Politique de protection des données

• Nom : Certifio
• Site : https://certif-io.com
• Email de contact : support@certif-io.com

Les données personnelles sont traitées exclusivement pour les finalités suivantes :

• gestion des comptes Institutions (authentification, habilitations) ;
• génération et signature de documents PDF (diplômes, attestations) ;
• vérification publique de l’authenticité des documents ;
• journalisation des opérations à des fins de sécurité et d’audit ;
• statistiques d’usage agrégées et anonymisées ;
• support technique et relation client.

Selon l’usage du Service, Certifio peut traiter notamment :

• données d’identification : nom, prénom, identifiant étudiant ;
• données académiques : promotion, type de diplôme ;
• données techniques : adresses IP, journaux de connexion, horodatages ;
• données contenues dans les documents transmis par l’Institution.

Les traitements reposent sur :

• l’exécution d’un contrat ou de mesures précontractuelles (article 6.1.b RGPD) ;
• l’obligation légale de sécurisation et de traçabilité (article 6.1.c) ;
• l’intérêt légitime de Certifio à assurer la sécurité du Service (article 6.1.f) ;
• le consentement lorsque requis (article 6.1.a).

Dans le cadre du Service :

• les Institutions agissent en qualité de responsables de traitement pour les données figurant dans les diplômes et documents émis ;
• Certifio agit principalement en qualité de sous-traitant au sens de l’article 28 du RGPD, pour le compte des Institutions ;
• pour les données liées à la navigation et à la vérification publique, Certifio agit comme responsable de traitement.

Les données sont accessibles uniquement :

• aux personnels habilités de Certifio ;
• aux Institutions concernées ;
• le cas échéant, aux sous-traitants techniques strictement nécessaires (hébergement, sécurité), soumis à des obligations contractuelles de confidentialité.

Par principe, les données sont hébergées et traitées au sein de l’Union européenne. En cas de transfert hors UE, Certifio s’engage à mettre en œuvre des garanties appropriées conformes aux articles 44 et suivants du RGPD.

Les données sont conservées :

• pendant la durée de la relation contractuelle avec l’Institution ;
• pour une durée maximale de 5 ans pour les journaux de sécurité et d’audit ;
• au-delà, uniquement sous forme anonymisée à des fins statistiques.

Certifio met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• chiffrement des communications (TLS) ;
• isolation des environnements ;
• contrôle strict des accès ;
• journalisation et supervision des opérations sensibles ;
• protection des clés cryptographiques.

10. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants :

• droit d’accès ;
• droit de rectification ;
• droit à l’effacement (« droit à l’oubli ») ;
• droit à la limitation du traitement ;
• droit d’opposition ;
• droit à la portabilité des données.

Ces droits peuvent être exercés en adressant une demande à : privacy@certif-io.com

11. Réclamations

En cas de difficulté, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, notamment la CNIL (France) – www.cnil.fr.

12. Modification de la politique

La présente politique peut être modifiée afin de tenir compte des évolutions légales, réglementaires ou techniques. La version applicable est celle publiée sur le site à la date de consultation.