Addendum sur le traitement des données

Le présent addendum au traitement des données ("DPA") s'applique à toutes les données à caractère personnel traitées dans le cadre des conditions de service. Dernière modification : Le 1er décembre 2022.

Contenu

1. Annexe A : Addendum sur le traitement des données - Transfert de responsable du traitement à responsable du traitement
2. ANNEXE I du SCCs
3. ANNEXE I des SCC
4. ANNEXE II des SCCs

Annexe A : Addendum sur le traitement des données - Transfert de responsable du traitement à responsable du traitement

EN EXÉCUTANT UN BON DE COMMANDE QUI FAIT RÉFÉRENCE À CES MODALITÉS DE SERVICE, OU EN ACCEPTANT AUTREMENT CES MODALITÉS DE SERVICE, L'ÉDITEUR ACCEPTE D'ÊTRE LIÉ PAR LES MODALITÉS DE CETTE ENTENTE ET L’ADDENDUM SUR LE TRAITEMENT DES DONNÉES, Y COMPRIS LA SIGNATURE DES CLAUSE CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE LE CAS ÉCHÉANT.

1. APPLICATION.‍

Le présent Addendum sur le traitement des données (« DPA » ou « Addendum ») s'applique à toutes les Données à caractère personnel Traitées sous les Modalités de service.

2. DÉFINITIONS ET INTERPRÉTATION.

Les définitions des Modalités de service s'appliquent au présent DPA. En outre, dans le présent DPA :

« Responsable du traitement » désigne soit: (a) la signification énoncée dans les Lois sur la protection des données pertinentes ; soit (b) en l'absence d'une telle définition, la Partie qui détermine la finalité et les moyens du Traitement des Données à caractère personnel.  

« Lois sur la protection des données » désigne toutes les lois, ordonnances, règlements, règles, ordres exécutifs, exigences de contrôle, directives, circulaires, avis, jugements, lettres d'interprétation, communiqués officiels et autres déclarations ayant l'effet d'une loi concernant la collecte, l'utilisation, le stockage, la divulgation, le transfert ou tout autre Traitement des Données à caractère personnel, y compris, sans s'y limiter, les lois internationales, étrangères, nationales, fédérales, étatiques ou locales applicables: (a) le European General Data Protection Regulation (« GDPR ») (Règlement UE 2016/679) ; (b) la Directive e-Privacy de l'Union européenne (« UE ») (Directive 2002/58/CE) ; (c) le United Kingdom Data Protection Act (2018)(« UK ») ; l’« Addendum UK » désigne l'Addendum sur le transfert international de données publié par le UK Information Commissioner’s Office (« ICO ») en vertu du GDPR du Royaume-Uni ; (d) la California Consumer Protection Act de 2018 (Cal. Civ. Code § 1798.100 et seq.) (« CCPA »); (e) la California Consumer Privacy Rights Act de 2020 (Code Civ. Cal. § 1798.100 et ss.) (« CPRA ») (lorsqu'elle sera en vigueur); (f) la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (« PIPEDA »); et (g) la Federal Act on Data Protection de la Suisse (« Lois suisses sur les données ») ; et toute autre loi pertinente sur la protection de la vie privée, telle qu'amendée de temps à autre, ainsi que toute législation qui lui succède et tout règlement promulgué en vertu de celle-ci.

« Personne concernée » désigne soit: (a) le sens donné par les Lois sur la protection des données pertinentes; soit (b) en l'absence d'une telle définition, le visiteur des Sites d'un Éditeur qui verra des Impressions publicitaires.

"« Normes de l’industrie » désigne, le cas échéant, toute norme ou directive de l’industrie à laquelle la Partie a accepté d'être liée, y compris les normes de l'Interactive Advertising Bureau (« IAB »), de la Network Advertising Initiative (« NAI ») et de la Digital Advertising Alliance (« DAA »), ou d'organismes commerciaux similaires de l’industrie, telles que modifiées ou remplacées de temps à autre.

« État membre » désigne un État membre de l'Union européenne et/ou de l'Espace économique européen (« EEE »), tel qu'il peut être modifié de temps à autre.

« Données à caractère personnel » désigne soit: (a) la signification donnée par les Lois sur la protection des données ; soit (b) en l'absence d'une telle définition, toute information identifiante ou se rapportant à un individu qui peut être identifié directement ou indirectement par la fourniture des Services décrits dans le présent Addendum. Les Données à caractère personnel comprennent les « informations personnelles » telles que définies par les Lois sur la protection des données. « Données sensibles » désigne: (a) toute donnée considérée comme une catégorie spéciale de Données à caractère personnel en vertu du GDPR; (b) les caractéristiques considérées comme sensibles en vertu du Code de conduite NAI; ou (c) toute donnée intrusive de ce type qui identifie directement une Personne concernée.

« Traiter », « Traitement » ou « Traité » a le sens qui lui est donné dans les Lois sur la protection des données pertinentes.  

« Incident de sécurité » désigne: (a) toute utilisation, modification, perte, compromission, destruction ou divulgation non autorisée de Données à caractère personnel transmises dans le cadre du Traitement en vertu des Modalités de service.  

« Services » désigne la fourniture de services ou d'autres produits de travail par Sharethrough tels que décrits et énoncés dans les Modalités de service, et tout autre service dont les Parties peuvent convenir par écrit de temps à autre.

« Signal(aux) » désigne les signaux techniques de confidentialité élaborés par les organismes d'orientation du secteur, y compris le droit de retrait (opt-out) de la NAI pour la publicité personnalisée, le cadre de transparence et de consentement de l'IAB, le Privacy String américain de l'IAB, les Ad Choices de la DAA, le drapeau de la Children's Online Privacy Protection Act (« COPPA »), et tout autre signal, qu'il soit actuellement connu ou créé par la suite, qui transmet une action de la part d'une Personne concernée par le Traitement de ses Données à caractère personnel.

« Clauses contractuelles types » ou « CCT » désigne les Clauses contractuelles types de la Commission européenne pour le transfert de Données à caractère personnel vers des pays tiers (Module 1: Transfert de responsable du traitement à responsable du traitement), telles que modifiées ou remplacées de temps à autre.

« Sous-traitant » désigne soit: (a) la signification énoncée dans les Lois de protection des données pertinentes ; soit (b) en l'absence d'une telle définition, un tiers engagé par une Partie pour aider avec la fourniture des Services qui impliquent le Traitement de Données à caractère personnel.

3. OBJECTIF.

Dans le cadre de l'exécution de ses obligations en vertu des Modalités de services, l'Éditeur peut divulguer des Données à caractère personnel à Sharethrough. Sharethrough Traitera les Données à caractère personnel fournies par l'Éditeur: (a) uniquement aux fins énoncées dans les Modalités de service ou tel que convenu par écrit par les Parties, et à condition que ce Traitement soit strictement conforme: (i) aux Lois sur la protection des données et aux Normes de l'industrie, et (ii) à ses obligations en vertu des Modalités de services (les «Fins autorisées»).

4. LES RÔLES ET LES RESTRICTIONS EN MATIÈRE DE TRAITEMENT.  

Chaque partie :

  • Est un Responsable du traitement indépendant des Données à caractère personnel en vertu des Lois sur la protection des données ; 
  • Reconnaît qu'aucune disposition des Modalités de service ne sera interprétée comme une responsabilité conjointe ou une co-responsabilité entre les Parties ;
  • Déterminera individuellement le(s) but(s) et moyen(s) de son Traitement des Données à caractère personnel ;
  • Se conformera aux obligations qui lui incombent en vertu des Normes de l’industrie et des Lois sur la protection des données ; 
  • Agira sur tout Signal qu'il reçoit en accord avec les Normes de l'industrie à laquelle ce Signal adhère ;
  • Ne traitera pas de données sensibles ;
  • Ne traitera les données à caractère personnel que lorsqu'il a une base légale pour le faire en vertu des Lois sur la protection des données applicables, y compris la collecte et la transmission du consentement comme l'exigent les Lois sur la protection des données ;
  • Publiera, de manière publique, tous les avis requis par les Lois sur la protection des données et les Normes de l’industrie, y compris une politique de confidentialité et une politique relative aux cookies, le cas échéant (« Politiques de confidentialité »); et se conformera aux informations publiées dans ses Politiques de confidentialité ;
  • Mettra en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données à caractère personnel des Personnes concernées, qui sont au moins équivalentes à celles exigées par les Lois sur la protection des données et qui répondent également aux meilleures normes industrielles ;
  • Veillera à ce que les personnes autorisées à traiter les données à caractère personnel reçoivent une formation appropriée et s'engagent à respecter la confidentialité par une obligation contractuelle ;
  • Fournira à l'autre partie l'assistance qui peut être raisonnablement requise pour démontrer sa conformité aux Lois sur la protection des données, y compris, sans s'y limiter, en ce qui concerne la sécurité, les notifications de violation, les évaluations de l'impact sur la vie privée et les consultations avec les autorités de surveillance ou d'autres régulateurs, ou d'autres obligations pertinentes; et
  • Notifiera rapidement à l'autre partie toute circonstance dans laquelle cette Partie est incapable ou devient incapable de se conformer aux Lois sur la protection des données.

5. DROITS DES PERSONNES CONCERNÉES.

Chaque partie :

  • Doit permettre aux personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données (tels que les droits d'accès, de suppression et de retrait) et répondre à ces demandes dans les délais déterminés par les Lois sur la protection des données; et
  • doit : (i) informer l'autre partie (sans retard injustifié) dans le cas où elle reçoit une demande de la personne concernée liée aux activités de traitement respectives de l'autre partie ; et (ii) fournir toute l'assistance raisonnable pour s'assurer que ces demandes de la personne concernée sont traitées dans le délai prévu par les lois sur la protection des données.

6. LES DONNÉES À CARACTÈRE PERSONNEL DES ENFANTS. 

Dans le cas où l'éditeur traite les données à caractère personnel d'enfants (telles que définies par les lois sur la protection des données), l'éditeur devra soit: (a) obtenir tous les consentements nécessaires, y compris les consentements parentaux, avant de partager ces données en aval de Sharethrough; soit (b) transmettre le drapeau COPPA en aval de Sharethrough.

7. INCIDENT DE SÉCURITÉ.  

En cas d'Incident de sécurité, chaque partie doit: (a) notifier rapidement l'autre partie; (b) se concerter de bonne foi avec l'autre partie afin d'envisager la ou les actions nécessaires pour résoudre le problème conformément aux lois sur la protection des données; et (c) fournir l'assistance raisonnable nécessaire à l'autre partie pour faciliter le traitement de cet Incident de sécurité de manière rapide et conforme.

8. TRANSFERTS ULTÉRIEURS.

Pour tout transfert ultérieur de données à caractère personnel de l’éditeur par Sharethrough à des tiers, Sharethrough peut transférer ces données à caractère personnel, à condition qu'il exige contractuellement du tiers qu'il: (a) se conformera aux lois sur la protection des données; et (b) ne traitera ces données à caractère personnel qu'aux fins autorisées telles qu'énoncées dans les modalités de service.  

9. SOUS-TRAITANTS.  

Les parties conviennent que Sharethrough peut impliquer des sous-traitants pour fournir ses Services conformément aux modalités de service. Sur demande écrite raisonnable de l'éditeur (un courriel suffit), Sharethrough fournira une liste à jour de: (a) tous les sous-traitants impliqués dans le traitement des données à caractère personnel de l'éditeur; et (b) toute information raisonnable pertinente concernant ce Traitement. Sharethrough est responsable des actes de ses Sous-traitants.

10. RÉSOLUTION DE CONFLITS. 

Si l'une des parties fait l'objet d'une réclamation de la part de: (a) une personne concernée; (b) une autorité de contrôle; ou (c) reçoit un avis ou une plainte d'une autorité de contrôle concernant ses activités de traitement respectives en vertu des modalités de service (une « réclamation TD »), elle en informera rapidement l'autre partie et lui fournira les informations qu'elle peut raisonnablement demander concernant la réclamation TD. Les parties s'efforceront de coopérer en vue de contester ou de régler la réclamation en temps utile. Aucune des parties n'est autorisée à agir ou à répondre au nom de l'autre partie.

11. TRANSFERTS TRANSFRONTALIERS DE DONNÉES À CARACTÈRE PERSONNEL.

Lorsque les lois sur la protection des données exigent des mesures supplémentaires pour protéger le transfert international de données à caractère personnel, chaque partie veillera à ce que le transfert ait lieu conformément à ces mesures supplémentaires. Ces mesures comprennent le transfert de données à caractère personnel de l'EEE vers un pays qui a un niveau de protection adéquat, tel que confirmé par la commission européenne.  

A. Transferts de l'Union européenne : 

Le cas échéant, les CCT sont incorporées par référence au présent DPA et sont considérées comme faisant partie intégrante de celui-ci. Les signatures des parties des modalités de services doivent être interprétées comme la signature des parties aux CCT.  

Aux fins des CCT, les dispositions suivantes s'appliquent :

  • Sharethrough sera l'importateur de données et l'éditeur sera l'exportateur de données ;  
  • La clause 7 (Clause d’adhésion) est exclue ;
  • Clause 11 (voie de recours) : L’option (mécanisme de recours facultatif devant un organe indépendant de règlement des litiges) est exclue ;  
  • Clause 17 (droit applicable): Le droit applicable est le droit allemand ;
  • Clause 18 (b) (Choix du forum et de la juridiction) : tout litige découlant des CCN sera résolu par les tribunaux d'Allemagne ;
  • Toute disposition des CCT relative à la responsabilité des parties l'une envers l'autre sera soumise aux limitations et exclusions du présent DPA; et
  • Toute disposition des CCT relative au droit de vérification doit être interprétée conformément à l'article 11 de la DPA et aux modalités de service.      

B. Transferts du Royaume-Uni : 

Dans la mesure où les données à caractère personnel des résidents du Royaume-Uni sont transmises par l'éditeur et traitées par Sharethrough en dehors du Royaume-Uni (sauf si c'est vers un pays adéquat) dans des circonstances où un tel transfert serait interdit par le GDPR du UK, (par exemple, en l'absence d'un mécanisme de transfert légal), les parties conviennent que l’Addendum UK, sous réserve des CCT, s'appliquera. L’addendum UK est par la présente incorporé au présent DPA.

C. Transferts suisses :

Si le transfert de données à caractère personnel conformément aux modalités de services et au DPA implique des citoyens de la Suisse: (a) les Personnes concernées en Suisse peuvent faire valoir leurs droits en Suisse en vertu de la clause 18(c) des CCT ; (b) les références au GDPR seront interprétées comme des références aux lois suisses sur les données ; (c) les références aux « autorités de contrôle » seront interprétées comme des références au préposé fédéral à la protection des données et à la transparence.

L'annexe I et l'annexe II des SCC appliquent les transferts britanniques et suisses comme indiqué aux points 11(b) et 11(c) ci-dessus.

12. CONFLITS.

En cas de conflit ou de divergence entre les CCT, les Lois sur la protection des données et les Modalités de service, l'ordre de préséance suivant s'appliquera : (a) les CCT (le cas échéant) ; (b) les Lois sur la protection des données ; et (c) les Modalités de service.

ANNEXE I AUX CCT

LISTE DES PARTIES.

Importateur(s) de données :

Nom : Sharethrough Inc.
Adresse : Tel qu’indiqué sur le Bon de commande.
Nom, fonction et coordonnées de la personne de contact : Le signataire du Bon de commande.
Activités en rapport avec les données transférées en vertu des présentes clauses : Les données seront transférées conformément aux activités décrites dans les Modalités de service.
Signature et date : La date de signature du Bon de commande.
Rôle (responsable du traitement / sous-traitant) : Responsable du traitement.

Exportateur(s) de données :

Nom : Le signataire du bon de commande
Adresse : Tel qu’indiqué sur le Bon de commande.
Nom, fonction et coordonnées de la personne de contact : Le signataire du Bon de commande.
Activités en rapport avec les données transférées en vertu des présentes clauses : Les données seront transférées conformément aux activités décrites dans les Modalités de service.
Signature et date : La date de signature du Bon de commande.
Rôle (responsable du traitement / sous-traitant) : Responsable du traitement.

ANNEXE I AUX CCT

DESCRIPTION DU TRANSFERT.

Catégories de personnes dont les données à caractère personnel sont transférées

Visiteurs des Sites de l'Éditeur.

Catégories de Données à caractère personnel transférées

Les Données à caractère personnel transférées concernent les catégories de données suivantes : toute donnée transmise dans le cadre d'Open RTB, y compris : Les identifiants de cookies Sharethrough, les identifiants en ligne de tiers, les identifiants d'appareils mobiles, les informations relatives au navigateur et à l'appareil, les adresses IP et les données de géolocalisation telles qu'obtenues à partir de l'appareil d'une Personne concernée conformément aux Modalités de service.

Données sensibles transférées (le cas échéant)

N/A

La fréquence du transfert (par exemple, si les données sont transférées sur une base ponctuelle ou continue)

En permanence, conformément aux Modalités de service.

Nature du traitement

Aux fins de la diffusion de publicités personnalisées à la personne concernée conformément aux Modalités de service.

Finalité(s) du transfert et du traitement ultérieur des données

Aux fins de la diffusion de publicités personnalisées à la personne concernée conformément aux Modalités de service.

Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée

Conformément à la politique de conservation des données de chaque Partie, et uniquement pour la durée nécessaire à la fourniture des Services de chaque Partie conformément aux Modalités de service.

Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement

ANNEXE II AUX CCT

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES.

Veuillez trouver ci-dessous les mesures prises par les Parties pour protéger les Données à caractère personnel.

  • Pseudonymisation
    Le traitement des données dans le cadre du Contrat ne nécessite pas de pseudonymisation.
  • Chiffrement
    Les données à caractère personnel peuvent être chiffrées en fonction de l’emplacement des données à caractère personnel dans la solution.
  • Confidentialité des systèmes et des services de traitement
    Les mesures suivantes sont mises en œuvre afin d’assurer la confidentialité des systèmes et des services de traitement :
  1. Qui empêchent des personnes non autorisées d'accéder aux systèmes informatiques avec lesquels les données de l’exportateur de données sont traitées ou utilisées,
  2. Qui empêchent que les systèmes de traitement des données soient utilisés sans autorisation,
  3. Qui assurent que les personnes habilitées à utiliser un système de traitement des données n'ont accès qu'aux données auxquelles elles ont le droit d'accéder, et que les données de l’exportateur de données ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation au cours de leur traitement ou de leur utilisation et après leur stockage,
  4. Qui assurent que les données de l’exportateur de données ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission, et qu'il est possible de vérifier et d'établir à quels organismes le transfert de donnée à caractère personnel au moyen d'installations de transmission de données est envisagé,
  5. Qui veillent à ce que les données recueillies à des fins différentes puissent être traitées séparément ;
  6. Qui installent les mises à jour des logiciels dès qu'elles sont publiées et applicables.
  • Intégrité des systèmes et des services de traitement
    Les mesures suivantes sont mises en œuvre pour assurer l'intégrité des systèmes de traitement et des services :
  1. Qui garantissent qu'il est possible de vérifier et d'établir si et par qui les données de l'exportateur de données ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données.
  2. Qui protègent par des moyens techniques et organisationnels concernant les autorisations, les protocoles/registres, y compris les protocoles d'analyse, les audits.
  • Disponibilité des systèmes et des services de traitement
    Les mesures suivantes sont mises en œuvre pour assurer la disponibilité des systèmes de traitement et des services :
  1. Qui veillent à ce que les données de l’exportateur de données soient protégées contre toute destruction ou perte accidentelle,
  2. Qui veillent à ce que, en cas de traitement commandé des données de l'exportateur de données, celles-ci soient traitées dans le strict respect des termes du contrat de service.
  • Résilience des systèmes et des services de traitement
    Les mesures suivantes seront mises en œuvre pour assurer la résilience des systèmes de traitement et des services :
  1. s'assurer que les systèmes et les services sont conçus de manière à pouvoir faire face à une charge ponctuelle ou constante élevée d'opérations de traitement ; ceci est particulièrement lié à la capacité de stockage, d'accès et de performance.‍
  • Capacité à rétablir la disponibilité et l'accès aux à l'exportateur de données en temps utile en cas d'incident physique ou technique

Les mesures mises en œuvre par l'importateur de données pour traiter la capacité de restaurer la disponibilité et l'accès aux données de l'exportateur de données en temps opportun en cas d'incident physique ou technique dépendront des obligations énoncées dans le contrat de service.

  • Procédures visant à tester, à analyser et à évaluer l’efficacité des mesures techniques et organisationnelles

Les mesures suivantes sont mises en œuvre pour tester, évaluer et apprécier régulièrement l'efficacité des mesures techniques et organisationnelles :

  • Les examens d'audit interne 
  • L’examen par le bureau de la protection des données
Logo Sharethrough blanc transparent SVG
Annonceurs
Solutions pour les annonceursAméliorationsCurationDurabilitéAdressabilitéInventaire et PMPsÉtudes de casEstimateur d'émissions de carboneSoutien
Éditeurs
Solutions de l'éditeurTechnologie SmartSuite™Programme Net Zero PublisherÉtudes de cas
Entreprise
À proposLeadershipCarrièresSoutienCentre de protection de la vie privéeOpt-Out/Do Not Sell Personal Info (Ne pas vendre les informations personnelles)ContactAvis de droit d'auteur
Ressources
BlogÉtudes de casPressePMP de partageGreenPMP.ioPublicité NativeAnalyseur de titresPolitique éditeursPolitique annonceursPolitique de qualité du marchéConditions d'utilisationGuide de la marque
Obtenez les dernières infos

Abonnez-vous à notre infolettre et restez à jour sur les tendances de la publicité programmatique.

Merci ! Votre demande a été reçue !
Oups ! Un problème est survenu lors de la soumission du formulaire.