27 juin 2017
Sécuriser un site marchand
Si vous étiez gérant d’un magasin dans un centre commercial, quel dispositif de sécurité de base mettriez-vous en place ?
Vous auriez probablement des portes blindées, des verrous, des caméras de surveillance, un système d’alarme — ce genre de chose.
L’intérêt de tels dispositifs de sécurité — visibles dans la plupart des cas — va généralement de soi.
Mais qu’en est-il pour les exploitants de sites d’e-commerce ? Sur la Toile, les voleurs sont d’une autre trempe. Les pirates informatiques en savent potentiellement plus long que vous sur les points faibles de la sécurité de votre cyberboutique.
Pour faire simple, les hackers sont en permanence à la recherche de failles à exploiter.
On est bien loin des voleurs à la tire en quête de quelques produits à revendre au marché noir du coin.
Les cybermalfaiteurs courent après autre chose de beaucoup plus précieux : vos données. Qu’ils cherchent à faire main basse sur les données de cartes bancaires ou les identifiants de vos clients, vous et votre boutique en ligne êtes en danger si vous ne faites pas le nécessaire pour vous protéger.
Nous vous proposons ci-après quelques conseils pour vous aider à sécuriser votre site marchand et votre entreprise...
Choisissez le bon hébergement pour votre site e-commerce
Vous avez probablement beaucoup investi dans la création de votre site Web. La conception, le développement, l’optimisation et la promotion d’un site coûtent cher.
En optant pour une solution d’hébergement à bas coût, vous risquez de miser sur le mauvais cheval...
Certes, le choix en matière hébergement Web est vaste. Ne cédez pas pour autant aux sirènes de l’hébergement low cost. Les économies promises ne sont souvent qu’un leurre.
Vous viendrait-il à l’idée de monter des roues de vélo sur une voiture de course ? Et bien c’est un peu la même chose.
Lorsque l’on partage un service d’hébergement mutualisé avec des centaines de milliers d’utilisateurs, rien ne garantit que l’on ne se retrouvera pas dans un « quartier bruyant ». Et personne n’aime les voisins bruyants. Désagréables et hostiles à l’ordre social, ce sont eux qui dégradent l’ambiance d’un quartier.
Si vous êtes sur l’un de ces serveurs aux formules du type « buffet à volonté », comment être certain que votre hébergeur investit dans la sécurité ? Personnellement, j’ai des doutes. Il y a de fortes chances que l’adresse IP de votre serveur se retrouve constamment « blacklistée ».
Dans ce cas, le serveur privé virtuel représente probablement la meilleure solution pour les exploitants de sites marchands sérieux. Cette solution allie performance et évolutivité avec d’excellentes options de configuration personnalisée de la sécurité à des coûts raisonnables.
Les options de sécurité sont assez simples à configurer sur votre serveur, et en cas de difficultés, tout hébergeur digne de ce nom propose généralement un service de serveur géré (ou «?managé?»).
Passez au HTTPS
Jusqu’à peu, l’hébergement sécurisé de sites en HTTPS avec certificat SSL était réservé aux pages Paiement des sites. Même si c’est manifestement toujours le cas, les responsables de sites sécurisent progressivement l’ensemble de leurs pages Web.
Sur le terrain du renforcement de la sécurité sur Internet, Google a donné le coup d’envoi en 2014 en déclarant pouvoir intégrer le HTTPS dans ses critères de référencement. Certains éditeurs de navigateurs lui ont emboîté le pas en affichant leur volonté de pénaliser les sites en HTTP. Plus récemment Google déclarait vouloir à terme signaler les sites HTTP pour leur défaut de sécurité ; Mozilla ayant plus ou moins annoncé la même chose en 2015.
Si vous envisagez de passer en HTTPS, vous devrez tout d’abord choisir un certificat SSL. Vous pouvez vous en procurer auprès de votre hébergeur ou d’un éditeur sérieux de certificats SSL.
Généralement, ils vous aideront à installer votre certificat SSL, mais pour basculer votre site en HTTPS, vous devrez procéder en plusieurs étapes : mise à jour des liens internes sur votre site, configuration d’une redirection 301, mise à jour des liens dans les e-mails transactionnels...
Aujourd’hui, le certificat SSL constitue le minimum syndical en matière de cybersécurité. Avec l’offensive des éditeurs de navigateur contre les sites HTTP, il devrait d’ailleurs se généraliser.
Choisissez une plateforme sécurisée et veillez à ce qu’elle le reste
Il existe aujourd’hui un vaste choix de plateformes e-commerce. Avant de choisir la vôtre, vérifiez — en plus de ses performances et de la fréquence des mises à jour — sa réputation sur le front de la sécurité.
Les outils comme Magento, WooCommerce et PrestaShop sont des plateformes e-commerce connues et répandues... mais la célébrité n’a pas que des avantages. Avec des hackers constamment à l’affût de vulnérabilités sur ces outils, ces plateformes doivent régulièrement publier des correctifs et des mises à jour de sécurité.
Attention à ne pas croire qu’un site en ligne n’a plus besoin de mises à jour et de maintenance — ou que ces opérations relèvent de la responsabilité du développeur, du concepteur ou de l’hébergeur.
En définitive, c’est vous qui êtes responsable de la sécurité et même sans être un expert technique, vous devez pouvoir vous appuyer sur un membre de votre équipe en interne ou sur un prestataire ou partenaire externe de confiance.
Gardez un œil sur le site de l’éditeur pour surveiller les mises à jour et insistez pour que votre expert sécurité applique ces mises à jour et ces correctifs sur votre site.
La meilleure solution consiste sans doute à opter pour une application de sécurité e-commerce complète qui non seulement vous protégera des vulnérabilités les plus courantes, mais vérifiera aussi sur le site de l’éditeur que la version que vous exécutez est la plus récente.
Sécurisez votre espace d’admin
L’un des moyens les plus simples d’améliorer la sécurité de votre site à moindre coût consiste à protéger votre espace d’administration.
Les plateformes connues comme Magento ou WooCommerce (basée sur WordPress) proposent un espace d’administration configuré par défaut.
Il est cependant indispensable de changer le nom d’utilisateur par défaut de l’administrateur. Cette simple modification vous protège des attaques les plus basiques qui visent les cibles faciles. Les hackers sont à l’affût de victimes naïves... Si vous conservez le nom d’utilisation par défaut « admin », vous êtes une proie facile pour eux. Optez pour des identifiants de connexion originaux et difficiles à pirater.
Vous pouvez également limiter l’accès à l’espace d’administration. Il vous suffit pour cela d’établir une « liste blanche » d’adresses IP contrôlée par votre administrateur serveur. Ainsi, seules les adresses IP connues pourront accéder à votre espace d’admin.
Enfin, configurez cet espace pour que votre administrateur soit immédiatement informé dès le franchissement d’une valeur seuil donnée : nombre de tentatives de connexions échouées ou tentatives de connexions à partir d’adresses IP inconnues.
Simples et peu coûteuses, ces quelques mesures sont étonnamment efficaces.
Sauvegardez régulièrement vos données
Imaginez qu’un matin en vous levant, vous vous aperceviez que votre site a été piraté !
Aie, la journée commence très mal...
Maintenant, imaginez ce que vous ressentiriez si votre site n’a pas été sauvegardé ! La journée vire alors au cauchemar.
Personne n’est à l’abri d’une panne matérielle ou d’une erreur humaine qui pourrait entraîner une perte massive de données.
Le fait est que l’on n’est jamais trop prudent en matière de sauvegarde de données. Et rappelez-vous : VOUS êtes responsable de ces sauvegardes.
Ne partez pas du principe que ce soit à votre hébergeur ou à votre concepteur Web de s’en occuper. En tant que propriétaire de vos données, leur sauvegarde relève de votre responsabilité.
Il y a certes plusieurs façons de sauvegarder manuellement vos données, mais il peut être difficile de prendre l’habitude de sauvegarder régulièrement vos données. Un oubli est si vite arrivé, avec pour conséquences des sauvegardes qui remontent à deux ou trois mois en arrière — et qui ne sont alors d’aucune utilité.
Le mieux est d’utiliser un service de sauvegarde automatique qui, une fois configuré, s’exécute automatiquement. C’est l’idéal si vous voulez pouvoir dormir sur vos deux oreilles, avec l’assurance que vos données sont sauvegardées, en sécurité et à jour.
Ne conservez jamais les données de carte bancaire de vos clients
Certaines plateformes d’e-commerce vous offriront la possibilité de stocker les informations de carte bancaire de vos clients. N’acceptez JAMAIS de telles propositions.
Non seulement c’est une très mauvaise idée, mais surtout, vous pourriez être lourdement sanctionné en cas de piratage de vos systèmes.
Le mieux est de confier les paiements à une passerelle de paiement qui gérera ce service pour vous et conservera les paiements en dehors de votre site. Car pour gérer des données aussi sensibles, ces passerelles mettent en place des mesures de sécurité draconiennes.
Pour ceux qui démarrent dans l’e-commerce avec un budget serré, les services de paiement comme PayPal leur permettront de réaliser leurs premières ventes. Certains clients préfèrent d’ailleurs payer par PayPal. C’est donc une bonne chose de leur laisser le choix !
Mais que cela ne vous dispense pas de viser une accréditation PCI-DSS (Payment Card Industry Data Security Standard).
La conformité à la norme PCI-DSS exige que votre site Web garantisse l’intégrité des données financières de vos clients et effectue un contrôle d’accès renforcé sur l’ensemble de ses pages.
Utilisez un logiciel antifraude avec géolocalisation
Le piratage informatique ne connaît pas de frontières.
Lorsque les données d’une carte de paiement sont volées quelque part, elles peuvent être envoyées par voie électronique à l’autre bout du monde et utilisées pour frauder en ligne.
Le site sur lequel le cybermalfaiteur passe sa « fausse commande » envoie les marchandises, mais c’est une opération « à perte » pour le vendeur. Lorsque les détenteurs des cartes volées se retournent vers leur banque à chaque prélèvement indu, l’entreprise est prélevée par la banque du montant de chaque vente (« ce que l’on appelle le chargeback en anglais ») à titre de dédommagement pour les victimes des arnaques. En plus du manque à gagner, la DERNIÈRE chose que l’entreprise peut souhaiter est d’être perçue par les cyberfraudeurs comme une « proie facile ».
Les outils antifraude avec géolocalisation offrent un bon moyen de contrer ce type de problèmes. Ces outils attribuent en effet un « score de fraude en temps réel » qui permet à tout cybermarchand d’évaluer le niveau de risque d’une transaction.
L’algorithme étudie plusieurs critères autour de l’adresse IP d’où provient la commande et prend en compte les méthodes de dissimulation les plus répandues, comme l’utilisation de proxies, qu’il compare avec sa base de données de milliards de transactions afin d’établir un score de risque de fraude unifié.
En cas d’incertitude, cela vous permet de rembourser la commande ou de procéder manuellement à des vérifications complémentaires.
Ce qui m’amène tout naturellement à aborder la question des...
... procédures et règles de sécurité manuelles
Ne sous-estimez jamais l’efficacité des bonnes vieilles procédures manuelles.
Reprenons l’exemple donné plus haut : vous recevez une commande avec un score de risque élevé, mais qui vous paraît en ordre.
Comment procédez-vous ? Vous pourriez choisir de a) faire confiance à votre instinct ou b) mener votre enquête.
Je pencherais pour la seconde option. Et c’est là que vos règles et procédures de sécurité interviennent.
Même si l’évocation des termes « processus » et « procédures » déclenche chez vous une irrépressible envie de bâiller, la réalité peut être aussi simple qu’un appel passé au client au numéro de téléphone indiqué. Dans le cas où ce client n’était pas disponible, vous pourriez lui envoyer un e-mail lui demandant de produire une ou deux pièces d’identité.
À vous de trouver la solution la mieux adaptée à votre situation.
Vous pouvez également étendre vos procédures aux mots de passe et aux règles de sécurité physique (en cas de perte ou de vol d’équipements comme les ordinateurs portables utilisés pour accéder à votre système).
Sécurité multiniveaux
En l’absence de recette miracle pour sécuriser votre site, nous vous invitons à étudier plusieurs niveaux de sécurité.
Vous pourriez commencer avec un pare-feu. Suivant votre budget, vous pourriez utiliser un pare-feu physique ou un pare-feu d’applications Web. Ces pare-feu offrent au moins une première ligne de défense contre les attaques les plus connues, comme l’injection de SQL ou le cross-site scripting.
Vous pouvez également optimiser votre site à l’aide d’un réseau de diffusion de contenus (CDN). Un CDN regroupe plusieurs serveurs géographiquement dispersés et stocke plusieurs copies des pages de votre site Web.
Sur le plan de la sécurité, l’un des avantages du CDN est « d’apprendre » à reconnaître le trafic malveillant pour l’empêcher de nuire sur votre site.
Autre avantage : le CDN peut également prévenir les attaques de déni de service distribué (DDoS).
Pour empêcher les DDoS sur un serveur, vous pouvez également utiliser un logiciel Open source gratuit.
Conclusion
La sécurité a un prix qui reste néanmoins inférieur au coût à payer en cas de piratage.
Si en définitive, il n’existe aucune solution unifiée pour sécuriser entièrement un site marchand, la meilleure solution est celle qui tient compte de plusieurs paramètres : le choix du bon logiciel et de la bonne plateforme d’hébergement, mais aussi la régularité des mises à jour et des correctifs de sécurité.
Tenez-vous prêt à faire face en cas de mauvaises nouvelles. Effectuez des sauvegardes automatiques de votre site.
Envisagez une approche multiniveaux basée sur plusieurs outils. Et n’oubliez pas le rôle stratégique des bonnes vieilles procédures écrites pour maintenir la sécurité sur votre site.
Partager ce blog
Abonnez-vous à notre blog
Vous pouvez télécharger une copie de notre politique de confidentialité ici.
Politique de confidentialité de GlobalSign - Version 3.1
Le présent document est une traduction de la version originale en anglais hébergée à l'adresse www.globalsign.com/en/repository. En cas de divergence entre les interprétations d'une version traduite et de la version originale en anglais, cette dernière prévaudra.
Mise à jour au 5 juin 2018
GlobalSign respecte votre vie privée.Cette Politique de confidentialité vise à vous informer sur les pratiques de confidentialité appliquées par GlobalSign en rapport avec ses sites Web, ses produits et ses services. Elle ne s’applique pas aux services GlobalSign proposés directement ou indirectement par nos partenaires, revendeurs ou d’autres tiers, ni à d’autres services ou sites Web de tiers. Nous vous invitons donc à prendre connaissance des politiques de confidentialité de ces parties.
Cette Politique de confidentialité vous informe sur les données collectées, leur utilisation, leur lieu de traitement, les modalités d’opt-out pour nous signaler votre opposition à leur utilisation, les mesures de sécurité concernant le stockage de vos données, et les modalités de correction, de réactualisation ou de suppression de vos données.
1. Responsable du traitement des données
Le responsable du traitement des données pour les données personnelles collectées au sein de l’UE est GMO GlobalSign, Ltd., dont le siège social est sis Springfield House, Sandling Road, Maidstone, Kent, ME14 2LP au Royaume-Uni. Toutes les questions ou demandes concernant le traitement des données peuvent être adressées à : [email protected].
2. Collecte de renseignements personnels
Nous recueillons des informations sur vous lorsque vous (i) passez une commande pour un produit de certificat numérique ou tout autre produit ou service GlobalSign, (ii) utilisez notre outil d’inventaire de certificats (CIT) pour analyser vos serveurs et y rechercher des certificats numériques, (iii) demandez l’accès à nos plateformes de services managés, (iv) vous abonnez à notre newsletter, (v) utilisez notre service de tchat en ligne, (vi) téléchargez un livre blanc, (vii) vous inscrivez à un webinaire, (viii) répondez à un sondage, (ix) remplissez un formulaire de demande d’assistance avant/après-vente, (x) ouvrez un ticket de support ou (xi) utilisez les réseaux sociaux.
GlobalSign est une Autorité de Certification (AC) et un tiers de confiance. Pour que nous puissions répondre aux demandes de certificats numériques ou d’autres produits ou services, il est possible que l’on vous demande de saisir votre nom, votre adresse électronique, votre adresse physique, votre numéro de téléphone, les informations concernant votre carte bancaire et/ou votre structure, ou d’autres renseignements personnels.
- Coordonnées de contact telles que votre nom, votre adresse électronique, votre adresse physique et votre numéro de téléphone.
- Renseignements facilitant nos relations avec vous : les types de produits et services susceptibles de vous intéresser, vos préférences de contact et de produits, vos langues, vos préférences en matière de marketing et les données démographiques vous concernant.
- Informations transactionnelles sur vos modes d’interactions avec nous : achats, demandes de renseignements, informations sur les comptes clients, renseignements sur la facturation et les cartes de paiements, renseignements sur votre entreprise/entité, historique des transactions et de la correspondance, et renseignements sur la façon dont vous utilisez et interagissez avec notre site Web.
Nous pouvons affiner et acquérir des informations supplémentaires sur vous par l’intermédiaire de sources tierces, de votre historique de navigation et d’achats, etc. afin de traiter les demandes de certificats et d’améliorer nos services.
Nous pouvons compléter les informations dont nous disposons sur vous et en acquérir de nouvelles à l’aide de sources de données externes (publiques et privées) comme les bases de données de tiers et les organismes publics. Nous pouvons aussi utiliser votre historique de navigation et d'achats pour traiter vos commandes de certificats et améliorer nos services.
3. Finalité du Traitement
Vos données personnelles seront utilisées aux fins spécifiées ci-après :
3.1 Traitement de vos demandes de produits et services GlobalSign
Nous utilisons vos informations pour vous fournir nos produits et services, traiter vos commandes et effectuer certaines transactions commerciales comme la facturation.
3.2 Amélioration du service client
Vos informations nous permettent de répondre plus efficacement à vos demandes d’avant-vente et d’après-vente, et d’assurer le support technique.
3.3 Envoi de préavis de renouvellement
L’adresse e-mail que vous communiquez pour le traitement des commandes peut être utilisée pour l’envoi de préavis de renouvellement relatifs à un certificat numérique arrivant à expiration.
3.4 Envoi de mises à jour de services
Sous réserve de votre consentement, lorsque la loi l’exige, nous pouvons par ailleurs vous envoyer de nouvelles mises à jour de services et de sécurité, des informations sur les produits ou les services connexes, et des rapports de situation sur les créneaux réservés à la maintenance ou les plages de disponibilité des services.
3.5 Information sur nos produits et services
Sous réserve de votre consentement, lorsque la loi l’exige, nous pouvons être amenés à vous envoyer périodiquement des newsletters de la société, des informations sur nos produits et services susceptibles de vous intéresser en fonction : des autres produits et services GlobalSign que vous utilisez?; de votre participation à des événements marketing sponsorisés par GlobalSign (webinaires...)?; de vos demandes de renseignements sur des produits et services similaires?; des données que vous partagez sur les réseaux sociaux comme LinkedIn ou Facebook.
4. Base juridique du traitement des données personnelles
Nous traiterons vos données en vue de l’exécution du contrat qui nous lie à vous ou dans l’intérêt légitime de GlobalSign, c’est-à-dire nos activités commerciales habituelles. Dans les autres cas, nous solliciterons votre consentement pour le traitement des données personnelles que vous pourriez nous communiquer.
Lorsque, pour certains produits et services, vous refusez de nous transmettre vos données personnelles, cela peut nous empêcher d’exécuter la commande relative à ces produits ou services. De même, si vous refusez que nous utilisions vos données personnelles, si vous revenez sur votre consentement ou si vous choisissez de ne pas recevoir d’informations sur les produits et services GlobalSign, vous risquez de ne pas être informé des préavis de renouvellement, des newsletters périodiques de l’entreprise, des nouvelles mises à jour de services et de sécurité, des informations relatives aux produits ou services, et des rapports de situation sur les créneaux réservés à la maintenance ou les plages de disponibilité des services. Veuillez vous référer à la section 10 ci-dessous pour savoir comment procéder pour retirer votre consentement.
5. Utilisation de cookies et de pixels invisibles
Le portail GCC (GlobalSign Certificate Center) utilise des cookies pour exécuter ses services. Des cookies peuvent être utilisés lorsque vous vous connectez au portail GCC, que vous achetez des produits ou que vous utilisez certaines fonctions GCC.
En outre, comme la plupart des entreprises en ligne, GlobalSign utilise des cookies et des pixels invisibles sur ses sites Web et dans ses e-mails marketing pour recueillir et analyser certaines données personnelles comme l’adresse IP du visiteur, son type de navigateur, le Fournisseur d’Accès Internet (FAI), la page de référence, le système d’exploitation, la date/l’heure et des données géographiques de base.
Nous utilisons des cookies et des pixels invisibles pour compiler des données consolidées sur le trafic et les interactions avec le site afin d’évaluer l’efficacité de nos communications et d’offrir à terme une expérience de navigation améliorée et de meilleurs outils. Nous pouvons faire appel à des fournisseurs de services tiers pour nous aider à mieux comprendre les visiteurs de notre site. Ces fournisseurs de services ne sont pas autorisés à utiliser les renseignements recueillis en notre nom, sauf pour nous aider dans l’exercice de nos activités et à des fins d’amélioration.
Les visiteurs qui accèdent à notre site et nos services pour la première fois peuvent indiquer ne pas souhaiter que des cookies de suivi soient installés dans leur navigateur. Nous utilisons un cookie d’exclusion (opt-out) pour reconnaître les utilisateurs qui ont fait ce choix. Les cookies concernant les performances du site, l’amélioration de l’expérience et le marketing sont programmés pour ne pas s’exécuter dès lors qu’un cookie d’exclusion se trouve dans le navigateur d’un visiteur. Les cookies d’exclusion restent tant que l’internaute ne les a pas effacés de son navigateur, ou jusqu’à leur expiration un an après la date fixée. Après un an, l’internaute doit réitérer son choix pour que les cookies de suivi d’activité soient désactivés.
Vous trouverez plus d’informations sur l’utilisation des cookies par GlobalSign sur notre site Web à l’adresse https://www.globalsign.com/en/repository/cookie-policy/.
6. Utilisation de journaux d’applications à des fins de diagnostic ou de collecte d’informations statistiques
Nos serveurs enregistrent automatiquement les informations créées lorsque vous utilisez nos services («?Application Log Data?»). Les données du journal d’application peuvent comprendre les informations suivantes : votre adresse IP, type de navigateur, système d’exploitation, page Web de référence, pages consultées, localisation, opérateur mobile, identifiants des équipements utilisés et de l’application, mots clés utilisés pour la recherche et informations sur les cookies. Nous utilisons ces informations pour diagnostiquer et améliorer nos services. Sauf indication contraire au paragraphe 8 (« Conservation des données »), nous supprimerons les données du journal d’application ou supprimerons tout identificateur de compte (votre nom d’utilisateur, adresse IP complète ou adresse électronique) après 12 mois.
7. Partage d’informations et transferts de données
Nous ne vendons pas et ne commercialisons pas vos données personnelles à des tiers.
Au sein de GlobalSign : GlobalSign est une entreprise internationale avec des processus métiers et des systèmes techniques répartis dans plusieurs pays. À ce titre, nous pouvons être amenés à communiquer des informations vous concernant aux entités de notre Groupe et à les transférer vers les pays où nous exerçons nos activités en lien avec les utilisations identifiées au paragraphe 3 des présentes et en conformité avec cette Politique de confidentialité. Dans les cas où les données personnelles sont transférées vers des pays qui n’offrent pas un niveau de protection adéquat au regard de la législation européenne, nous nous assurons que vos données sont protégées et, à cet effet, nous faisons signer à chacune des sociétés de notre groupe un contrat reprenant les clauses contractuelles types dont un exemplaire peut être obtenu sur demande adressée aux coordonnées figurant au paragraphe 15 des présentes.
Tiers de confiance : nous pouvons également transférer vos données personnelles à des tiers de confiance et à nos partenaires aux fins précisées au paragraphe 3. GlobalSign fait appel à un prestataire extérieur pour traiter les paiements par carte bancaire, et transmet les numéros de cartes de paiement et les données financières d’identification directement au prestataire chargé de traiter les paiements par carte.
En cas de partage des données avec ces tiers, ceux-ci sont tenus de se conformer aux conditions de confidentialité figurant dans nos Accords sur le traitement des données. Ces prestataires ont alors interdiction de vendre, négocier, utiliser, commercialiser ou diffuser les données des clients de GlobalSign.
Conformément à la loi : nous pouvons également être amenés à divulguer vos informations si nous le pensons nécessaire pour nous conformer à la loi ou pour protéger nos droits, nos biens ou notre sécurité.
Nous avons pour règle d’aviser nos clients des demandes de communication de leurs données aux autorités de police, sauf interdiction statutaire ou posée par ordonnance. Lorsque des agents de la force publique estiment que le fait d’aviser nos clients risque de compromettre une enquête, ils doivent obtenir une ordonnance d’un tribunal ou tout autre acte judiciaire qui interdit expressément la notification d’un membre — c’est le cas des ordonnances délivrées en vertu de l’Article § 2705 (b) du Code des États-Unis, Titre 18 (18 U.S.C.) sur les crimes et procédures pénales.
Fusions et acquisitions : Nous pouvons également communiquer vos informations personnelles aux tiers susceptibles d’assurer l’exploitation de notre site ou d’acquérir tout ou partie de nos actifs, y compris vos informations personnelles. Nous utiliserons les coordonnées que vous nous aurez communiquées pour vous contacter si la personne contrôlant vos informations devait changer.
8. Transferts internationaux
Les tierces parties, filiales et sociétés affiliées auxquelles vos données personnelles sont susceptibles d’être divulguées peuvent être établies n’importe où dans le monde. Des informations sont alors susceptibles d’être envoyées vers des pays dont les normes de protection de la vie privée diffèrent de celles de votre pays de résidence. Dans de tels cas, nous prenons les mesures nécessaires pour nous assurer que vos informations personnelles bénéficient d'un niveau de protection adéquat, avec notamment la mise en place des clauses contractuelles types de l'UE pour protéger vos informations personnelles.
9. Conservation des données
Les informations personnelles que nous recueillons ne sont pas conservées au-delà de la durée maximale nécessaire à la poursuite des fins énoncées au paragraphe 2, ou pendant une période qui serait spécifiquement imposée à GlobalSign par la loi ou la réglementation.
Pour répondre aux exigences d’audit des AC publiques, comme précisé dans la Déclaration des pratiques de certification de GlobalSign, les données personnelles utilisées pour procéder à la vérification de certains types d’applications de certification numérique seront conservées au moins 10 ans (suivant la catégorie de produit ou de service), et pourront être conservées sous forme physique ou électronique. Pour plus de détails, veuillez vous référer à la Déclaration des pratiques de certification de GlobalSign.
Une fois la période de conservation échue, GlobalSign supprime de manière sécurisée ou rend anonyme vos informations personnelles pour empêcher leur perte, vol ou détournement, ou tout accès non autorisé à ces données.
10. Refus (opt-out) et retrait du consentement
Si, à un moment où un autre, vous ne souhaitez plus recevoir d’e-mails de notre part, vous trouverez au bas de chacun de nos e-mails les instructions pour vous désabonner.
Les avis de renouvellement peuvent être annulés pour chaque certificat numérique. Vous devez pour cela vous connecter à votre compte GCC (GlobalSign Certificate Center) et désactiver les avis de renouvellement.
Les préférences de communication par e-mail pour les informations en rapport avec et/ou collectées au travers de l’outil d’inventaire de certificats (CIT) peuvent être mises à jour et modifiées dans l’outil CIT.
GlobalSign traite vos données personnelles sur la base de votre consentement. Vous pouvez revenir à tout moment sur votre consentement via notre centre de préférence accessible à cette adresse https://downloads.globalsign.com/acton/media/2674/connexion-au-centre-de-preference ou en nous contactant à l’une des adresses indiquées au paragraphe 15.
11. Vos droits
Il est de votre responsabilité de transmettre à GlobalSign des informations personnelles exactes, correctes, actuelles et complètes. Il vous appartient également de maintenir et d’actualiser rapidement ces informations pour qu’elles restent exactes, correctes, actuelles et complètes.
Vous disposez d’un droit d’accès et de modification de vos données personnelles stockées dans les systèmes GlobalSign. Vous pouvez exercer vos droits en nous contactant par écrit. Nous vous demanderons de présenter une pièce d’identité pour vérifier votre authenticité en tant que personne concernée. Nous déploierons des efforts raisonnables pour répondre à votre demande et la traiter conformément à la loi.
Dans la mesure de ce qui est permis par la loi applicable, vous pouvez avoir le droit de demander l'effacement de vos renseignements personnels et la limitation du traitement tel qu'il s'applique à vous, de vous opposer à leur traitement et d’exercer votre droit à la portabilité des données. Vous pouvez également avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle.
Si les informations que vous nous communiquez sont fausses, inexactes, obsolètes ou incomplètes, ou si nous avons des motifs raisonnables de soupçonner que ces informations sont fausses, inexactes, obsolètes ou incomplètes, nous sommes en droit de suspendre ou de résilier votre compte, et de refuser toute utilisation actuelle ou ultérieure de nos services.
12. Moyens mis en œuvre pour protéger vos informations
Nous mettons en œuvre diverses mesures de sécurité pour garantir la sécurité de vos données personnelles lorsque vous passez une commande, saisissez ou soumettez des données personnelles, ou lorsque vous accédez à vos données personnelles. Toutes les informations sensibles et relatives à vos paiements par carte bancaire sont transmises via SSL (Secure Socket Layer).
Après une transaction, les renseignements concernant votre transaction sont conservés au dossier conformément aux exigences d’audit et pour faciliter les renouvellements. Nous ne conservons aucune information relative aux cartes bancaires.
13. Législations applicables
GlobalSign s’engage à protéger les informations personnelles que lui transmettent les demandeurs de services de certification publique et les abonnés à ses services. GlobalSign déclare respecter pleinement tous les droits établis et énoncés dans les lois et réglementations de l’Union européenne et des Etats membres :
- la directive 95/46 CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,? et le règlement UE 2016/679 qui remplace ladite directive sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre circulation de ces données (Règlement général de l'UE sur la protection des données) ; et
- des dispositions de la DPC de GlobalSign.
14. Modifications de notre Politique de confidentialité
Si nous apportons des modifications substantielles à notre Politique de confidentialité, nos clients seront informés par e-mail de la disponibilité d’une nouvelle version avec un lien vers celle-ci.
15. Nous contacter
Pour toutes vos demandes ou questions au sujet de notre Politique de confidentialité, voici les coordonnées auxquelles nous contacter :
https://support.globalsign.com/
https://www.globalsign.com/en/company/contact/support/
https://jp.globalsign.com/support/
ou
Deputy Data Protection Officer
GMO GlobalSign, Ltd.
Springfield House Sandling Road,
Maidstone, Kent ME 14 2LP
Royaume-Uni
16. Nos bureaux
GMO GlobalSign K.K., Tokyo, Japon
GMO GlobalSign Ltd., Maidstone, Kent, Royaume-Uni
GMO GlobalSign NV/SA, Louvain, Belgique
GMO GlobalSign, Inc., Portsmouth, NH, États-Unis
GMO GlobalSign Russia LLC, Moscou, Russie
GMO GlobalSign Pte. Ltd, Anson, Singapour
GMO GlobalSign Certificate Services Pvt. Ltd., Delhi, Inde
GlobalSign China Co., Ltd., Shanghai, Chine
GMO GlobalSign Inc., Manila, Philippines
GMO GlobalSign FZ-LLC, Dubai, EAU
Tweets
Suivez-nous !
