Dernière mise à jour :
Note : La version anglaise a été mise à jour depuis sa traduction () Voir en anglais
La politique de confidentialité de Let’s Encrypt décrit la manière dont nous recueillons, utilisons et divulguons vos informations dans trois contextes différents :
- Lorsque, en tant que partie utilisatrice, vous visitez un site web sécurisé par HTTPS qui utilise un certificat de Let’s Encrypt,
- Lorsque vous êtes un abonné, c’est-à-dire lorsque vous demandez et utilisez des certificats de Let’s Encrypt,
- Lorsque vous êtes un visiteur du site web Let’s Encrypt, du forum de discussion communautaire, d’autres pages web sous letsencrypt.org et de sites de médias sociaux tiers sur lesquels Let’s Encrypt gère un compte.
Let’s Encrypt est un service fourni par Internet Security Research Group, une société d’utilité publique à but non lucratif de Californie (États-Unis).
Partie utilisatrice
Lorsque vous utilisez un site web HTTPS ou un autre service TLS avec un certificat Let’s Encrypt, votre navigateur (ou client TLS) peut interroger Let’s Encrypt pour vérifier si le certificat a été révoqué (“requête OCSP” : Protocole de vérification de certificat en ligne). Si votre navigateur effectue une demande OCSP, nos serveurs enregistreront automatiquement votre adresse IP, votre navigateur et votre système d’exploitation dans des fichiers journaux temporaires du serveur. Nous n’utilisons pas les données des demandes OCSP pour établir des profils ou identifier des personnes. Les journaux temporaires du serveur sont utilisés à des fins opérationnelles uniquement et sont normalement supprimés en moins de sept jours. Nous pouvons conserver un sous-ensemble de journaux de serveurs pendant des périodes plus longues afin d’enquêter sur les défaillances ou les abus de logiciels. Si nous le faisons, nous supprimerons tous les journaux stockés lorsque nous aurons terminé notre enquête. Nous pouvons également calculer, conserver et publier des informations globales à partir des journaux de serveur, comme les certificats qui génèrent le plus grand volume de demandes. Nous nous efforcerons toujours de faire en sorte que ces ensembles de données ne contiennent pas d’informations sur les activités d’utilisateurs ou de systèmes identifiables.
Abonné
Si vous êtes un abonné, vous demandez à Let’s Encrypt un certificat de confiance destiné à attester publiquement que vous contrôlez un ou plusieurs noms de domaine accessibles sur Internet. Dans le cadre du processus visant à prouver ce contrôle, Let’s Encrypt recueillera diverses informations relatives à l’authentification et à la gestion des certificats. Ces informations comprennent les adresses IP à partir desquelles vous accédez au service Let’s Encrypt ; toutes les adresses IP résolues pour tous les noms de domaine demandés ; les informations du serveur liées à toutes les demandes de validation ; les journaux complets de toutes les demandes HTTP / ACME (Environnement de Gestion Automatique de Certificat) entrantes, toutes les demandes de validation sortantes ; et les informations envoyées par ou déduites de votre logiciel client. Nous conserverons ces informations pendant un minimum de sept ans, conformément aux exigences du programme “Trusted Root”. Ces informations seront conservées pendant un maximum de dix ans.
Nous devons être en mesure de démontrer au public, y compris ceux qui comptent sur la fiabilité de nos certificats, que nos services fonctionnent comme prévu. Par conséquent, nous pouvons être dans l’incapacité de supprimer des informations, y compris les adresses IP. Ces informations peuvent être rendues publiques de plusieurs façons, notamment par le biais d’API publiques, de référentiels publics et/ou de discussions publiques.
Vous pouvez avoir la possibilité de fournir des informations de contact, telles que votre adresse électronique, à des fins de service et de récupération du compte. Vos coordonnées ne seront pas rendues publiques et ne seront partagées qu’en vertu de la section “Application de la loi et circonstances atténuantes” ci-dessous. En fournissant votre adresse électronique, vous acceptez de recevoir de notre part des courriers électroniques relatifs à nos services. Vous pouvez vous désinscrire des courriers électroniques relatifs aux services à tout moment en cliquant sur le lien “désinscription” figurant au bas de nos courriers électroniques ou en nous contactant à l’adresse security@letsencrypt.org. Nous n’utiliserons pas vos coordonnées à des fins de marketing ou de promotion.
Vous devrez peut-être télécharger le logiciel client à partir d’un dépôt tel que ceux gérés par Debian, Ubuntu, Red Hat ou Github. Votre interaction avec un tel dépôt de logiciels est régie par la politique de confidentialité et/ou les conditions d’utilisation de ce dépôt.
Visiteur
Lorsque vous naviguez sur le site web de Let’s Encrypt, vous avez la possibilité de faire un don. Les dons sont traités par nos partenaires de paiement de confiance, notamment DonorBox, Stripe, Shopify, PayPal, The Giving Block et Gemini, en fonction de la méthode de paiement choisie, et stockés dans la base de données Salesforce de l’ARS. Nous recueillons votre nom et votre adresse électronique lorsque vous faites un don. Nous n’utiliserons pas votre adresse électronique pour vous contacter sans votre consentement, sauf si nous estimons que cela est nécessaire pour résoudre un problème lié à un don particulier. Vos interactions avec DonorBox, Stripe, PayPal, Shopify, The Giving Block, Gemini, SHIPHERO, Salesforce, et Sage Intacct sont régies par leurs politiques de confidentialité respectives. Nous ne recueillons ni ne conservons aucune information sur les cartes de crédit ou les informations bancaires liées aux dons. Nos partenaires d’exécution des expéditions sont Shopify et SHIPHERO.
Vous pouvez avoir la possibilité de fournir votre adresse électronique pour recevoir des communications relatives aux projets de l’EIGS par le biais d’une inscription sur un site web de l’EIGS et d’autres documents de marketing. Toute communication délivrée via MailChimp ou Salesforce et vos interactions avec MailChimp et Salesforce sont régies par leurs politiques de confidentialité. Nous pouvons occasionnellement utiliser votre adresse électronique pour envoyer des communications personnalisées liées à Let’s Encrypt. Vous pouvez demander que votre adresse électronique soit retirée de notre liste en vous désinscrivant via MailChimp ou en nous envoyant un courriel à press@letsencrypt.org.
Si vous vous inscrivez pour utiliser le forum d’assistance communautaire de Let’s Encrypt, les informations personnelles que vous fournissez et vos actions sur ce forum sont régies par la politique de confidentialité de notre fournisseur d’hébergement et de logiciels pour le forum, Civilized Discourse Construction Kit. Nous ne recueillons ni ne conservons d’informations personnelles dans le cadre de notre offre de ce forum d’assistance.
Nous ne vendons pas vos données ou informations
Nous ne vendons pas vos données ou informations. Cela comprend les données et les informations de la partie utilisatrice, de l’abonné et du visiteur.
Demandes des forces de l’ordre et Circonstances atténuantes
Dans la mesure où nous en disposons, nous pouvons divulguer des informations personnelles identifiables vous concernant à des tiers dans des circonstances limitées. Ces circonstances comprennent les cas où nous avons votre consentement ou lorsque nous croyons de bonne foi que la loi l’exige, par exemple en vertu d’une citation à comparaître ou d’une autre ordonnance judiciaire ou administrative. Nous pouvons également divulguer des informations relatives au recouvrement des comptes lorsque nous pensons de bonne foi que cela est nécessaire pour éviter une atteinte à la vie, un préjudice corporel, un dommage matériel ou un préjudice financier important.
Si la loi nous oblige à divulguer les informations que vous avez fournies, nous essaierons de vous avertir au préalable (sauf si cela nous est interdit ou si cela serait futile) qu’une demande d’accès à vos informations a été faite afin de vous donner la possibilité de vous opposer à la divulgation. Nous nous efforcerons de fournir cet avis par tout moyen raisonnablement possible. Si vous ne contestez pas la demande de divulgation, nous pouvons être légalement tenus de communiquer vos informations.
En outre, nous nous réservons le droit, à notre seule discrétion, de nous opposer de manière indépendante à certaines demandes (d’accès à des informations sur les utilisateurs de nos produits et technologies) que nous jugeons abusives.
Quels sont les droits des parties prenantes, des abonnés et des visiteurs de l’Espace économique européen en vertu de la RGPD, et comment puis-je les exercer ?
Nous traitons les données personnelles comme décrit dans cette politique de confidentialité. La finalité et la base légale du traitement des informations sont les suivantes :
Objectif : Fournir des informations sur l’état des certificats (OCSP : Protocole de vérification de certificat en ligne)
Base légale : Intérêts légitimes
Informations supplémentaires : Nous recueillons et traitons les informations des parties utilisatrices afin de fournir de manière fiable des informations sur l’état des certificats.
Objectif : Fournir des services de délivrance et de gestion de certificats
Base légale : Contrat, Intérêts légitimes
Informations supplémentaires : Nous recueillons et traitons les informations des Abonnés afin de fournir des services fiables et sécurisés d’émission et de gestion de certificats, et de démontrer au public que nos services fonctionnent comme prévu.
Objectif : Fournir des informations aux visiteurs
Base légale : Consentement, Intérêts légitimes
Informations supplémentaires : Nous recueillons et traitons les informations des Visiteurs afin de fournir des informations via le Web et le courrier électronique de manière fiable et efficace.
**Objectif : **Traitement des dons et des demandes de parrainage
Base légale : Intérêts légitimes
Informations supplémentaires : Nous recueillons et traitons des informations afin de traiter et de faciliter les dons.
Objectif : Obligations légales et circonstances atténuantes
Base légale : Obligation légale, intérêts légitimes
Informations supplémentaires : Nous pouvons collecter et traiter des informations afin de nous conformer à des obligations légales et lorsque nous pensons de bonne foi qu’il est nécessaire de prévenir toute atteinte à la vie, tout préjudice personnel, tout dommage matériel ou tout préjudice financier important.
Veuillez noter qu’il se peut que nous ne soyons pas en mesure de supprimer des informations, y compris les adresses IP, car ces informations sont nécessaires pour que d’autres puissent déterminer la fiabilité de nos certificats. Dans certains cas, nous pouvons traiter des données personnelles en raison d’une obligation légale ou pour protéger vos intérêts vitaux ou ceux d’une autre personne.
Vos données personnelles peuvent être collectées depuis ou transférées vers des juridictions où nous et nos prestataires de services stockons ou traitons des données, y compris les États-Unis. Ces juridictions peuvent ne pas offrir le même niveau de protection des données que votre juridiction, y compris l’EEE. Nous avons pris des mesures pour nous assurer que nos prestataires de services offrent un niveau de protection adéquat des données personnelles des résidents de l’EEE, notamment en concluant des accords de traitement des données utilisant les Clauses contractuelles types approuvées par la Commission européenne, ou en utilisant d’autres garanties approuvées par la Commission européenne. Vous avez le droit d’obtenir des détails sur le mécanisme de transfert de vos informations personnelles en dehors de l’UE en nous envoyant un courriel aux coordonnées ci-dessous.
Les personnes situées dans l’Espace économique européen (EEE) ont certains droits concernant leurs informations personnelles, notamment le droit d’accéder, de corriger ou de supprimer les données personnelles que nous traitons par le biais de votre utilisation de nos sites et services. Si vous êtes un individu qui est une partie adverse, un abonné ou un visiteur basé dans l’EEE, vous pouvez :
-
Demandez un rapport sur vos données personnelles en nous envoyant un courriel à security@letsencrypt.org. Ce rapport comprendra les données personnelles dont nous disposons à votre sujet, fournies dans un format structuré, couramment utilisé et portable. Veuillez noter que nous pouvons vous demander des informations supplémentaires pour vérifier votre identité avant de divulguer toute information.
-
Demandez que vos informations soient corrigées ou supprimées en nous contactant à l’adresse security@letsencrypt.org.
-
S’opposer à ce que nous traitions vos informations. Vous pouvez nous demander de cesser d’utiliser vos informations, y compris lorsque nous les utilisons pour vous envoyer des courriels de service. Vous pouvez retirer votre consentement à recevoir des courriels de service à tout moment en cliquant sur le lien “unsubscribe” qui se trouve dans les courriels de Let’s Encrypt.
-
Se plaindre auprès d’un autorité de réglementation. Si vous êtes basé dans l’EEE et que vous pensez que nous n’avons pas respecté les lois sur la protection des données, vous avez le droit de déposer une plainte auprès de votre autorité de surveillance locale.
Pour plus d’informations, ou pour signaler un problème de confidentialité, veuillez contacter : security@letsencrypt.org.