Ces présentes clauses forment l'Accord de Traitement de Données (ATD) entre TBS CERTIFICATS SAS et le Client hors de l'Espace Client.
v1.07, 2020-12-01
Dans le cadre du « Règlement Général sur la Protection des Données », il convient de préciser que :
- Le Client agit généralement en qualité de Responsable de Traitement (les revendeurs sont invités à ouvrir un Espace Client).
- TBS CERTIFICATS SAS agit comme un Sous-Traitant pour la fourniture et la gestion de certificats électroniques.
- TBS CERTIFICATS SAS est amené à transférer les données personnelles aux Autorités de Certification qui agissent soit en tant que Responsable de Traitement soit en tant que Sous-Traitant.
- Conformément aux lois de protection des données personnelles et plus particulièrement à l’Article 28.3.a du Règlement européen, le Sous-Traitant agit seulement suivant les instructions données par le Responsable de Traitement.
I. Instructions relatives au Traitement
Les opérations de Traitement de données personnelles que le Sous-Traitant doit réaliser pour le compte du Responsable de Traitement sont définies ci-dessous :
Traitement concerné :
Fourniture, émission et gestion de certificats électroniques
Nature des opérations réalisées sur les Données Personnelles :
Ajout, suppression, modification de Données Personnelles nécessaires à la gestion du contrat et à la validation des demandes de certificats électroniques.
Transmission de Données Personnelles à des Autorités de Certification en tant que destinataire des Données Personnelles du Client.
Quelles sont les finalités du Traitement ?
Pour « Exécuter et gérer le contrat de gestion des certificats électroniques » les finalités sont décomposées en :
- Valider les demandes
- Support technique
- Vie du produit
- Exigences juridiques
- Statistiques
- Sécurité du système
- Marketing
Durée du Traitement
TBS CERTIFICATS SAS procédera au Traitement de Données à Caractère Personnel pour toute la durée du Contrat, sauf accord contraire entre les parties, par écrit.
À l’issue du contrat, les Données à Caractère Personnel seront :
- Pour les données utilisées pour la validation des demandes de certificats : la durée de rétention des Données Personnelles est fonction de la politique de rétention de la classe de certificats électroniques concernée (documenté dans les « conditions de certification » que vous acceptez à chaque demande de certificat).
- Pour les autres données liées à la gestion du contrat : anonymisées un an après la fin de la relation commerciale ou un an après l'expiration du certificat si cette date est ultérieure
Pour information, lorsque le RGPD est entré en vigueur, la norme CA/Browser forum Baseline Requirements 1 (CA/B BR1) imposait une conservation des données pendant 7 ans après l’expiration du certificat.
Personnes Concernées par le Traitement
Le Client peut soumettre des Données à Caractère Personnel relatives aux catégories suivantes de Personnes Concernées :
- Employés ou contacts des fournisseurs du Client
- Employés, agents, conseillers ou travailleurs indépendants du Client (qui sont des personnes physiques)
- Employés ou contacts des clients du Client (en cas de revente)
En situation de revente, le Client s’assure avoir obtenu de son propre donneur d’ordre l’accord pour le traitement des Données Personnelles confiées à TBS CERTIFICATS SAS et aux Autorités de Certification.
Droits des Personnes Concernées
Le sujet pourra exercer ses droits d'accès, de rectification et d'effacement ici :
https://www.tbs-certificats.com/RGPD
Catégories de données personnelles
Les données à Caractère Personnel transférées concernent les catégories suivantes de données :
Détails personnels : nom, prénom, numéro de téléphone, adresse mél, adresse IP, et si requis pour une validation de certificat électronique : une copie de pièce d’identité.
Catégories particulières de données (le cas échéant)
Aucune donnée sensible
Destinataire / Accédant de données
- Chez TBS CERTIFICATS SAS : tous les services
- Autorités de Certification
- Autorités de contrôle et d’audit des Autorités de Certification
Délégué à la Protection de Données (DPO)
Vu les données traitées TBS CERTIFICATS SAS n’a pas l’obligation d’avoir un DPO. Toute question spécifique au GDPR peut être adressée à
cnil@tbs-certificats.com
Sécurité des données personnelles
TBS CERTIFICATS SAS et ses Sous-Traitants prennent les mesures techniques nécessaires pour assurer la protection des données personnelles, en adéquation avec les risques. Ceci inclut des techniques de chiffrement, de limitation et de traçabilité des accès, ainsi que de sauvegarde.
II. Liste des Sous-Traitants Ultérieurs
Exportation vers l’Union Européenne ou à l'extérieur vers un pays reconnu ayant une protection adéquate des données personnelles par la Commission Européenne :
- SIGNIFLOW Ltd, plateforme de signature électronique
- TBS Internet Ltd, plateforme technique
- Trustpilot A/S, plateforme de gestion d’avis
III. Liste des exportations à des Fournisseurs
Exportation auprès d’un Responsable de Traitement, destinataire des données traitées, vers l’Union Européenne ou à l'extérieur vers un pays reconnu ayant une protection adéquate des données personnelles par la Commission Européenne :
- Chambersign France, autorité de certification, marque ChamberSign
- TBS Internet Ltd, autorité de certification, marque TBS X509
- Certigna, autorité de certification
Exportation auprès d’un Responsable de Traitement, destinataire des données traitées, vers l’Union Européenne ou à l'extérieur vers un pays reconnu ayant une protection adéquate des données personnelles par la Commission Européenne ou vers un autre pays où le Responsable de Traitement a une présence et qu’il considère fournir un niveau de protection adéquat :
- Sectigo Ltd, autorité de certification, marques Comodo, PositiveSSL
- Digicert Ireland Ltd, autorité de certification, marques Symantec, Thawte, Geotrust, RapidSSL, Digicert
- GMO GlobalSign Ltd, autorité de certification, marque GlobalSign
Exportation vers un fournisseur sous-traitant ultérieur qui stocke les données en Union Européenne :
- SIGNIFLOW Ltd, solution de signature électronique