CERTSIGN S.A. (ci-après dénommée « certSIGN »), dont le siège social est situé à Roumanie, Bucarest, 107 A Avenue Oltenitei, corp C1, et.1, chambre 16, secteur 4, inscrite au Registre du Commerce sous le numéro J40/484/17.01.2006, code unique d’identification 18288250, Téléphone : 0 805 98 79 55, E-mail: office@certsign.fr, en tant que responsable du traitement des données personnelles, traite les données personnelles que vous avez fournies afin de fournir des services de certification de la signature électronique, conformément aux dispositions du Règlement (UE) n°. 910/2014, le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») et d’autres dispositions du droit de l’Union ou du droit national relatives à la protection des données.

Coordonnées du délégué à la protection des données de certSIGN :

Email : dpd@certsign.fr

Adresse: 29 A Boulevard Tudor Vladimirescu, bâtiment AFI Tech Parc 1, 2ème étage, Bucarest, secteur 5, Roumanie.

1ère Section : Objectif et fondement du traitement des données personnelles

Les objectifs du traitement de vos données personnelles sont :

1. fournir des services de certification pour l’émission de certificats numériques qualifiés, utiliser le certificat pour la signature électronique de documents par le titulaire du certificat, fournir le certificat numérique et du token, si le certificat numérique est émis sur un dispositif cryptographique (token), y compris payer le service de confiance, conformément à l’article 6 (1) (b) du RGPD ;
2. identifier le titulaire d’un certificat numérique qualifié ou de la personne désignée par le titulaire d’un certificat qualifié pour cachet électronique ou serveur web et valider son identité par la vérification des données d’identité de l’acte d’identité contenant la photo de la personne concernée pour emmètre le certificat numérique qualifié, , conformément à l’article 6, paragraphe 1, point c), du RGPD en liaison avec l’article 24, paragraphe 1, du règlement eIDAS ;
3. photocopier le document d’identité dans la situation de votre identification à distance par des moyens vidéo conformément à l’art. 6 (1) (a) du RGPD et art. 16 (1) des Normes de l’Autorité roumaine de numérisation concernant la réglementation, la reconnaissance, l’approbation ou l’acceptation de la procédure d’identification à distance de la personne par des moyens vidéo approuvée par la Décision de l’Autorité roumaine de numérisation no. 564/2021 (norme ADR) ;
4. faire l’identification unique de votre personne par le traitement de données biométriques, c’est-à-dire le traitement de l’image faciale convertie en données biométriques, si l’identification a été effectuée par des moyens vidéo, conformément à l’article 6, paragraphe 1, point a), du RGPD,
5. enregistrer la session vidéo-audio dans la situation où l’identification se fait à distance par des moyens vidéo conformément à l’art. 6 (1) (a) du RGPD, l’utilisation de cette méthode de votre identification afin d’obtenir un certificat numérique qualifié pour la signature qualifiée étant votre option,
6. permettre votre accès et votre utilisation des plateformes de signature Paperless de certSIGN, conformément à l’article 6 (1) (b) du RGPD ;
7. faire l’identification et l’authentification de la personne concernée pour l’utilisation des applications de signature Paperless de certSIGN, conformément à l’article 6 (1) (c) du RGPD;
8. renouveler le certificat numérique à la demande de la personne concernée, conformément à l’article 6, paragraphe 1, point b), du RGPD ;
9. confirmer la validité du certificat de signature électronique, à la demande du titulaire ou à la demande d’une personne qui s’appuie sur les services de confiance fournis par certSIGN ou dans le cadre d’une procédure judiciaire, le cas échéant, selon :
10. l’article 6, paragraphe 1, point b), du RGPD pour une validation à la demande de la personne concernée ou 
11. l’article 6 (1) (c) du RGPD en conjonction avec l’article 24 (2) (h), (3) (4) du règlement eIDAS pour validation dans d’autres situations ;
12. révoquer/suspendre le certificat selon les termes du contrat conformément à l’article 6 (1) (b) RGPD ou en raison d’une obligation légale de certSIGN conformément à l’article 6 (1) (c) RGPD en conjonction avec l’article 24 (3) (4) du règlement eIDAS ;
13. si vous avez acheté des services de certification à distance, nous traiterons vos données également dans le but de respecter le droit de rétractation que vous avez exercé conformément au GEO 34/2014 sur les droits des consommateurs dans les contrats conclus avec des professionnels, ainsi que pour modifier et compléter certains actes réglementaires, en liaison avec l’article 6 (1) (c) RGPD ;
14. assurer la sécurité des systèmes et des bases de données conformément à l’article 6, paragraphe 1, point c) du RGPD, en liaison avec l’article 24, paragraphe 2, points e), f) et i) du règlement eIDAS ;
15. prévenir et/ou détecter la fraude conformément à l’article 6, paragraphe 2, de la directive sur les services. (1) lettre (c) RGPD en conjonction avec l’art. 24 para. (2) lettre (g) du Règlement eIDAS ;
16. respecter les obligations légales du responsable du traitement des données (par exemple, la transmission d’informations représentant des données personnelles à la demande des autorités compétentes de l’État, l’établissement et la mise à jour permanente de la base de données des certificats de signature électronique conformément à l’article 6, paragraphe 1, point c), du RGPD, en liaison avec les dispositions du règlement eIDAS (article 24, paragraphe 2, point k)).
17. stocker les données, y incluse une copie de l’acte d’identité, pendant une période de 10 ans après l’expiration du certificat numerique. Ces données peuvent également être utilisées dans le cadre de procédures judiciaires, en plus de la finalité d’assurer la continuité du service telle que prévue à l’article 6(6). (1) lettre (c) RGPD en conjonction avec l’art. 24 para. (2) lettre (h) du règlement eIDAS et et art. 20 lettre h) de la loi roumaine no. 455/2001 concernant la signature électronique, ainsi que l’art. 16 alinéa (2) et art. 22 de la norme ADR;
18. envoyer des bulletins d’information, de matériel promotionnel, de communications marketing, d’offres commerciales ou de toute autre information pertinente sur les produits et services de certSIGN si vous avez donné votre consentement à cet effet 6 (1) (a) RGPD
19. pour poursuivre les intérêts légitimes du Contrôleur de données ou d’un tiers, comme pour les comptes-rendus internes du contrôleur ou pour la rationalisation des processus de l’entreprise, pour la gestion des contrats ou des pièces comptables justificatives, pour la résolution des plaintes, pour l’audit ou la vérification des processus internes, pour la défense des droits du contrôleur comme le recouvrement des créances détenues par le contrôleur, conformément à l’article 6, paragraphe 1, point f), du RGPD.

Les fondements juridiques des opérations de traitement des données se réfèrent à l’article 6, paragraphe 1, points a), b), c) et f), du RGPD, tel que détaillé ci-dessus.

2ème section. Catégories de données personnelles que nous traitons

Les données personnelles que nous traitons sont, selon le cas, les suivantes : 

• vos nom, prénom, numéro d’identification personnel, série et numéro de votre carte d’identité, adresse et toutes les autres données personnelles figurant sur votre carte d’identité, copie de votre carte d’identité,
• numéro de téléphone, adresse email, 
• votre image et votre voix (l’enregistrement vidéo de votre interaction avec l’agent certSIGN dans le but de vérifier votre identité par des moyens vidéo). 
• vos données biométriques dans le but de vous identifier de manière unique en traitant votre image faciale traduite en données biométriques
• les données du certificat numérique,
• la signature électronique et le nombre de signatures accordées/utilisées dans le cas de certificats numériques pour la signature à distance,
• l’appartenance du titulaire du certificat au compte d’un client qui a soumis la demande certSIGN d’émission du certificat numérique,
• le Code d’autorisation OTP/TOTP
• le Code IBAN, le cas échéant;
• l’adresse de livraison pour fournir le certificat numérique et le token, si le certificat est délivré sur un dispositif cryptographique (token),
• des logs/l’IP.
• la signature manuscrite,
• la qualité de la personne désignée par le titulaire d’un certificat numérique qualifié de cachet électronique ou de serveur web.

Le traitement des données biométriques susmentionné consiste à obtenir et à comparer des modèles biométriques à partir de la photo de votre carte d’identité et de la photo de votre visage et s’effectue par le biais de l’application videolD (https://www.electronicid.eu/en/solutions/videoid). 

Le modèle biométrique est la référence numérique de caractéristiques distinctes qui ont été extraites d’un échantillon biométrique. Les modèles biométriques sont utilisés pendant le processus d’identification vidéo. En fait, ce qui est comparé, ce ne sont pas les photographies (de la carte d’identité et de celle obtenue lors de l’entretien, mais les gabarits biométriques des deux photographies). Dans ce cas, la preuve biométrique est la photographie elle-même.

3ème Section. L’utilisation des données personnelles et les conséquences de leur non-divulgation 

Le traitement des données à caractère personnel est principalement nécessaire pour signer des documents au moyen d’une signature électronique ou pour appliquer les cachets électroniques, c’est-à-dire pour émettre des certificats numériques de signature électronique ou de cachet électronique et pour utiliser les applications de signature électronique Paperless de certSIGN, ainsi que pour émettre des certificats numériques qualifiés de server web. Les données à caractère personnel sont donc nécessaires pour identifier la personne concernée en vue d’emmétre les certificats numérisés. 

Les données à caractère personnel mentionnées ci-dessus sont traitées directement par certSIGN ou avec l’aide d’autres opérateurs avec lesquels nous nous associons afin d’identifier les futurs titulaires de certificats ou des personnes désignées par les titulaires de certificats numériques pour le cachet électronique ou le serveur Web et d’enregistrer les demandes de délivrance de certificats, conformément à l’article 26 du RGPD.

certSIGN peut également traiter les données personnelles dans le but d’identifier les futurs titulaires de certificats ou des personnes désignées et d’enregistrer les demandes de délivrance de certificats et par le biais de personnes autorisées fournissant des garanties appropriées, conformément à l’article 28 du RGPD. Ces personnes peuvent être des personnes morales auxquelles on a délégué les pouvoirs d’autorité d’enregistrement par certSIGN ou des fournisseurs de la solution d’identification vidéo.

Le refus de fournir les données nécessaires à la délivrance du certificat numérique et à la fourniture des services de certification, entraîne l’impossibilité de délivrer le certificat, respectivement d’utiliser la signature électronique ou le cachet électronique ou le certificat se server web. 

4ème Section. Durée du traitement des données à caractère personnel 

Après délivrance du certificat numérique, les données à caractère personnel relatives à l’identification du titulaire du certificat et au certificat numérique seront conservées pendant une période de 10 ans à compter de la date d’expiration du certificat qui vous a été délivré, notamment afin de pouvoir prouver la certification en cas de litige et d’assurer la continuité du service conformément à l’article 6 (1) (c) RGPD en liaison avec l’article 24 (2) (h) du règlement eIDAS et avec art. 20 lettre h) de la loi roumaine no. 455/2001 concernant la signature électronique. 

Les données peuvent être traitées après cette date lorsqu’il existe une obligation légale ou un intérêt légitime à le faire. 

Veuillez noter que les données biométriques ne sont pas stockées et sont automatiquement supprimées dès que le résultat de l’opération de comparaison décrite dans la deuxième section ci-dessus sur les catégories de données a été généré.

Si, après avoir fourni vos données, vous ne souhaitez plus que le certificat numérique soit émis ou si vous ne terminez pas la procédure d’émission dans les 60 jours suivant la demande du certificat numérique, certSIGN supprimera toutes les données personnelles collectées.

De même, si vous ne souhaitez plus recevoir de bulletins d’information, de matériel promotionnel, de communications marketing, d’offres commerciales ou toute autre information pertinente sur nos produits et services, certSIGN ne traitera plus vos données à cette fin. 

5ème Section. Les destinataires des données à caractère personnel 

Vos données à caractère personnel  peuvent être divulguées : à vous pour l’exercice de vos droits en vertu du RGPD, aux auditeurs de certSIGN, à l’organe de surveillance en vertu de la loi applicable, aux autorités et institutions publiques en vertu d’obligations de droit public, aux avocats pour nous représenter en cas de litige ou pour des conseils, aux huissiers pour les communications contractuelles ou l’exécution de toute ordonnance judiciaire, aux sociétés de recouvrement de créances, aux partenaires contractuels de certSIGN pour conclure et exécuter le contrat (tels que : les personnes morales auxquelles les pouvoirs d’autorité d’enregistrement déléguée ont été délégués, les sociétés de messagerie, les fournisseurs de services d’identification vidéo ou les fournisseurs de services de paiement électronique ou de services de mentorat et d’assistance, les sociétés affiliées de certSIGN) et dans toute autre situation justifiée avec votre avis préalable, mais uniquement afin de remplir l’objectif mentionné ci-dessus et visant à protéger en priorité les droits dont vous disposez. De même, les données du certificat peuvent être divulguées à des tiers qui fondent leur conduite sur les services de certification fournis par certSIGN (au sujet desquels vous utilisez le certificat), et si les tiers sont des institutions publiques, d’autres données personnelles de la carte d’identité, en dehors de celles du certificat, peuvent être divulguées dans le but de prouver la certification.

6ème Section. Le transfert de données en dehors de l’Union européenne

certSIGN ne transfère pas vos données personnelles en dehors de l’Union européenne. 

7ème Section. Les droits de la personne concernée  

En tant que personne concernée, vous disposez des droits suivants en vertu du Règlement Général sur la protection des données : 

• Droit à l’information: le droit d’être informé des opérations de traitement de vos données personnelles conformément à l’art. 13 et 14 du RGPD; 
• Droit d’accès aux données : le droit d’obtenir du délégué du traitement des données la confirmation que des données à caractère personnel vous concernant sont traitées ou non par le responsable du traitement, ainsi que des informations concernant les opérations de traitement de vos données conformément à l’art. 15 du RGPD; 
• Droit de rectification : le droit de faire rectifier les données inexactes vous concernant et de faire compléter les données incomplètes conformément à l’art. 16 du RGPD; 
• Le droit de supprimer des données conformément à l’art. 17 du RGPD ;
• Le droit de limiter le traitement de vos données à caractère personnel conformément à l’art. 18 du RGPD 
• Le droit de retirer votre consentement à tout moment, dans la mesure où le traitement des données est fondé sur votre consentement. 
• Le droit de demander à certSIGN de notifier aux destinataires auxquels elle a communiqué des données à caractère personnel tout effacement, rectification ou limitation du traitement des données à caractère personnel effectué conformément aux articles 16, 17(1) et 18 du RGPD, sauf si cela s’avère impossible ou implique des efforts disproportionnés (art 19 du RGPD)
• Le droit à la portabilité des données personnelles que vous nous avez fournies, dans la mesure où le traitement des données est fondé sur le consentement ou est basé sur le contrat conclu avec vous, conformément à l’art. 20 du RGDP. 
• Le droit de s’opposer, pour des raisons tenant à votre situation particulière, au traitement des données effectué dans le but de poursuivre les intérêts légitimes de certSIGN ou de tiers, conformément a l’art 20 du RGDP.
• Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris la création de profils, produisant des effets juridiques quant à la personne concernée ou l’affectant de manière similaire dans une mesure significative, conformément à l’art. 22 du RGPD.

Vous, en tant que personne concernée, avez également le droit de retirer votre consentement à tout moment, dans la mesure où le traitement des données est fondé sur votre consentement sans affecter la licéité du traitement effectué sur la base du consentement avant son retrait. (Article 7 (3) du RGPD).

En même temps, on vous informe que vous avez le droit de vous adresser à une autorité de contrôle pour défendre les droits accordés par la législation applicable dans le domaine de la protection des données à caractère personnel, qui ont été violés, ainsi que de vous adresser aux tribunaux compétents.

Pour exercer les droits prévus à l’art. 13-22 et art. 7 (3) du RGPD, tel que présenté ci-dessus, vous pouvez soumettre une demande écrite, datée et signée au Département de la protection des données personnelles de certSIGN : 

• email : dpd@certsign.fr
• Addresse : 29A Boulevard Tudor Vladimirescu, bâtiment AFI Tech Parc 1, 2ème étage, Bucarest, secteur 5, Roumanie.

Si vous faites une demande d’exercice de vos droits en matière de protection des données personnelles, vous recevrez une réponse au plus tard dans les 30 jours, conformément au RGPD.