certSIGN traite les données à caractère personnel pour réaliser l’activité de la société, conformément aux dispositions législatives applicables dans les pays dans lesquels elle opère. Le traitement des données à caractère personnel est effectué dans des conditions qui garantissent la sécurité, la confidentialité et le respect des droits des personnes concernées, conformément aux principes suivants:

• légalité, équité et transparence
• un objectif spécifique, explicite et légitime
• minimisation des données (données adéquates, pertinentes et limitées)
• données exactes et d’actualité
• stockage limité
• intégrité et confidentialité
• responsabilité

CHAPITRE I. Objectif

L’objectif de la Politique générale de protection des données à caractère personnel (« Politique RGPD ») est de définir les règles et pratiques régissant la manière dont certSIGN assure le respect des principes et règles énoncés dans le RGPD dans son traitement des données à caractère personnel des clients, fournisseurs, partenaires, employés et autres personnes.

CHAPITRE II. Champ d’application

Cette politique s’applique à toutes les activités menées par certSIGN impliquant le traitement de données à caractère personnel en tant que contrôleur, ainsi qu’à celles menées en tant que responsable de traitement, activités qui sont soumises au droit de l’Union.

CHAPITRE III. Définitions et abréviations

• consentement de la personne concernée : toute manifestation de volonté, libre, spécifique, informée et non équivoque par laquelle la personne concernée accepte, par une déclaration ou par un acte non équivoque, que des données à caractère personnel la concernant soient traitées;
• données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée »), directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
• DPD : Département de la protection des données à caractère personnel 
• DPO : responsable de la protection des données
• RGPD : désigne le RÈGLEMENT n° 679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
• contrôleur: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par le droit de l’Union ou le droit national, le contrôleur ou les critères spécifiques de sa désignation peuvent être fixés par le droit de l’Union ou le droit national;
• le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement;
• personne concernée: la personne physique dont les données à caractère personnel sont traitées;
• traitement: toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’association, la limitation, l’effacement ou la destruction.

CHAPITRE IV. Objectifs de la politique RGPD

1. Assurer la licéité du traitement des données

1. Dans le cadre de ses activités, certSIGN traite les données à caractère personnel dans les conditions suivantes:

2. la personne concernée a donné son consentement.

3. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

4. le traitement est nécessaire au respect d’une obligation juridique. Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique.

5. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par certSIGN ou le contrôleur (lorsque certSIGN agit en qualité de responsable du traitement).

2. Garantir les droits de la personne concernée

certSIGN respecte le droit à la vie privée des individus.

Lors du traitement des données à caractère personnel, l’entreprise informe la personne concernée des données qu’elle collecte, de la finalité de la collecte, des destinataires ou des catégories de destinataires des données à caractère personnel, de la durée de conservation des données, de leur effacement à l’issue de la période de conservation. Si le contrôleur a l’intention de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées, il fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette finalité secondaire et toute autre information pertinente.

Le traitement des données n’est effectué que par le personnel autorisé.

Les données à caractère personnel traitées et utilisées par certSIGN seront conservées sous forme électronique ou archivées sur papier pendant la période nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées et conformément aux dispositions législatives applicables aux activités exercées par la société.

À la fin des opérations de traitement des données à caractère personnel, les données à caractère personnel traitées sont détruites.

Si certSIGN agit en tant que responsable de traitement d’un contrôleur dans l’exercice des activités de l’entreprise, elle doit conclure un accord avec le contrôleur sur le traitement des données à caractère personnel garantissant le respect des droits des personnes concernées.

Si la personne concernée souhaite exercer un droit ou déposer une plainte, elle peut contacter le DPD aux coordonnées suivantes :

• l’adresse : AFI Tech Park 1, 29 A, boulevard Tudor Vladimirescu, secteur 5, Bucarest, Roumanie, 050881
• email : dpd@certsign.fr

certSIGN fournit à la personne concernée des informations sur les suites données à une demande en vertu des articles 15 à 22 sans retard excessif et, en tout état de cause, au plus tard un mois après la réception de la demande. Ce délai peut être prolongé de deux mois si nécessaire, en tenant compte de la complexité et du nombre de demandes. certSIGN informera la personne concernée d’une telle prolongation dans un délai d’un mois à compter de la réception de la demande, en précisant les raisons du retard.

Si certSIGN ne donne pas suite à la demande de la personne concernée, elle informe la personne concernée sans délai et au plus tard un mois après la réception de la demande des raisons pour lesquelles il n’a pas donné suite et de la possibilité de présenter une réclamation auprès d’une autorité de contrôle et de former un recours judiciaire.

3. Assurer la sécurité des données

certSIGN a mis en place un système de gestion de la sécurité de l’information certifié ISO 27001. certSIGN a également obtenu le statut de prestataire de services de confiance qualifiés conformément au règlement européen 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques sur le marché intérieur.

L’obtention et le maintien de la certification ISO 27001 et du statut de prestataire de services de confiance qualifié impliquent de se soumettre à des audits externes tous les ans ou tous les deux ans, dans lesquels l’évaluation de la sécurité informatique et de l’information en général constitue un élément très important.

1. Etablir et tenir des registres des activités de traitement des données. La société tient à jour le registre des traitements de données à caractère personnel. Le registre est établi et géré par le DPD. Le registre contient au moins les informations requises par le RGPD.

2. Former le personnel pour qu’il se conforme aux dispositions du RGPD. Le personnel de certSIGN est régulièrement formé aux dispositions du RGPD, aux exigences minimales de sécurité pour le traitement des données à caractère personnel, ainsi qu’aux risques liés au traitement des données à caractère personnel.

Les employés qui ont accès aux données à caractère personnel sont informés de la nature particulière des données à caractère personnel et connaissent les règles qui leur sont applicables. Toutes les dispositions internes relatives à l’obligation des employés en matière de sécurité de l’information sont applicables.

3. Vérifier la conformité des activités de l’entreprise avec les exigences du RGPD. Par l’intermédiaire du DPO, dans le cadre de la DPD et des audits externes, certSIGN vérifiera la conformité et la mise en œuvre des règles internes, du RGPD et des dispositions législatives pertinentes, ainsi que les recommandations faites concernant le traitement des données à caractère personnel sur le terrain.