni (complĂ©tĂ© comme indiquĂ© dans la sous-section (ii) ci-dessous) ; et
(ii) les tableaux 1 Ă 3 de l’Addendum du Royaume-Uni sont rĂ©putĂ©s complĂ©tĂ©s par les informations pertinentes des CCT de l’UE, complĂ©tĂ©es comme indiquĂ© ci-dessus, et les options « Exportateur » et « Importateur » sont rĂ©putĂ©es cochĂ©es dans le tableau 4. La date de dĂ©but de l’Addendum du Royaume-Uni (comme indiquĂ© dans le tableau 1) correspond Ă la date d’entrĂ©e en vigueur des prĂ©sentes Conditions de ConfidentialitĂ© Commerçant.
2. Transferts Restreints ultĂ©rieurs : Aucune des parties n’effectuera de Transfert Restreint ultĂ©rieur des DonnĂ©es CollectĂ©es qu’elle reçoit de l’autre partie Ă moins qu’elle n’ait pris toutes les mesures nĂ©cessaires pour s’assurer que ce Transfert Restreint ultĂ©rieur est conforme aux Lois Applicables sur la Protection des DonnĂ©es et Ă toute Clause Contractuelle Type convenue avec l’autre partie.
MERCHANT PRIVACY TERMS
Effective Date: 15 October 2024
These Connexity Merchant Privacy Terms (âMerchant Privacy Termsâ) apply to Connexityâs digital advertising services, such as when Connexity, Inc. (âConnexityâ) or a member of the Connexity Companies (defined below) distributes Merchant Content throughout the Connexity Network, pursuant to an agreement between Connexity and a Merchant (âAgreementâ), and these Merchant Privacy Terms shall be deemed incorporated into, and form an integral part of, any such Agreement. Connexity is entering into these Merchant Privacy Terms on its own behalf and for and on behalf of its affiliate, Taboola.com, Ltd. (âTaboolaâ). Connexity and Taboola are collectively the âConnexity Companiesâ. These Merchant Privacy Terms identify the Connexity Companiesâ and Merchantâs roles and responsibilities with respect to Personal Data.
1. Order of Precedence. In the event of a conflict between the Merchant Privacy Terms and the Agreement, the Merchant Privacy Terms will govern to the extent of that conflict unless the conflicting provision in the Agreement expressly references the conflicting provision of these Merchant Privacy Terms and specifies that it prevails over that conflicting provision.
2. Definitions. Terms defined in this section shall have the meaning set out below, and cognate terms shall be construed accordingly. Capitalized terms used but not defined in the Merchant Privacy Terms shall have the meanings defined in the Agreement. Reference to a âpartyâ in these Merchant Privacy Terms shall be read as a reference to the Merchant or to the Connexity Companies, as the context requires, and the term âpartiesâ shall be construed accordingly.
a. âApplicable Data Protection Lawsâ means any and all federal, national, state, or other privacy and data protection laws that apply to the Processing which is the subject of the Agreement and these Merchant Privacy Terms, as may be amended or superseded from time to time.
b. âCalifornia Privacy Lawâ means California Consumer Privacy Act of 2018, Cal. Civil Code § 1798.100 et seq. (âCCPAâ), as amended (including by the California Privacy Rights Act), and any subordinate legislation and implementing regulations.
c. âCollected Dataâ means the Personal Data set out in Annex A, Part B that each party collects from Data Subjects on or through their servers or networks (including all passively collected or machine-readable data, such as data based on browser type and device identifiers) or receives from the other party in connection with the provision or receipt of the Service.
d. âControllerâ means: (i) an entity that determines the purposes and means of the Processing of Personal Data, and (ii) any person that falls within the scope of the term âcontrollerâ (or any substantially analogous term) as defined under Applicable Data Protection Laws.
e. âData Subjectâ means: (i) an identified or identifiable natural person (and, for these purposes, an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person), and (ii) any person that falls within the scope of the term âdata subjectâ, âconsumerâ (or any substantially analogous term) as defined under Applicable Data Protection Laws.
f. âEU Data Protection Lawâ means: (i) the EU General Data Protection Regulation (Regulation 2016/679) (âEU GDPRâ); (ii) the EU e-Privacy Directive (Directive 2002/58/EC); and (iii) any national data protection laws made under or pursuant to (i) or (ii), each as may be amended or superseded from time to time.
g. “Permitted Purposesâ has the meaning given in section 3.
h. âPersonal Dataâ means any information relating to a Data Subject (including, where required by Applicable Data Protection Laws, unique browser or device identifiers).
i. âProcessâ means any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, receipt, recording, organisation, structuring, use, transmission, access, sharing, disclosure, transfer, storage, adaptation or alteration, retrieval, consultation, dissemination or otherwise making available, alignment or combination, aggregation, inferring, derivation, analysis, restriction, erasure, destruction or disposal or other handling of Personal Data, inclusive of how such term is defined under Applicable Data Protection Laws.
j. âProcessorâ means: (i) an entity that Processes Personal Data on behalf of a Controller, and (ii) any person that falls within the scope of the term âprocessorâ (or any substantially analogous term) as defined under Applicable Data Protection Laws.
k. âRestricted Transferâ means: (i) where the EU GDPR applies, a transfer of Personal Data from the EEA to a country outside of the EEA which is not subject to an adequacy determination by the European Commission (an “EU Restricted Transfer”); and (ii) where the UK GDPR applies, a transfer of Personal Data from the United Kingdom to any other country which is not subject to or based on adequacy regulations pursuant to Section 17A of the United Kingdom Data Protection Act 2018 (a “UK Restricted Transfer”).
l. âSaleâ and âSellâ mean exchanging Personal Data for monetary or other valuable consideration, and are inclusive of how such terms are defined under Applicable Data Protection Laws.
m. âServiceâ means services provided by the Connexity Companies under the Agreement with Merchant.
n. “Security Incidentâ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data.
o. âStandard Contractual Clausesâ means: (i) where the EU GDPR applies, the contractual clauses annexed to the European Commission’s Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (âEU SCCsâ); and (ii) where the UK GDPR applies, the “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” issued by the Information Commissioner under s.119A(1) of the DPA 2018 (âUK Addendumâ).
p. âThird Partyâ means a business that acts as a Controller with respect to Personal Data, and that is not the business that the Data Subject whose Personal Data is Processed has intentionally interacted with; the term is inclusive of how such term is defined under Applicable Data Protection Laws.
q. âUK Data Protection Lawâ means: (i) the UK Data Protection Act 2018, (ii) the UK GDPR (as defined in s.3(10) of the UK Data Protection Act 2018) (âUK GDPRâ), (iii) the UK Privacy and Electronic Communications (EC Directive) Regulations 2003), and (iv) any other UK laws made under or pursuant to (i), (ii) or (iii), each as may be amended or superseded from time to time.
3. Purpose Limitation. Each party shall Process Collected Data that it collects or receives from the other party for the purposes set out in Annex A, Part B (the âPermitted Purposesâ).
4. Relationship of the Parties. Each party shall Process Collected Data it collects or receives from the other party as a Controller.
a. If Applicable Data Protection Laws in the United States apply to Collected Data, including without limitation California Privacy Law then, to the extent that Connexity Companies receive Collected Data via the Connexity Companiesâ Pixel(s) implemented on the Merchant website(s) in connection with the Service, the Connexity Companies shall receive the Collected Data as a Third Party. The Connexity Companies shall Process such Personal Data for the Permitted Purposes. The Connexity Companies will provide the same level of privacy protection to the Collected Data as is required of Controllers or Businesses by Applicable Data Protection Laws in the United States, including if applicable, California Privacy Law. The Connexity Companies will inform Merchant in the time period required by Applicable Data Protection Laws in the United States if the Connexity Companies determine they are no longer able to meet their obligations under those Applicable Data Protection Laws. Upon providing notice to Connexity, Merchant has the right to take reasonable and appropriate steps to stop and remediate unauthorized use of Collected Data that it makes available to the Connexity Companies.
5. Applicable Data Protection Laws. The parties acknowledge that Applicable Data Protection Laws may apply to each partyâs Processing of Collected Data, and subject to section 7, each party shall be individually responsible for its own compliance with Applicable Data Protection Laws, including any requirements to: (i) provide transparency to Data Subjects, (ii) have consent or another lawful basis for Processing, and (iii) making available a contact point through which Data Subjects may exercise their data protection rights.
6. International Transfers. In the event that any party makes a Restricted Transfer of Collected Data to the other party, the provisions of Annex C shall apply.
7. Transparency for Users on Merchantâs Landing Page. The Connexity Companies use Connexity Companiesâ Pixel(s) to provide the Service. Notwithstanding section 5, to the extent that the Connexity Companies collect Collected Data from Merchant website(s) using Connexity Companiesâ Pixel(s), Merchant shall: (i) provide all required transparency notices to Data Subjects about the Connexity Companiesâ use of the Connexity Companiesâ Pixel(s) to collect Collected Data from Merchant website(s) for the Permitted Purposes, and (ii) obtain (and, on request at any time by Connexity, provide appropriate evidence of) Data Subject consent to such use of Connexity Companiesâ Pixel(s) for the Permitted Purposes, in each case in accordance with the requirements of Applicable Data Protection Laws. Merchantâs obligations in this regard include identifying the Connexity Companies and its use of the Connexity Companiesâ Pixel(s) for the Permitted Purposes expressly within the transparency notices and the consent prompts Merchant provides to Data Subjects, as well as any other information required by Applicable Data Protection Laws, so that the Connexity Companies can provide its Service lawfully through such digital properties and Process Collected Data for the Permitted Purposes. Upon written request, Connexity shall provide Merchant with such information as is necessary about the Connexity Companiesâ Pixel(s) and the Connexity Companiesâ Processing of Collected Data through the Merchantâs website(s) for Merchant to use in notice and consent mechanisms that it will ensure comply with Applicable Data Protection Laws. Merchant shall not fire any of the Connexity Companiesâ Pixel(s) unless and until any necessary transparency has been provided and any necessary consents required under Applicable Data Protection Laws have been obtained. Merchant shall further provide Data Subjects with information about how they may exercise their data protection rights under Applicable Data Protection Laws, and provide a contact point for Data Subjects to contact in order to exercise their rights. Merchant shall promptly notify Connexity if and to the extent that it receives any data protection rights request concerning the Connexity Companiesâ Processing of Collected Data as a Controller in order that Connexity may fulfil the request in accordance with its obligations under Applicable Data Protection Laws.
8. Attribution Partners. If the Connexity Companies, at Merchantâs request, pass all or any Collected Data to Merchantâs attribution partner or to Merchant for attribution purposes, Merchant represents and warrants that: (i) its attribution partner is a Processor on Merchantâs behalf; (ii) unless otherwise collected independently, Merchant and attribution partner will use such Collected Data solely for attribution purposes; and (iii) attribution partner and Merchant will delete all passed Collected Data within thirty (30) days of last identifying the user of a Merchant website(s) as coming from the Connexity Companies.
9. Security. Each party shall implement appropriate technical and organizational security measures to protect the Collected Data that it Processes from and against a Security Incident. These measures shall include the measures set out in Annex B.
10. Security Incidents. If any Party suffers a Security Incident in respect of Collected Data that it Processes and which is the subject of the Agreement and these Merchant Privacy Terms, that Party shall: (i) be responsible for fulfilling (at its own cost) any reporting obligations that apply to it under Applicable Data Protection Laws to data protection authorities and/or affected Data Subjects, (ii) notify the other Party without undue delay, providing such information about the Security Incident as may reasonably be requested by the other Party or as is otherwise required for the other Party to determine whether it may also have reporting obligations under Applicable Data Protection Laws in respect of the Security Incident, and (iii) take all such actions and measures, without undue delay, as are appropriate to remediate and/or mitigate the effects of the Security Incident.
11. DPIAs. Where and to the extent required by the Applicable Data Protection Laws to which each party is subject, each party shall carry out any data protection impact assessment in respect of its Processing of Collected Data for the Permitted Purposes and/or consult with applicable data protection authorities, where necessary. Each party shall provide all reasonable cooperation and information reasonably requested by the other party, where this is necessary to enable the other party to complete a data protection impact assessment and/or consult with applicable data protection authorities in accordance with that other partyâs obligations under this section 11.
12. English Language Controls. If there is any conflict between the English language version of these Merchant Privacy Terms and any translated version we may provide, each party agrees that the English language version will control in all instances.
Annex A
Description of the Processing
A.   LIST OF PARTIES
Each party shall be:
â a data controller (and data exporter) of Collected Data it discloses, or makes available, to the other party, and
â a data controller (and data importer) of Collected Data it receives from, or to which access is made available by, the other party.
The details of each party are provided below.
| Name: | See Merchantâs details set out in the Agreement. |
| Address: | See Merchant’s details set out in the Agreement. |
| Contact personâs name, position and contact details: | See Merchantâs details set out in the Agreement or otherwise agreed between the parties in writing. |
| Activities relevant to the data transferred under these Clauses: | The receipt of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Merchantâs acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
| Name: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: Taboola.com, Ltd. |
| Address: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
| Contact personâs name, position and contact details: | Connexityâs privacy team, dataprotection@connexity.com. |
| Activities relevant to the data transferred under these Clauses: | The provision of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Connexityâs acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
B.   DESCRIPTION OF THE PROCESSING AND TRANSFER
| Categories of data subjects whose personal data is processed and/or transferred | Users |
| Categories of personal data processed and/or transferred | Device Data: Operating system, browser type, browser version, IP address (truncated within 30 days) of collection, zip code (derived from IP address), hashed Taboola User ID, hashed emails, initial and subsequent page visits on the Advertiserâs website, user gender (inferred by interests), engagement signals (time on site, scroll depth, session depth), conversion data, click ID. Data about digital property visited by user: The URL of the visited page, the referring website, and other information Merchant shares about how users interact with its Merchant website(s), such as page views, product views, add to cart events, purchase events, and other types of events. |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the processing and/or transfers (e.g. whether the data is processed and/or transferred on a one-off or continuous basis) | Continuous for the duration of the Agreement |
| Nature of the processing | Processing of Personal Data necessary for the provision of the Service, as set out in the Agreement. |
| Purpose(s) of the data processing / transfer and further processing | The provision of the Service, as set out in the Agreement, and including the following purposes (subject to appropriate data subject permissions, where required under Applicable Data Protection Laws): â To store and/or access information on a device; â To select basic advertisements; â To create a personalised ads profile; â To select personalised advertisements; â To create a personalised content profile; â To select personalised content; â To measure advertisement performance; â To measure content performance; â To develop and improve products; â To ensure security, prevent fraud, and debug; â To technically deliver ads or content; â To match and combine offline data sources; â To link different devices; â To receive and use automatically-sent device characteristics for identification; and â To use limited data to select content. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | The parties shall retain Personal Data for as long as is necessary to provide the Service. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C.   COMPETENT SUPERVISORY AUTHORITY
| Competent supervisory authority where the EU DGPR applies | The competent supervisory authority for each party is as described below: â Connexity Companies: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. â Merchant: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
Annex B
Security Measures
Description of the technical and organizational measures implemented by each party (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
| Measures of pseudonymisation and encryption of personal data | The Connexity Companies collect only pseudonymized data, which means we do not know who you are because we do not know or process the userâs name, email address, or other identifiable data. User Information that we collect includes, but is not limited to, Information about a Userâs device and operating system, IP address, the web pages accessed by Users within our Customersâ websites, the link that led a User to a Customerâs website, the dates and times a User accesses a Customersâ website and other web browsing data. Connexity undertakes the following: User Agent and IP Address are both stored encrypted, and for visitors from regions where regulations require anonymization (e.g. where GDPR is applicable), the User Agent and IP Address are both truncated prior to encryption. Further, Taboola undertakes the following: the CookieID is anonymized using Bcrypt and IP address is truncated. |
| Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services | Connexity uses multiple levels of electronic security (ex: endpoint security, server-side security, detections tracking, periodic penetration tests, and deep intelligence gathering to review post-mortem events). |
| Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident | Connexity implements the following: â Availability of Personal Data is ensured by Connexityâs utilization of database replication architectures for redundancy and automatic data backups to multiple regions. â Systems that track user events are also redundant in multiple regions that support failover so that even a complete outage in one region will not render services unavailable. Taboola maintains 9 data centers operating around the world. Every data center is used as a replication of one another so if one falls down the data can be extracted from other data center. |
| Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing | To monitor appropriate data protection and enforce confidentiality obligations and procedures Connexity has implemented the following protocols: â Training and sensitization of employees with respect to data protection, information security, confidentiality obligations, and compliance. â Regular auditing of data processing procedures. â Integrated notification and processing protocols are in place for data protection violations and the protection of the rights of those affected. Taboola maintains strict processes for testing the effectives of its controls (both technical and organizational). We have system logging and monitoring in place, monthly (at least) DR testing, quarterly penetration tests, Firewalls protecting the web and honeypots spread across the network to find any malicious activity. Moreover, we have bounty program in place which helps us to constantly monitor our network. |
| Measures for user identification and authorisation | Every user in the Connexity Companies is associated with a dedicated username and password. Every access to the Connexity Companiesâ internal network is done with 2FA. Users are created only by the IT department, during the onboarding process and only after receiving all details and signed contract from the HR department. |
| Measures for the protection of data during transmission | Connexity implements the following: â Any data transmission of personal data is conducted through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Furthermore, systems which might contain personal data are secured and data is kept hashed and anonymized. â The transfer of Personal Data to a third party (e.g. customers, sub-contractors, service provider) is only made if a corresponding contract exists, and only for a specific purpose. Connexity provides that an adequate level of data protection exists at the target location or organization in accordance with the EUâs data protection requirements. Taboola supports any data transmission through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Identifiable data might be CookieID or IP address collected from the user. IP address is truncated and the CookieID is hashed using Bcrypt. |
| Measures for the protection of data during storage | Access rights to Connexityâs network and system are issued via a regulated review and authorization process and granted according to a âneed to know basisâ protocol. Taboola ensures that data that is stored within our databases is anonymized and hashed using Bcrypt. Access to the DB is minimized and based according to the âbusiness need to knowâ principle. |
| Measures for ensuring physical security of locations at which personal data are processed | Connexity implements the following: â Physical security controls in Connexityâs offices, where the processing of Personal Data may take place or data processing systems may be housed, include protection of the premises and its perimeters using various access control measures, including but not limited to: magnetic key-card access to offices and parking facilities for employees, supervised entry to offices during business hours, 24/7/365 on-site security staff and security camera systems. â Outside of regular business hours elevators to the 4th floor where Connexityâs offices are located are disabled and are not operable without the use of an active magnetic key-card issued to an authorized employee or staff member of the office building. â Rooms containing data processing systems (servers, network distributors, etc.) are locked and only accessible to authorized employees of the IT Administration or Infrastructure departments. â Scheduled visitors and vendors from outside the company must sign a guest roster upon arrival at the front desk and state the reason for their visit. Visitors may be on the business premises only when escorted and/or supervised by building security or an employee of Connexity at all times. Each of Taboolaâs global data centres (in US, Europe, and Asia), has all its servers located in locked cabinets that are maintained exclusively for Taboolaâs use. These cabinets are maintained by companies that are either SOC2-certified or Taboola has reviewed their security measures. Further, any access to the servers requires written, logged permission. All Taboola offices are also controlled, and require employees to use access cards to enter. Furthermore, only a limited number of employees have access to Taboolaâs servers and any access also requires written, logged permission. |
| Measures for ensuring events logging | Connexityâs company network access is automatically monitored and logged, including any unsuccessful login attempts. Network access is automatically blocked by the system after 5 failed attempts and may only be reinstated by an authorized IT Administration employee. Taboola implements monitoring tools and logs are gathered to our SIEM system which alerts us on any suspicious event and also being monitored by NOC team. |
| Measures for ensuring system configuration, including default configuration | Connexity implements the following: â Connexity uses automated configuration management systems to keep all server configurations up to date and running on a standard configuration. The configurations are under change control and must be reviewed prior to deployment. â Application configurations are likewise under change control and must be reviewed prior to deployment. â Application changes go through a formal change management and software development lifecycle process, including code review, QA and standardized CI/CD processes. Taboola Servers are scanned for both configuration drift and patch level. Reporting and/or alerting are set on both and relevant patch level is confirmed. New patches are distributed using Puppet. All technical reviews are managed through the R&D application and obtained through a formal process of review (QA) after coding and CI/CD processes are implemented as well. |
| Measures for internal IT and IT security governance and management | Connexity adheres to the security policies defined by its parent company. Taboola is ISO 27001:2013 and 27701 certified. Taboola have an Information Security Policy in place which states that the Board of Directors and management of Taboola are committed to preserving the confidentiality, integrity and availability of all the physical and electronic information assets throughout their organisation. Taboola holds security trainings for all new employees, phishing trainings for all employees globally, and regular security trainings for all employees and also dedicate sessions for R&D groups. |
| Measures for certification/assurance of processes and products | As a subsidiary of a public company, Connexity goes through rigorous SOX audit review on an annual basis. Taboola undergoes Quarterly / Semi-annual / yearly internal audit on multiple processes and systems to validate that Taboola is complying with its security goals and measures defined. |
| Measures for ensuring data minimisation | The Connexity Companies intentionally limit the data that it collects as part of Taboolaâs global data minimization principles of processing only the limited data needed for our specific business purposes. Furthermore, the Connexity Companies do not have the ability, nor any business need, to âreverse engineerâ any of the data points used in our processing in order to provide our services. More specifically, the data points that the Connexity Companies collect are never indicative of a userâs identity â as the Connexity Companies do not collect or process information such as userâs name, phone number, email, or physical addresses. Instead, the Connexity Companies collect only pseudonymous identifiers, which merely identify characteristics about a userâs device. This includes IP addresses (which are truncated upon collection and can only identify the deviceâs general zip code location, but never a precise geolocation). Moreover, even when used collectively, the data that we collect can never produce an individualâs name, phone number, email, or physical address, and our engineers do not work in any way to accomplish this goal. Additionally, the Connexity Companies make and record privacy impact assessments in an effort to minimize the privacy risks of our services, processes, and policies. |
| Measures for ensuring data quality | Connexity collects data directly from user events and conducts multiple levels of input validation to ensure that only valid data is stored. We also run automated processes to analyze patterns in event data after the fact so that we can distinguish between events that are the results of automated actors vs. individual human users. For Taboola, the data is collected directly from the user and the user is given the opportunity to correct any data associated with their CookieID via the Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access |
| Measures for ensuring limited data retention | Connexity: Document management practices are observed within all departments of the Company in accordance with Connexityâs Document Retention and Disposal Policy. Taboola retains User Information, which is directly collected for purposes of serving ads, for at most thirteen (13) months from the Userâs last interaction with our Services (often for a shorter period of time), after which time we de-identify the data by removing unique identifiers or aggregating the data. This process is done automatically. |
| Measures for ensuring accountability | The Connexity Companies do multiple security audits and penetration testing (but not for all systems). Taboola also uses cloud providers that are ISO-certified and that comply with other cloud-relevant certifications for maintaining a serverâs physical safeguards. |
| Measures for allowing data portability and ensuring erasure | Connexity maintains a Data Protection Policy and Document Retention and Disposal Policy. Connexity also maintains formal subject access request procedures whereby data subjects may exercise their rights to access and port any data Connexity holds related to them and the right to erase or delete such data. Taboola takes measures to ensure that media disposal procedures are the same for all kinds of media as they might contain personal data. Any media must be fully wiped before being reused or disposed. Any media disposal is documented and managed by a third party company expert for those processes. Employees are instructed to not print any paper which might contain personal information and to not store any personal information locally on the computer. |
Annex C
Restricted Transfers
1. To the extent that a party makes a Restricted Transfer of Collected Data to the other party, the Standard Contractual Clauses shall be incorporated into these Merchant Privacy Terms and apply as follows:
(a) where the Restricted Transfer is an EU Restricted Transfer, the EU SCCs will apply between the parties as follows:
(i) Module One will apply;
(ii) in Clause 7, the optional docking Clause will apply;
(iii) in Clause 11, the optional language will not apply;
(iv) in Clause 17, Option 1 will apply, and the EU SCCs will be governed by Irish law;
(v) in Clause 18(b), disputes shall be resolved before the courts of Ireland;
(vi) Parts A, B and C of Annex I shall be deemed completed with the information set out in Parts A, B and C of Annex A to these Merchant Privacy Terms; and
(vii) Annex II shall be deemed completed with the security measures set out in Annex B to these Merchant Privacy Terms;
(b) where the Restricted Transfer is a UK Restricted Transfer, the UK Addendum will apply between the parties as follows:
(i) the EU SCCs, completed as set out above shall apply between the parties, and shall be modified by the UK Addendum (completed as set out in sub-clause (ii) below); and
(ii) tables 1 to 3 of the UK Addendum shall be deemed completed with relevant information from the EU SCCs, completed as set out above, and the options “Exporter” and “Importer” shall be deemed checked in table 4. The start date of the UK Addendum (as set out in table 1) shall be the Effective Date of these Merchant Privacy Terms.
2. Onward Restricted Transfers:Â Neither party will not make an onward Restricted Transfer of Collected Data that they receive from the other party unless it has done all such acts and things as are necessary to ensure that the such onward Restricted Transfer is compliant with Applicable Data Protection Laws and any Standard Contractual Clauses it has agreed with the other party.
