ANNEXE RELATIVE À LA PROTECTION DES DONNÉES – RESPONSABLES DU TRAITEMENT INDÉPENDANTS

D-block (« D-block ») et la contrepartie (« Société ») ayant accepté cette annexe relative à la protection des données (la « Présente Annexe ») ont conclu un accord pour la fourniture des Services, tel que modifié de temps à autre (l’« Accord »). La Présente Annexe établit la relation et les obligations des Parties concernant les données personnelles traitées conformément aux services fournis à la Société en vertu de l’Accord (les « Services »). D-block et la Société sont désignés individuellement comme une « Partie » et collectivement comme les « Parties ». Les termes en majuscules utilisés mais non définis dans la Présente Annexe ont les significations qui leur sont attribuées dans l’Accord.

1. Définitions

a. « Loi de Protection des Données Applicable » désigne toutes les lois, réglementations et codes d’autorégulation relatifs à la protection des données et à la confidentialité applicables aux données personnelles en question, y compris, le cas échéant, le CCPA, le CPA, le CTDPA, le UCPA, le VCDPA, les Lois Européennes sur la Protection des Données, la LGPD, ainsi que toutes les réglementations applicables et les directives contraignantes, décisions, ordonnances et interprétations de la Federal Trade Commission (FTC) des États-Unis et toute autre loi, règle et réglementation applicable en matière de confidentialité, y compris mais sans s’y limiter, les Réglementations de l’Industrie.

b. « CCPA » désigne le California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et suivants, tel que modifié, y compris sans limitation toutes les réglementations d’application correspondantes. « CPA » désigne le Colorado Privacy Act, Senate Bill 21-190 (2021), tel que modifié, y compris sans limitation toutes les réglementations d’application correspondantes. « CTDPA » désigne le Connecticut Data Protection Act, Senate Bill 6 (2022), tel que modifié, y compris sans limitation toutes les réglementations d’application correspondantes. « UCPA » désigne le Utah Consumer Privacy Act, Senate Bill 227 (2022), tel que modifié, y compris sans limitation toutes les réglementations d’application correspondantes. « VCDPA » désigne le Virginia Consumer Data Protection Act, Va. Code §§ 59.1-575 et suivants, tel que modifié, y compris sans limitation toutes les réglementations d’application correspondantes.

c. « Lois Européennes sur la Protection des Données » désigne (i) le Règlement Général sur la Protection des Données de l’UE 2016/679RGPD de l’UE ») ; (ii) la Directive sur la vie privée et les communications électroniques de l’UE (Directive 2002/58/CE) ; (iii) le RGPD de l’UE tel qu’incorporé dans le droit du Royaume-Uni en vertu de l’article 3 du European Union (Withdrawal) Act 2018 du Royaume-Uni (« RGPD du Royaume-Uni ») ; (iv) la Loi fédérale suisse sur la protection des données de 1992 (« LPD suisse ») ; et (v) toutes les lois nationales applicables établies en vertu de (i), (ii), (iii) et (iv), chacune pouvant être modifiée ou remplacée de temps à autre.

d. « Réglementations de l’Industrie » désigne toutes les règles, réglementations, codes et lignes directrices auto-réglementaires de l’industrie applicables et en vigueur pour le ciblage comportemental en ligne et le respect de la confidentialité, y compris ceux émis par l’Interactive Advertising Bureau (IAB), le Cadre de Transparence et de Consentement de l’IAB Europe, le Code de Conduite de la Network Advertising Initiative (NAI), les Principes de la Digital Advertising Alliance (DAA), la Recommandation de Bonnes Pratiques de l’EASA en matière de Publicité Comportementale en Ligne, administrée par l’European Interactive Digital Advertising Alliance, le Guide de Bonnes Pratiques pour la Publicité Comportementale en Ligne de l’Australian Digital Advertising Alliance (ADAA) ; ainsi que le Cadre de Confidentialité de la Coopération Économique Asie-Pacifique (APEC).

e. « LGPD » désigne la Lei Geral de Proteção de Dados (Loi n° 13.709/2018), telle qu’amendée, y compris, sans s’y limiter, toute réglementation d’application correspondante.

f. « Transfert Restreint » désigne (i) lorsque le RGPD de l’UE s’applique, un transfert de données personnelles de l’Espace Économique Européen vers un pays en dehors de l’Espace Économique Européen qui n’est pas soumis à une décision d’adéquation de la Commission Européenne ; (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de données personnelles du Royaume-Uni vers tout autre pays qui n’est pas basé sur une réglementation d’adéquation conformément à l’article 17A de la Loi de Protection des Données du Royaume-Uni de 2018 ; (iii) lorsque la LPD Suisse s’applique, un transfert de données personnelles de la Suisse vers tout autre pays qui n’est pas déterminé comme offrant une protection adéquate des données personnelles par le Préposé fédéral à la protection des données et à la transparence ou par le Conseil fédéral (selon le cas) ; et (iv) lorsque d’autres Lois de Protection des Données Applicables s’appliquent, un transfert transfrontalier de données personnelles depuis cette juridiction vers tout autre pays qui n’est pas basé sur une réglementation d’adéquation conformément à cette Loi de Protection des Données Applicable.

g. « Incident de Sécurité » désigne toute destruction accidentelle ou illégale, perte, altération, divulgation non autorisée de, ou accès à, des données personnelles. Pour éviter tout doute, toute violation de données personnelles constitue un Incident de Sécurité.

h. « CCT » désigne les clauses contractuelles types (i) lorsque le RGPD de l’UE ou la LPD Suisse s’applique, les clauses contractuelles annexées à la Décision d’Exécution 2021/914 de la Commission Européenne du 4 juin 2021 sur les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil (« CCT de l’UE ») ; (ii) lorsque le RGPD du Royaume-Uni s’applique, les clauses types de protection des données adoptées conformément à, ou autorisées en vertu de l’article 46 du RGPD du Royaume-Uni (« CCT du Royaume-Uni ») ; et (iii) lorsque d’autres Lois de Protection des Données Applicables s’appliquent, les clauses contractuelles types ou autres mécanismes de transfert transfrontalier appropriés approuvés par une autorité de protection des données compétente ou un organe similaire, qui sont adoptés ou autorisés en vertu de cette Loi de Protection des Données Applicable.

i. Les termes « entreprise », « consommateur », « responsable du traitement », « sous-traitant », « personne concernée », « traitement » (et « traiter »), « destinataire », « vente », « données sensibles », « prestataire de services », « partage » (et « partager »), et « tiers » auront les significations définies dans la Loi de Protection des Données Applicable.

j. « Données personnelles » désigne toute information ou donnée constituant des « informations personnelles », « données personnelles », « informations personnellement identifiables » ou tout terme similaire défini dans la Loi de Protection des Données Applicable.

2. Conditions

a. Object : Chaque Partie doit divulguer ou mettre à disposition des données personnelles à l’autre Partie uniquement dans le but prévu à l’Annexe 1 de la Présente Annexe (l’« Objectif »). Les Parties agissent en tant que responsables de traitement distincts et indépendants et non en tant que responsables conjoints ou comme responsable de traitement et sous-traitant.

b. Politique de confidentialité : Chaque Partie doit disposer d’un avis de confidentialité et, le cas échéant, d’une politique relative aux cookies conforme à la Loi de Protection des Données Applicable. Cette politique doit, sans limitation et dans la mesure requise par la Loi de Protection des Données Applicable, (i) divulguer toute collecte, partage et/ou utilisation de données personnelles en lien avec l’Accord ; (ii) informer les personnes concernées de tous les types d’activités de traitement, y compris le traitement à des fins de publicité comportementale et ciblée ; et (iii) offrir aux personnes concernées la possibilité de refuser ces activités de traitement, y compris via des contrôles de confidentialité mondiaux standard, lorsque requis. D-block fournira à la Société les informations que cette dernière pourrait raisonnablement demander concernant les cookies de D-block afin que la Société puisse s’assurer que ces informations soient incluses dans l’avis. Chaque Partie doit collecter, obtenir, divulguer et/ou utiliser les données personnelles conformément à sa politique de confidentialité publiée et à la Loi de Protection des Données Applicable, y compris en obtenant toutes les permissions nécessaires et requises pour collecter, utiliser, transférer et traiter de toute autre manière des données à l’aide de cookies ou d’autres identifiants, le cas échéant.

c. Consentement de l’utilisateur : La Société ne doit utiliser aucun moyen visant à inciter, encourager ou induire en erreur une personne concernée afin qu’elle clique sur une publicité ou donne son consentement à la pose de cookies sur un navigateur ou à toute autre collecte de données personnelles. Lorsqu’une personne concernée choisit de refuser ces activités de traitement, la Société doit transmettre à D-block un signal de refus conforme aux normes de l’industrie (c’est-à-dire un signal de refus approuvé par l’IAB et transmis via la spécification IAB OpenRTB). Si un site est une application mobile, la Société doit fournir les avis, divulgations et options précités là où l’application mobile peut être acquise et soit autour de chaque publicité, soit au sein de l’application (par exemple, via un lien depuis les « paramètres ») ou sur la page de destination de chaque publicité. D-block doit accepter, respecter et se conformer rapidement à toute instruction, option de refus, choix de confidentialité ou signal de consentement transmis par la Société en lien avec des données personnelles, y compris sans limitation les lignes directrices OpenRTB ou les signaux du cadre IAB. D-block ne doit pas utiliser de cookies pour collecter des données personnelles auprès d’une personne concernée ayant refusé de recevoir les cookies de D-block.

d. Autres mesures : Chaque Partie est individuellement et séparément responsable de se conformer aux obligations qui lui incombent en vertu de la Loi de Protection des Données Applicable. Sans limiter ce qui précède, chaque Partie doit (i) mener et documenter une évaluation de la protection des données qui satisfait aux exigences de la Loi de Protection des Données Applicable ; et (ii) mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger le traitement des données personnelles, qui sont adaptées au risque et conçues pour être suffisantes en vertu de la Loi de Protection des Données Applicable.

e. COPPA : Chaque Partie doit se conformer à la Children’s Online Privacy Protection Act (COPPA) et à d’autres lois applicables relatives à la collecte, l’utilisation et tout autre traitement des données des enfants tels que définis par la loi de la juridiction concernée dans la mesure où elles s’appliquent aux activités de ladite Partie. Aucune Partie ne doit vendre les données personnelles d’un consommateur si elle a connaissance du fait que le consommateur a moins de 16 ans, sauf si le consommateur, dans le cas des consommateurs âgés d’au moins 13 ans, ou le parent ou le tuteur du consommateur, dans le cas des consommateurs de moins de 13 ans, a expressément autorisé la vente de ces données personnelles.

f. Propriété : Rien dans cette Annexe ne doit être interprété comme conférant un quelconque intérêt de propriété ou une licence sur les données personnelles en contradiction avec les intérêts de propriété et licences définis dans l’Accord.

g. Questions réglementaires : Chaque Partie accepte de (i) notifier rapidement par écrit à l’autre Partie toute question, plainte, enquête, demande, mandat, assignation ou procédure émanant ou introduite par toute agence ou autorité publique, gouvernementale et/ou judiciaire (chacune, une « Demande Réglementaire ») qui (A) concerne le traitement de données personnelles par cette autre Partie en lien avec les Services, ou (B) l’incapacité potentielle de l’une ou l’autre Partie à se conformer à la Loi de Protection des Données Applicable ; et (ii) se conformer à toute demande écrite de suspension de litige, avis de conservation de documents ou autre demande similaire requise par l’autre Partie dans le cadre de toute Demande Réglementaire, action en justice ou autre réclamation, sauf dans la mesure requise par la loi applicable.

h. Incidents de sécurité : Si une Partie subit un Incident de Sécurité confirmé concernant des données personnelles divulguées par l’autre Partie, ladite Partie doit en informer l’autre Partie sans retard injustifié, et les Parties doivent coopérer de bonne foi pour convenir et mettre en œuvre les mesures nécessaires pour atténuer ou remédier aux effets de l’Incident de Sécurité.

3. Transferts restreints

Les Parties conviennent que lorsque le transfert de données personnelles en vertu de l’Accord constitue un Transfert Restreint, les CCT seront incorporées à cette Annexe par référence et s’appliqueront à ce Transfert Restreint, chaque Partie étant réputée avoir conclu les CCT comme suit :

a. Clauses Contractuelles Types (EU SCCs)

Concernant les données personnelles protégées par le RGPD de l’UE, les CCT de l’UE s’appliqueront comme suit : (i) le Module Un s’applique ; (ii) la Société doit fournir toutes les informations requises par la section II, clause 8.2(a) des CCT de l’UE ainsi qu’une copie des CCT à tous les individus concernés ; (iii) la clause 7 (clause d’adhésion) ne s’applique pas ; (iv) la clause 11 (langue optionnelle) ne s’applique pas ; (v) la clause 17 est régie par le droit irlandais ; (vi) les litiges sont résolus devant les tribunaux irlandais ; (vii) l’Annexe I est complétée par les informations définies dans l’Annexe 1 de cet Addendum ; (viii) l’Annexe II est complétée par les informations définies dans l’Annexe 2.

b. Clauses Contractuelles Types du Royaume-Uni (UK SCCs)

Pour les données protégées par le RGPD du Royaume-Uni, les CCT du Royaume-Uni s’appliqueront comme suit : (i) les CCT de l’UE sont modifiées conformément à l’Addendum International de Transfert de Données de la Commission du Royaume-Uni ; (ii) les tableaux 1 à 3 de la Partie 1 de l’Addendum du Royaume-Uni sont complétés avec les informations de la Section 3.a et des Annexes 1 et 2 ; (iii) le tableau 4 de la Partie 1 est complété en sélectionnant « aucune partie ».

c. Clauses Contractuelles Types suisses (Swiss SCCs)

Pour les données protégées par la loi suisse sur la protection des données, les CCT de l’UE s’appliqueront avec les modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la loi suisse ; (ii) les articles spécifiques du RGPD seront remplacés par les articles équivalents de la loi suisse ; (iii) « EU », « Union » et « État membre » seront remplacés par « Suisse » ; (iv) l’autorité compétente est le Commissaire fédéral à la protection des données ; (v) les litiges seront résolus devant les tribunaux suisses compétents.

d. Autres Juridictions

Les Parties conviennent que les CCT s’appliquent automatiquement pour les transferts de données personnelles vers D-block, en conformité avec la législation de la juridiction concernée.

4. LGPD (Brésil)

Pour les personnes concernées dont les données sont traitées au Brésil, la Société doit fournir des notifications conformes à la LGPD, y compris celles requises par l’article 18 de la LGPD.

5. États-Unis

Si une Partie collecte ou partage les données personnelles de résidents californiens, elle sera considérée comme une entreprise ou un tiers sous le CCPA.
Chaque Partie ne traitera les données personnelles que dans le cadre de l’objectif spécifié, se conformera au CCPA et permettra à l’autre Partie de s’assurer du respect des obligations CCPA.

ANNEXE 1 : DESCRIPTION DES DONNÉES ET PARTIES

A. Liste des Parties

  • Exportateur de Données :
    Nom de l’exportateur, adresse, nom du contact et coordonnées : Société, tel que défini dans l’Accord.
    Activités pertinentes : Faciliter la vente d’espaces publicitaires, placement de publicités, mesure et optimisation des performances marketing.
    Rôle : Responsable de Traitement Indépendant.
  • Importateur de Données :
    Nom de l’importateur, adresse, nom du contact et coordonnées : D-block, tel que défini dans l’Accord.
    Activités pertinentes : Faciliter la vente d’espaces publicitaires, placement de publicités, optimisation des performances.
    Rôle : Responsable de Traitement Indépendant.

B. Description du Transfert

  • Catégories de personnes concernées : Utilisateurs finaux des sites.
  • Catégories de données personnelles transférées : Identifiants en ligne, adresses IP, identifiants de cookies, etc.
  • Données sensibles transférées : Aucune.
  • Fréquence du transfert : Quotidienne.
  • Nature du traitement : Fourniture des services décrits.
  • Durée de conservation des données : Durée de l’Accord ou 12 mois, selon la plus longue des deux.

C. Autorité de Surveillance Compétente

  • Commission de Protection des Données d’Irlande.

Annexe II

Mesures Techniques et Organisationnelles

Chaque partie est responsable de la mise en œuvre de mesures appropriées pour garantir la conformité avec le RGPD, en prenant en compte la nature, la portée, le contexte et les finalités du traitement, ainsi que les risques pour les droits et libertés des personnes concernées. Ces mesures incluent :

  1. Pseudonymisation et chiffrement : Pseudonymisation des données personnelles si possible.
  2. Confidentialité, intégrité et disponibilité : Développement de systèmes conformes aux standards de l’industrie.
  3. Restauration des données : Plans de réponse aux incidents physiques ou techniques.
  4. Évaluation régulière : Examens périodiques des mesures par des équipes de sécurité.
  5. Identification et autorisation des utilisateurs : Limitation de l’accès aux personnes autorisées.
  6. Protection des données en stockage : Minimisation des données et respect des délais de conservation.
  7. Sécurité physique : Restriction d’accès aux installations.
  8. Configuration système : Outils de gestion de configuration.
  9. Gouvernance IT : Nomination de responsables de la sécurité.
  10. Certification des processus : Mise en œuvre des contrôles appropriés.
  11. Minimisation des données : Rejet des catégories spéciales de données.
  12. Rétention des données : Politique de rétention et destruction.
  13. Responsabilité : Revue des politiques de protection.
  14. Portabilité et effacement : Procédures pour répondre aux demandes des personnes concernées.