Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

DigiCert

Que fait DigiCert ?

DigiCert est une grande autorité de certification américaine qui émet les certificats SSL/TLS, de signature de code, de signature de document et eIDAS qualifiés utilisés par de nombreux sites européens. Les certificats eux-mêmes sont entièrement côté serveur et ne posent pas de problème de consentement. Cependant, les navigateurs contactent les répondeurs OCSP et CRL de DigiCert pour vérifier le statut de révocation, et les sites affichant le widget optionnel DigiCert Smart Seal embarquent un JavaScript qui dépose des cookies et envoie des requêtes vers DigiCert, ce qui déclenche les obligations ePrivacy et de transfert.

Qu''est-ce que DigiCert

DigiCert est l''une des plus grandes autorités de certification mondiales, émettant les certificats SSL/TLS, EV (Extended Validation), de signature de code, de signature de document et eIDAS qualifiés utilisés par les entreprises en Europe. Elle exploite aussi le badge de confiance Smart Seal que certains sites affichent pour communiquer leur posture de sécurité.

Quelles données DigiCert traite

DigiCert traite les données d''achat de certificat (organisation, contact, facturation) et, à l''émission, les informations du sujet du certificat deviennent publiques via les logs de Certificate Transparency. À l''exécution, le navigateur effectue des vérifications OCSP ou CRL auprès des serveurs DigiCert ; ces requêtes révèlent l''IP du visiteur et le numéro de série du certificat. Si le Smart Seal est embarqué, il charge du JavaScript qui interroge DigiCert, dépose des cookies et transmet le referrer.

Implications RGPD et ePrivacy

Les vérifications OCSP et CRL font partie du protocole TLS et sont nécessaires à la sécurité HTTPS ; elles reposent sur l''intérêt légitime et l''obligation légale de maintenir la sécurité des communications. Le Smart Seal est non essentiel et exige un consentement préalable au titre de l''art. 5(3) ePrivacy. DigiCert est sous-traitant pour les commandes de certificats et responsable pour l''analytique produit.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts et OCSP stapling

Les requêtes OCSP révèlent les destinations de navigation à DigiCert, basé aux États-Unis. Activer OCSP stapling sur votre serveur web (Nginx, Apache, IIS) permet au serveur de récupérer la réponse OCSP et de l''agrafer dans le handshake TLS, de sorte que le navigateur n''a pas besoin de contacter DigiCert directement. C''est une mesure simple d''amélioration de la vie privée qui ne nécessite pas de consentement utilisateur.

Le widget Smart Seal

Le DigiCert Smart Seal est un widget JavaScript qui affiche un badge de confiance et valide le certificat en temps réel. Il charge depuis seal.digicert.com, dépose des cookies et transmet les données de visite à DigiCert. Traitez-le comme un élément marketing non essentiel et conditionnez-le à votre CMP. Pour un badge sans tracking, utilisez une image statique.

Checklist de conformité pratique

1. Activer OCSP stapling sur votre serveur web. 2. Si vous affichez le Smart Seal, le bloquer derrière votre CMP. 3. Signer l''accord client et le DPA DigiCert. 4. Documenter DigiCert dans la notice de confidentialité. 5. Pour les certificats eIDAS qualifiés, privilégier des prestataires de services de confiance qualifiés (PSCQ) basés en UE. 6. Surveiller les logs Certificate Transparency pour les certificats émis sur votre domaine.

Categorie de consentement RGPD

Autre

Les sites web utilisant DigiCert doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (Art. 6(1)(f) GDPR) and legal obligation for OCSP/CRL revocation checking that is required for HTTPS security; Consent (Art. 6(1)(a) GDPR) for the optional Smart Seal trust widget loaded on the storefront

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, eIDAS (for qualified certificates), CA/B Forum baseline requirements

Considerations AIPD

L'usage principal de DigiCert (émission et révocation de certificats) pose peu de questions AIPD : les requêtes OCSP transmettent l'IP du visiteur et le numéro de série du certificat, traités par DigiCert pour des finalités de sécurité légitimes. Le widget optionnel Smart Seal charge un JavaScript qui dépose des cookies et transmet referrer et IP à DigiCert aux États-Unis pour le comptage d'impressions. Points clés : (1) les requêtes OCSP révèlent les destinations de navigation à DigiCert ; l'OCSP stapling peut atténuer cela ; (2) le Smart Seal est non essentiel et nécessite un consentement ; (3) les certificats qualifiés eIDAS peuvent passer par des prestataires de services de confiance qualifiés (PSCQ) basés en UE avec des conditions différentes ; (4) transfert US pour les données du Smart Seal. Une AIPD allégée suffit sauf en contexte très sensible.

Exemple de texte de consentement

Ce site utilise des certificats SSL DigiCert pour chiffrer votre connexion. Pour vérifier que le certificat n'a pas été révoqué, votre navigateur peut contacter les serveurs de DigiCert. Si vous voyez le badge DigiCert Smart Seal sur cette page, il dépose un cookie et partage vos données de visite avec DigiCert aux États-Unis ; nous le chargeons uniquement après votre consentement.

Details techniques

Methode de suiviCertificate Authority (CA) issuing SSL/TLS, code signing and document signing certificates. The optional Smart Seal widget loads JavaScript from seal.digicert.com that pings DigiCert servers and may set tracking cookies

Localisation des serveursDigiCert, Inc., Lehi, Utah, United States. Global OCSP and CRL responder network including European edges

Suivi sans cookie disponibleOui

Donnees transferees hors UEOCSP and CRL requests (which include the visitor's IP and the certificate identifier they are validating) reach DigiCert's global network. Order data, customer details, and Smart Seal events are stored at DigiCert in the United States. Transfers covered by Standard Contractual Clauses and EU-US Data Privacy Framework certification.

Domaines tiers contactes

digicert.comseal.digicert.comocsp.digicert.comcrl.digicert.comcacerts.digicert.comts-ocsp.ws.symantec.com

Cookies deposes

Nom	Type	Duree	Finalite
DC_VISITOR	Marketing / Analytics	1 year	Set by the optional DigiCert Smart Seal trust badge to count widget impressions and recognise returning visitors.
seal_session	Functional	Session	Maintains the Smart Seal validation session during a visit.
_dc_consent	Strictly necessary	1 year	Stores the visitor's consent status for the DigiCert Smart Seal widget on this site.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

DigiCert dépose-t-il des cookies chez mes visiteurs ?

Pas directement depuis le certificat. Seul le widget optionnel DigiCert Smart Seal, quand il est embarqué sur la page, dépose des cookies comme DC_VISITOR et seal_session, et envoie des requêtes aux serveurs DigiCert depuis le navigateur du visiteur.

Faut-il un consentement pour utiliser un SSL DigiCert ?

Non pour le certificat lui-même : le chiffrement HTTPS est une mesure de sécurité strictement nécessaire. Les vérifications OCSP/CRL reposent sur l'intérêt légitime ou l'obligation légale. Le widget de confiance Smart Seal est non essentiel et exige un consentement préalable au titre d'ePrivacy.

Quelle est la base légale pour OCSP et CRL ?

Intérêt légitime (art. 6(1)(f) RGPD) et obligation légale au titre de l'art. 32 RGPD d'assurer la sécurité du traitement, combinés aux exigences de référence du CA/Browser Forum. L'OCSP stapling réduit le flux de données personnelles.

Les données sont-elles transférées aux États-Unis ?

Oui pour OCSP, commandes de certificats et widget Smart Seal. DigiCert est basée aux États-Unis. Les transferts s'appuient sur les CCT 2021 et la certification au Data Privacy Framework UE-US.

Faut-il une AIPD pour DigiCert ?

Une AIPD allégée suffit pour un usage standard de certificat. Une évaluation plus détaillée est recommandée quand des certificats eIDAS qualifiés DigiCert sont utilisés pour des signatures à haut niveau de confiance. Pour le Smart Seal, documentez le dépôt de cookies et le transfert US.

Comment déployer DigiCert en conformité ?

Activer OCSP stapling, signer l'accord client et le DPA, mentionner DigiCert dans la notice de confidentialité comme sous-traitant, privilégier les PSCQ basés en UE pour les certificats eIDAS qualifiés, conditionner le Smart Seal à votre CMP et surveiller les logs Certificate Transparency.

Quelles alternatives basées en UE à DigiCert ?

AC européennes ou compatibles UE : Sectigo (Royaume-Uni/Roumanie), GlobalSign (Belgique à l'origine), Atos (France) pour les certificats eIDAS qualifiés, Buypass (Norvège) et SwissSign (Suisse, sous décision d'adéquation). Let's Encrypt (à but non lucratif, US) est gratuit et le choix par défaut pour la plupart des déploiements à faible trust.

Comment mettre à jour mes politiques de confidentialité et cookies ?

Dans la notice de confidentialité, nommez DigiCert comme sous-traitant pour les commandes de certificats et destinataire du trafic OCSP/CRL ; mentionnez le transfert US et la base légale. Si le Smart Seal est embarqué, ajoutez une entrée pour DC_VISITOR / seal_session dans la politique cookies avec finalité et durée, et faites un lien vers la déclaration de confidentialité de DigiCert.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min