Politique de confidentialité
Politique de confidentialité globale de VOVE ID
(Dernière mise à jour : 26 mars 2025)
Nous vous remercions d’avoir pris connaissance de la politique de confidentialité de VOVE ID. Cette politique complète explique comment VOVE ID (ci-après « nous ») collecte, utilise et protège les données personnelles à travers l’ensemble de nos services et plateformes. Elle couvre les pratiques de confidentialité concernant :
Utilisateurs finaux – les personnes dont l’identité est vérifiée via notre SDK ou API à la demande de l’un de nos clients professionnels (nos « Clients »).
Visiteurs du site web – les personnes visitant notre site internet ou utilisant nos ressources en ligne (y compris le suivi par cookies et les analyses).
Clients professionnels – les représentants et utilisateurs de nos Clients professionnels qui accèdent au tableau de bord et aux services VOVE ID (utilisateurs B2B).
Nous nous engageons à protéger vos données conformément au Règlement général sur la protection des données (RGPD) de l’UE et aux lois mondiales applicables en matière de confidentialité. Cette politique est conçue pour être facile à parcourir, avec des sections claires pour chaque catégorie d’utilisateur, et est rédigée dans un langage professionnel et accessible.
Responsable du traitement vs. Sous-traitant – Comprendre notre rôle : Dans le cadre de la fourniture de services de vérification d’identité à nos Clients, VOVE ID agit en tant que sous-traitant en traitant les données personnelles des Utilisateurs finaux pour le compte du Client (qui est le responsable du traitement décidant des finalités et des moyens du traitement). En d’autres termes, si vous vérifiez votre identité via VOVE ID, l’entreprise qui vous a dirigé vers notre service (notre Client) détermine pourquoi vos données sont traitées, et nous les traitons conformément à ses instructions. Cela signifie également que le Client doit disposer d’une base légale valide pour nous demander de vérifier votre identité et doit vous informer de la manière dont lui et VOVE ID traitent vos données. Pour d’autres interactions – par exemple lorsque vous visitez notre propre site web ou lorsque nous gérons le compte d’un Client – VOVE ID est le responsable du traitement de ces informations.
Veuillez noter : Si vous êtes un Utilisateur final en cours de vérification, assurez-vous de consulter la notice de confidentialité de l’entreprise qui a demandé la vérification (notre Client) en plus de cette politique.
La notice de confidentialité de cette entreprise expliquera ses finalités et bases légales pour la vérification de votre identité et comment exercer vos droits auprès d’elle. La présente politique VOVE ID explique comment nous traitons vos données dans le cadre de la fourniture de nos services à cette entreprise. Certaines sections de cette politique comprennent également des espaces réservés ou des notes qui peuvent être adaptés pour des intégrations clients spécifiques ou pour satisfaire à certaines exigences. Nous serons ravis de répondre à toute question spécifique à un client si nécessaire.
1. Définitions clés
Par souci de clarté, voici quelques termes clés utilisés dans la présente politique :
Données personnelles – toute information se rapportant à une personne physique identifiée ou identifiable (une « Personne concernée »). Cela inclut notamment des informations telles que le nom, les numéros d’identification, les données de localisation, les identifiants en ligne, ainsi que des facteurs spécifiques à son identité physique, génétique, mentale, économique ou sociale. Dans notre contexte, même une photo ou une pièce d’identité que vous fournissez constitue une donnée personnelle.
Traitement – toute opération effectuée sur des données personnelles, telle que la collecte, l’utilisation, le stockage ou la suppression.
Personne concernée – l’individu auquel se rapportent les données personnelles (ici, les Utilisateurs finaux, les visiteurs du site web ou les représentants de clients – c’est-à-dire vous).
Responsable du traitement – l’entité qui détermine les finalités et les moyens du traitement des données personnelles. Pour les services de vérification d’identité, notre Client (l’entreprise qui a demandé votre vérification) est le responsable du traitement des données des Utilisateurs finaux. Pour les données collectées sur notre propre site web ou dans le cadre de la gestion du compte d’un Client, VOVE ID est le responsable du traitement.
Sous-traitant – l’entité qui traite des données personnelles pour le compte d’un responsable du traitement. VOVE ID agit en tant que sous-traitant lorsque VOVE ID traite les données des Utilisateurs finaux pour la vérification d’identité, et ce, sous la direction de nos Clients.
Client (Entreprise cliente) – une entreprise ou organisation qui utilise les services de VOVE ID pour vérifier l’identité des Utilisateurs finaux. Par exemple, une banque ou une société fintech qui intègre notre SDK afin de confirmer l’identité de ses propres utilisateurs.
Utilisateur final – une personne qui fait l’objet d’une vérification via le service de VOVE ID à la demande d’un Client. Par exemple, si vous êtes client d’une banque qui utilise VOVE ID dans le cadre de la procédure KYC, vous êtes l’Utilisateur final dans ce contexte.
Visiteur du site web – toute personne qui visite nos sites web (par exemple, voveid.com) ou interagit avec notre contenu en ligne.
Utilisateur B2B – une personne agissant pour le compte d’un Client professionnel, par exemple un employé ou un administrateur qui accède au tableau de bord ou à l’API VOVE ID.
Services – les solutions de vérification d’identité de VOVE ID et les services associés.
2. Données personnelles que nous collectons
Nous collectons différents types de données personnelles selon la manière dont vous interagissez avec VOVE ID. Cette section décrit les catégories de données que nous traitons pour les Utilisateurs finaux, les Clients professionnels et les Visiteurs du site web.
2.1 Utilisateurs finaux (Données de vérification d’identité)
Si vous êtes un Utilisateur final en cours de vérification d’identité via notre SDK ou plateforme, nous pouvons collecter les types de données personnelles suivants vous concernant :
Informations d’identification : Détails qui aident à vous identifier, tels que vos nom complet, date de naissance, lieu de naissance, adresse, nationalité, et toute autre information que vous ou notre Client fournissez dans le processus de vérification. Cela provient souvent du document d’identité que vous soumettez (par ex., le nom et la date de naissance figurant sur votre carte d’identité ou passeport).
Détails du document d’identité : Informations extraites de vos documents d’identité, y compris le type de document (passeport, carte d’identité, permis de conduire, etc.), le numéro du document, la date d’expiration, le pays de délivrance, et les éléments de sécurité. Nous pouvons collecter des images ou scans de votre document d’identité (recto et verso) dans le cadre de ce processus.
Données biométriques (photo/vidéo) : Vos données biométriques, notamment votre photographie, selfie ou vidéo en direct capturée pendant la vérification, ainsi que les identifiants biométriques qui en sont dérivés. Par exemple, nous pouvons capturer une vidéo selfie en direct pour effectuer un contrôle de « vivacité » en 3D et une reconnaissance faciale par comparaison avec la photo de votre document d’identité. Cela peut générer des données biométriques utilisées pour vous identifier de manière unique (par ex., des mesures ou modèles faciaux). Avis concernant les données sensibles : Les données biométriques utilisées à des fins d’identification sont considérées comme une catégorie particulière de données personnelles au titre du RGPD. Nous ne traitons ces données que dans la mesure nécessaire à la prévention de la fraude et à la vérification d’identité, et en conformité avec les lois applicables (par exemple, en obtenant votre consentement explicite pour le traitement biométrique si la loi l’exige).
Informations de contact (si fournies) : Dans certains cas, nous pouvons collecter des coordonnées telles que votre adresse e-mail ou numéro de téléphone. Cela peut se produire si notre Client nous demande de vous contacter avec un lien ou un code de vérification, ou si de telles informations figurent sur votre document d’identité. Nous utilisons ces informations uniquement pour faciliter le processus de vérification (par ex., en envoyant un code à usage unique), sauf indication contraire.
Données techniques et de l’appareil : Informations sur l’appareil et le réseau que vous utilisez pour effectuer la vérification. Cela comprend l’adresse IP (et la géolocalisation approximative qui en est dérivée), le type d’appareil (par ex., modèle, système d’exploitation, navigateur), les identifiants uniques de l’appareil, les paramètres de langue, et les données de télémétrie (telles que les données des capteurs de la caméra pendant les contrôles de vivacité). Nous collectons ces données pour assurer la sécurité (par exemple, détecter des appareils suspects ou des tentatives multiples) et améliorer l’expérience utilisateur (par exemple, optimiser la qualité vidéo pour votre appareil).
Métadonnées de vérification : Données générées pendant la session de vérification, telles que les horodatages des différentes étapes, les identifiants de transaction ou de session, les journaux des éventuelles erreurs et le résultat final de la vérification (par ex., « vérifié » ou des indicateurs spécifiques pour des problèmes comme un document expiré ou une discordance faciale). Nous pouvons également enregistrer la raison en cas d’échec de la vérification (par ex., « photo du document peu lisible » ou résultat d’une vérification sur des listes de surveillance).
Données de prévention de la fraude : Toute information supplémentaire que nous déduisons pour prévenir la fraude. Par exemple, nous pouvons analyser certains schémas (comme vérifier si le même appareil ou document d’identité a été utilisé lors de tentatives de fraude antérieures) ou effectuer des vérifications via des tiers (comme vérifier l’authenticité du document d’identité ou comparer votre nom à des listes de sanctions ou de personnes politiquement exposées (PEP) si notre Client requiert un contrôle LCB-FT). Cela peut inclure des scores de risque ou des indicateurs aidant notre Client à décider d’approuver ou de rejeter une transaction.
2.2 Clients professionnels (Données des utilisateurs B2B)
Si vous êtes un client professionnel ou un utilisateur autorisé de nos services (par exemple, si vous travaillez pour une entreprise disposant d’un compte VOVE ID et que vous vous connectez à notre tableau de bord ou utilisez notre API), nous collectons des données personnelles afin de gérer notre relation et de vous permettre d’utiliser VOVE ID. Cela peut inclure :
Coordonnées : Votre nom, adresse e-mail professionnelle, numéro de téléphone, fonction/poste, et la société que vous représentez. Nous collectons ces informations lorsque vous ou votre employeur vous inscrivez aux services VOVE ID, lorsque vous correspondez avec nous, ou par le biais d’un contrat. Nous utilisons ces données pour vous identifier, communiquer avec vous et authentifier votre accès au tableau de bord.
Identifiants de compte : Si vous disposez d’un identifiant pour notre tableau de bord ou plateforme, nous traiterons votre nom d’utilisateur, mot de passe (stocké sous forme hachée) et tout identifiant de compte. Pour l’utilisation de l’API, nous émettons des clés ou jetons API liés à votre compte. Il vous incombe de garder vos identifiants de connexion confidentiels ; nous ne vous demanderons jamais votre mot de passe par e-mail ou téléphone.
Données d’utilisation du compte : Informations sur la façon et le moment où vous utilisez nos services B2B. Par exemple, nous pouvons enregistrer la date et l’heure de votre dernière connexion, les actions effectuées dans le tableau de bord (telles que lancer une vérification ou consulter des résultats), les paramètres que vous configurez, les journaux d’audit d’accès aux données et les statistiques d’utilisation. Ces données nous servent à fournir le service (et à vous montrer votre activité), ainsi qu’à des fins de sécurité (traçabilité) et d’amélioration de notre plateforme.
Informations relatives à l’entreprise : Détails sur l’organisation que vous représentez, pouvant inclure l’adresse de facturation, l’identifiant fiscal/numéro de TVA, le plan d’abonnement et l’historique des transactions. Bien que ces éléments ne soient souvent pas des données personnelles (s’ils concernent une entreprise), certains éléments tels que le nom d’une personne de contact ou une adresse e-mail professionnelle peuvent constituer des données personnelles. Nous traitons ces informations pour exécuter notre contrat et remplir nos obligations légales (facturation, comptabilité).
Communications : Copies des communications avec vous ou vos collègues. Par exemple, si vous envoyez un e-mail à notre équipe support ou commerciale, participez à une démonstration ou un appel, ou utilisez une fonction de chat, nous pouvons conserver un enregistrement de ces communications et des informations que vous fournissez. Cela nous aide à donner suite à vos demandes et à former notre équipe afin de mieux vous servir.
Préférences et retours : Nous pouvons également conserver les informations que vous nous fournissez concernant vos préférences (par ex., paramètres du produit, préférences de notification) ainsi que tous commentaires ou réponses à des sondages que vous nous transmettez. Ces données personnelles sont utilisées pour personnaliser votre expérience et améliorer nos services.
Vérification de l’identité du client : Dans certains cas, notamment pour des raisons de conformité, nous pourrions avoir besoin de vérifier l’identité de nos clients professionnels ou de leurs représentants (par exemple, si requis par des réglementations anti-blanchiment lors de l’intégration d’un client fintech). Cela pourrait impliquer de collecter une copie d’une pièce d’identité ou un justificatif de votre autorité en tant que représentant du client. Nous ne demanderons de telles informations que lorsque la loi l’exige et les traiterons avec le même soin que les données de vérification des Utilisateurs finaux.
Note : Les données des clients professionnels sont généralement liées à l’activité professionnelle (coordonnées professionnelles), et nous supposons qu’elles nous sont fournies par vous en votre qualité de représentant d’une entreprise. Nous n’avons pas besoin de données personnelles sensibles de la part de nos utilisateurs B2B sans lien avec le service. Veuillez vous assurer que toute donnée personnelle d’autrui que vous nous fournissez (par ex., l’ajout d’un membre d’équipe au compte) est partagée en conformité avec les lois sur la protection des données et avec son consentement si nécessaire.
2.3 Visiteurs du site web (Données en ligne)
Lorsque vous visitez notre site web, utilisez nos services en ligne ou interagissez avec nous sur Internet (par exemple en lisant notre documentation ou nos blogs, ou en nous contactant via un formulaire en ligne), nous recueillons certaines données vous concernant, ainsi que sur votre appareil. Cela inclut :
Données d’utilisation : Informations sur la manière dont vous utilisez notre site web – par ex., les pages ou documentations que vous consultez, les liens sur lesquels vous cliquez, la date et l’heure d’accès, la durée des visites, et la page de provenance (la page web qui vous a conduit à la nôtre). Cela nous aide à comprendre quel contenu est utile aux visiteurs et à améliorer la conception et le contenu de notre site.
Informations sur l’appareil et le navigateur : Détails techniques tels que votre adresse IP (qui peut indiquer votre localisation générale), le type et la version de votre navigateur, le type d’appareil (par ex., mobile ou ordinateur de bureau, système d’exploitation), la résolution d’écran et les paramètres de langue. Nous collectons cela via les journaux du serveur et des outils d’analyse pour garantir que le site web s’affiche correctement et pour effectuer des opérations de débogage et de surveillance de sécurité.
Cookies et identifiants de suivi : Nous utilisons des cookies et des technologies similaires (comme des balises web ou le stockage local) pour améliorer votre expérience sur notre site. Les cookies sont de petits fichiers texte que notre site enregistre sur votre navigateur. Certains cookies sont essentiels au fonctionnement du site (par ex., pour se souvenir de votre préférence linguistique ou vous maintenir connecté si le site comporte une connexion) ; d’autres servent à l’analyse ou à la publicité. Par exemple, nous pouvons utiliser Google Analytics ou un outil similaire qui place des cookies afin de collecter des statistiques d’utilisation agrégées (comme le nombre de visiteurs, les pages populaires). Nous pouvons également utiliser des cookies à des fins de marketing, tels que des pixels de Google ou LinkedIn, pour suivre les conversions et recibler les visiteurs avec nos publicités (avec votre consentement). Notre Notice relative aux cookies fournit des détails sur chaque cookie, son objectif, et comment gérer vos préférences.
Données des formulaires et communications : Si vous remplissez un formulaire sur notre site web (tel qu’un formulaire « Contactez-nous », d’inscription ou de demande de démo, ou un champ de commentaire), nous collecterons les informations que vous fournissez. Cela inclut généralement votre nom, e-mail, téléphone, entreprise, ainsi que le contenu de votre message. Nous utilisons ces informations pour répondre à votre demande ou traiter votre requête (par exemple, créer un compte d’essai ou vous inscrire à une newsletter). Nous pouvons également conserver une copie de nos échanges à des fins d’archivage.
Abonnement à la newsletter/marketing : Si vous vous abonnez à notre newsletter ou consentez à recevoir des communications marketing, nous collecterons vos coordonnées (e-mail, et éventuellement nom) ainsi que vos préférences de communication. Nous vous enverrons des mises à jour et informations correspondant à ce à quoi vous vous êtes inscrit, et vous pouvez vous désabonner à tout moment.
Réseaux sociaux et liens tiers : Si vous arrivez sur notre site via les réseaux sociaux ou si vous interagissez avec nos widgets de réseaux sociaux (comme un bouton « Partager » ou « J’aime »), ces plateformes peuvent collecter certaines informations via leurs propres cookies. Nous ne contrôlons pas ces interactions – veuillez vous référer aux politiques de confidentialité des plateformes concernées. Nous pouvons recevoir des données agrégées de la part de ces réseaux (par exemple, combien de personnes ont cliqué sur notre publication). De même, si notre site intègre du contenu tiers (comme un lecteur vidéo ou un bac à sable de code), ces tiers peuvent collecter des données d’utilisation conformément à leurs propres politiques.
Cookies et consentement : Lors de votre première visite sur notre site, vous verrez une bannière ou notification relative aux cookies. À l’exception des cookies strictement nécessaires, nous n’installerons pas de cookies (notamment les cookies d’analyse ou de publicité) sans votre consentement. Vous pouvez gérer vos préférences en matière de cookies à tout moment via notre outil de paramétrage des cookies sur le site web. Pour plus de détails, consultez notre Notice relative aux cookies (liée ci-dessus), qui est intégrée à la présente politique de confidentialité. (Si vous lisez cette politique sur la plateforme d’un client où notre SDK est intégré, notez que l’utilisation des cookies peut différer – ce qui précède s’applique principalement au site web de VOVE ID lui-même.)
3. Finalités et bases légales du traitement
Nous ne traitons des données personnelles que lorsque nous avons un objectif spécifique et un fondement légal au titre du RGPD pour le faire. Cette section explique pourquoi nous utilisons les données personnelles pour chaque catégorie d’individus, et les bases légales qui rendent le traitement licite. Étant donné la portée mondiale de notre service, nous nous appuyons principalement sur les bases du RGPD, tout en respectant les autres lois applicables dans les juridictions où nous opérons (nous pouvons fournir des détails supplémentaires pour certaines régions sur demande).
3.1 Pour les Utilisateurs finaux (vérification d’identité)
Vérification d’identité & prévention de la fraude : L’objectif principal est de vérifier vos documents d’identité et vos données biométriques pour confirmer que vous êtes bien qui vous prétendez être, et pour détecter et prévenir la fraude. Cela implique de vérifier l’authenticité des documents d’identité, de comparer votre image en direct à la photo sur votre document, et d’effectuer les contrôles de sécurité requis (comme les listes de surveillance anti-blanchiment, si applicable). La base légale de ce traitement est généralement l’intérêt légitime – plus précisément, l’intérêt légitime de notre Client à prévenir la fraude identitaire et à s’assurer que la personne est correctement identifiée. La prévention de la fraude est reconnue comme un intérêt légitime en vertu du RGPD. Dans de nombreux cas, il existe également une obligation légale : par exemple, notre Client peut être tenu par la loi de vérifier les identités (réglementations de connaissance du client (KYC), lois de vérification de l’âge, etc.), ce qui constituerait une base légale (le respect d’une obligation légale) pour traiter vos données. De plus, la vérification peut être nécessaire à l’exécution d’un contrat entre vous (l’Utilisateur final) et notre Client – par exemple, si vous vous inscrivez à un service, vous devez vérifier votre identité comme condition pour finaliser l’inscription (ce qui la rend nécessaire pour fournir le service que vous avez demandé). Nous comptons sur notre Client pour déterminer la base légale appropriée dans son contexte, mais nous veillons à ce que notre traitement soit conforme à ces objectifs.
Consentement pour des utilisations spécifiques : Dans certaines juridictions ou pour certains types de données, notre Client peut solliciter votre consentement avant le traitement. Par exemple, les données biométriques (comme un scan facial) peuvent exiger votre consentement explicite en vertu de l’article 9 du RGPD, à moins qu’une autre exception ne s’applique. Si l’on vous demande de consentir (par ex., en cochant une case ou en continuant après avoir vu un avis) avant que nous ne capturions votre selfie ou document d’identité, ce consentement servira de base légale supplémentaire pour nous et notre Client afin de traiter ces données. Nous n’utiliserons les données biométriques que dans la mesure nécessaire à la vérification, et en conformité avec tout consentement obtenu. Vous avez le droit de retirer votre consentement à tout moment, mais notez que cela pourrait empêcher l’achèvement de la vérification ou du service associé.
Prestation du service pour le compte du Client : Nous traitons et transférons les résultats de la vérification à notre Client pour lui permettre de fournir son service à vous (par ex., ouverture de votre compte ou approbation de votre transaction). La base légale ici peut être considérée comme l’intérêt légitime à la fois du Client et le vôtre en tant qu’Utilisateur final – vous avez un intérêt à accéder au service de manière sécurisée, et le Client a un intérêt à confirmer votre identité pour fournir ce service en toute sécurité. Dans les cas où vous interagissez directement avec notre service de vérification dans le cadre de votre inscription au service du Client, cela peut également être considéré comme un traitement nécessaire à l’exécution d’un contrat avec vous (ce contrat étant votre accord de subir la procédure KYC pour utiliser la plateforme du Client).
Amélioration de la qualité & formation (limité, avec garanties) : Nous travaillons continuellement à améliorer notre technologie de vérification d’identité (par exemple, en affinant nos algorithmes de reconnaissance de documents ou en réduisant les biais dans la correspondance faciale). Pour ce faire, nous pouvons utiliser des données anonymisées ou agrégées provenant de vérifications passées. Dans la mesure du possible, nous transformons les données afin qu’elles ne puissent plus être liées à une personne spécifique (n’étant ainsi plus des données personnelles). Si nous devons utiliser des données identifiables pour le développement interne (ce que nous nous efforçons d’éviter), nous veillerons à disposer d’une base légale telle que l’intérêt légitime (notre intérêt à améliorer nos services) accompagné de mesures de protection robustes, ou nous solliciterons un consentement supplémentaire. Important : Toute utilisation de ce type pour l’amélioration est distincte de la vérification que nous effectuons pour notre Client et est réalisée dans le cadre du rôle de VOVE ID en tant que responsable du traitement. Nous n’utilisons pas vos données pour le développement général du produit d’une manière qui affecterait votre vie privée sans garantir soit leur anonymisation, soit la mise en place de fortes mesures de sécurité et de conformité légale. Notre objectif principal est d’utiliser des données réelles uniquement dans la mesure nécessaire et de nous appuyer autant que possible sur des données synthétiques ou anonymisées pour l’entraînement de nos systèmes.
Conformité et actions en justice : Nous pouvons traiter les données des Utilisateurs finaux si nécessaire pour nous conformer aux lois ou répondre à des procédures légales. Par exemple, en vertu de certaines réglementations, nous pourrions avoir besoin de conserver les journaux de vérification pendant une certaine période, ou de fournir des informations aux forces de l’ordre ou aux régulateurs sur demande valable (voir la section 4. Partage des données ci-dessous). La base légale pourrait être le respect d’une obligation légale. De même, si nous devons traiter des données pour établir, exercer ou défendre des droits en justice (par exemple, pour démontrer qu’une vérification a été effectuée correctement en cas de litige), nous nous appuierons sur l’intérêt légitime (notre intérêt à défendre notre activité, ou l’intérêt de notre Client à poursuivre les fraudes).
3.2 Pour les Clients professionnels (prestation de service)
Pour nos clients professionnels et leurs utilisateurs, VOVE ID agit en tant que responsable du traitement lorsqu’elle traite vos données personnelles dans le cadre de la fourniture de services de vérification d’identité à votre organisation. Nos finalités et bases légales comprennent :
Fourniture du service & exécution de notre contrat : Nous utilisons les données de contact et de compte des clients pour configurer et gérer le compte de votre organisation, vous authentifier et fournir nos services de vérification d’identité à votre entreprise. Cela inclut la maintenance de votre tableau de bord, vous permettre d’effectuer des vérifications et fournir du support. La base légale est l’exécution d’un contrat – lorsque votre entreprise s’est inscrite, un accord a été conclu, et nous devons traiter vos données (en tant qu’utilisateur) pour remplir nos obligations dans le cadre de ce contrat (par ex., garantir que seuls les utilisateurs autorisés accèdent au compte, fournir des rapports d’utilisation, etc.). Si vous n’avez pas personnellement signé le contrat mais êtes un utilisateur autorisé, notre base légale est notre intérêt légitime à fournir le service à votre employeur et à garantir un accès autorisé.
Communication et support : Nous traitons vos coordonnées pour communiquer avec vous au sujet du service. Cela inclut l’envoi d’annonces liées au service (par ex., des mises à jour sur la disponibilité de la plateforme, des mises à jour de sécurité ou de confidentialité de cette politique), la réponse aux demandes de support, et la notification de nouvelles fonctionnalités ou améliorations. La base légale ici est l’intérêt légitime – c’est notre intérêt (et généralement le vôtre) de vous tenir informé du service que vous utilisez. Par exemple, si nous effectuons une maintenance, nous avons un intérêt légitime à informer les utilisateurs par e-mail des temps d’arrêt. Lorsque vous nous contactez avec une question, il est de notre intérêt légitime d’utiliser vos informations pour y répondre. Dans certains cas, ces communications peuvent être nécessaires à l’exécution du contrat (par exemple, vous envoyer un e-mail de bienvenue pour activer votre compte peut être considéré comme faisant partie de la fourniture du service). Nous veillons à ce que toute communication à vocation marketing ne soit envoyée qu’en conformité avec les lois applicables (voir le point suivant).
Marketing et analyses : Si vous êtes un contact commercial ayant manifesté de l’intérêt pour VOVE ID (par ex., en vous inscrivant à un essai ou en téléchargeant un livre blanc), nous pouvons vous envoyer des communications marketing pertinentes telles que des mises à jour produit, des newsletters ou des invitations à des événements. Nous le ferons soit avec votre consentement (par exemple, si vous cochez une case acceptant de recevoir des actualités) soit sur la base de notre intérêt légitime si vous êtes un client existant ou dans un contexte où ce type de contact est attendu (le RGPD et certaines lois autorisent le marketing B2B envers les clients existants sur la base de l’intérêt légitime, parfois appelé « opt-in tacite », tant qu’une option de désabonnement facile est fournie). Dans tous les cas, vous avez le droit de vous désabonner des e-mails marketing à tout moment en cliquant sur « se désabonner » dans le message ou en nous contactant. Nous ne pratiquons pas l’envoi massif non sollicité et nous ne partageons pas vos coordonnées avec des tiers à leurs propres fins marketing.
Facturation et administration : Nous traitons les données personnelles nécessaires à la facturation et à l’administration du compte. Par exemple, notre système financier contiendra le nom et les coordonnées de la personne de contact pour la facturation, les factures émises et le statut des paiements. Les bases légales sont l’exécution de contrats (nous devons facturer dans le cadre du contrat de service) et les obligations légales (nous devons conserver certains enregistrements à des fins fiscales et comptables). Si nous utilisons un prestataire de paiement ou traitons des informations de carte de crédit, ces informations sont traitées de manière sécurisée et en conformité avec les normes de l’industrie des cartes de paiement ; en général, nous conservons ces détails de paiement via des processeurs de paiement accrédités, et non dans nos propres systèmes.
Sécurité et prévention des abus : Pour protéger nos services et votre compte, nous surveillons et enregistrons certaines activités dans le tableau de bord client et l’API. Par exemple, nous pouvons enregistrer les tentatives de connexion échouées, les schémas d’utilisation qui indiquent un usage abusif potentiel, ou les accès qui déclenchent des règles de sécurité. La base légale est l’intérêt légitime – le nôtre et le vôtre – à maintenir un service sécurisé. Cela aide à prévenir l’accès non autorisé aux données de vérification sensibles et garantit que nous tenons notre promesse contractuelle d’un traitement sécurisé. Si nous détectons un problème (comme la compromission d’une clé API de compte), nous utiliserons vos coordonnées pour vous alerter et vous aider à le résoudre.
Amélioration du service et analyses : Nous pourrions utiliser les données d’utilisation de nos clients professionnels (agrégées et anonymisées dans la mesure du possible) pour comprendre comment nos services fonctionnent, quelles fonctionnalités sont le plus utilisées, et ce qui pourrait être amélioré. Par exemple, nous pourrions analyser le temps moyen pour compléter une vérification ou quelles fonctionnalités sont fréquemment utilisées par les clients. La base légale est l’intérêt légitime – exploiter un service efficace et convivial. Ces analyses portent sur l’utilisation de notre produit et, en général, ne se concentrent pas sur des individus spécifiques, mais dans la mesure où des données personnelles sont impliquées (comme les clics d’un administrateur), nous les anonymisons ou les agrégeons. Si nous souhaitons utiliser tout retour identifiable ou un cas d’utilisation impliquant une personne, nous demanderons son consentement.
Conformité et exigences légales : Nous pouvons traiter des données de clients professionnels pour respecter la loi (par ex., exigences de connaissance de votre entreprise, restrictions à l’exportation, etc.). Si, par exemple, vous exercez dans un secteur réglementé, nous pourrions être tenus de faire preuve de diligence. Cela pourrait inclure l’utilisation de vos données pour confirmer que nous pouvons légalement vous offrir nos services (par exemple, vérifier par rapport à des listes de personnes sanctionnées si la loi l’exige pour nos contrats). La base légale serait le respect d’une obligation légale ou notre intérêt légitime à nous conformer à la loi et à prévenir tout usage abusif de nos services.
En résumé, pour les utilisateurs B2B nous utilisons principalement vos données afin de gérer notre relation commerciale avec votre entreprise – fournir le service, vous assister, améliorer le produit, et remplir nos obligations légales. Nous le faisons d’une manière qui respecte votre vie privée et nous n’utilisons pas vos informations à des fins non liées, telles que la publicité pour des tiers sans rapport.
3.3 Pour les Visiteurs du site web (fonctionnalité du site et analyses)
Pour les visiteurs de notre site web (qui peuvent ne pas utiliser directement notre service de vérification d’identité), nous traitons des données personnelles principalement pour faire fonctionner notre site web et apprendre comment l’améliorer. Les finalités et bases légales comprennent :
Faire fonctionner et sécuriser le site web : Lorsque vous chargez les pages de notre site, nos systèmes traitent inévitablement les données de votre appareil et de votre réseau pour vous délivrer le contenu. Cela inclut l’acheminement du contenu jusqu’à votre adresse IP et l’adaptation de l’affichage à votre appareil. La base légale pour le fonctionnement basique du site est notre intérêt légitime à fournir un site web informatif et sécurisé (le considérant 49 du RGPD reconnaît également que la sécurité des réseaux et de l’information constitue un intérêt légitime). Nous enregistrons également certains événements (comme des erreurs ou des schémas d’accès inhabituels) afin de maintenir la sécurité – là encore sur la base de l’intérêt légitime (protéger notre site et nos utilisateurs de toute activité malveillante). Sans ce traitement, le site web ne peut pas fonctionner correctement.
Analyse et suivi des performances : Nous souhaitons comprendre comment les visiteurs interagissent avec notre site afin de pouvoir améliorer la mise en page, le contenu et les performances. Pour cela, nous utilisons des outils d’analyse qui collectent des données d’utilisation et installent des cookies non essentiels. La base légale pour les cookies d’analyse est le consentement. Lors de votre première visite, nous n’activerons nos outils d’analyse (par ex., Google Analytics) que si vous y consentez via la bannière de cookies. Si vous acceptez, nous traitons des données comme les pages vues, les clics et la localisation géographique générale pour générer des informations (par ex., de quels pays proviennent le plus de visiteurs, quelles pages sont les plus consultées). Cela nous aide à prendre des décisions, par exemple améliorer les documents populaires ou optimiser les temps de chargement. Vous pouvez retirer votre consentement à tout moment en ajustant vos paramètres de cookies (cela n’affectera pas la navigation de base sur le site). Nous configurons nos outils d’analyse de manière à respecter la vie privée – par exemple, nous pourrions masquer une partie de votre adresse IP et nous n’autorisons pas le fournisseur d’analyse à utiliser les données pour ses propres fins.
Personnalisation de votre expérience : Nous pouvons utiliser des cookies pour mémoriser les choix que vous faites, comme votre préférence de langue ou d’autres paramètres, afin que vous ayez une expérience cohérente lors de vos visites ultérieures. La base légale pour ces préférences peut être le consentement (si ce n’est pas strictement nécessaire) ou l’intérêt légitime si c’est uniquement pour améliorer l’expérience utilisateur de manière minime. Par exemple, mémoriser une préférence de langue peut être considéré comme relevant de l’intérêt légitime car c’est attendu par l’utilisateur et cela a un impact minime sur la vie privée. Quoi qu’il en soit, vous avez la maîtrise de ces éléments via les réglages de votre navigateur ou notre bannière de cookies pour désactiver de tels cookies si vous le souhaitez.
Répondre à vos demandes : Si vous soumettez un formulaire de contact, vous inscrivez à une newsletter, ou demandez une démonstration, nous utiliserons les données que vous fournissez pour satisfaire cette demande. La base légale dépend du contexte : il pourrait s’agir du consentement (si vous avez clairement choisi de fournir vos informations), ou d’une étape précontractuelle (si vous vous renseignez sur nos services, nous vous considérons comme un client potentiel et notre suivi est alors quelque chose que vous avez sollicité). Dans tous les cas, nous utiliserons vos informations uniquement pour répondre de manière appropriée – par exemple, si vous avez posé une question, pour y répondre ; si vous vous êtes inscrit à une newsletter, pour vous l’envoyer. Si vous devenez client, vos données seront alors traitées conformément à la section Clients professionnels ; sinon, nous pourrons occasionnellement vous recontacter avec votre consentement ou sur la base de l’intérêt légitime comme décrit dans la section Marketing ci-dessus.
Publicité et reciblage : Nous ne vendons pas vos données à des annonceurs. Cependant, il se peut que nous diffusions nos propres publicités en ligne et utilisions des outils (comme Google Ads ou LinkedIn) pour mesurer leur efficacité ou pour « recibler » les visiteurs (afficher nos publicités aux personnes ayant visité notre site). Cela peut impliquer l’installation de cookies ou pixels tiers. La base légale pour de tels cookies marketing est le consentement. Si vous n’autorisez pas les cookies marketing, vous ne recevrez pas de reciblage de notre part. Si vous y consentez, ces tiers (comme Google) peuvent collecter certaines de vos données d’utilisation sur notre site pour nous aider à savoir, par exemple, si quelqu’un qui a vu une publicité a fini par visiter notre site, ou pour nous permettre de vous afficher une publicité pour notre service sur un autre site. Nous fournirons les détails de ces cookies dans notre Notice relative aux cookies et respecterons votre choix.
Conformité et protection : Nous pourrions traiter les données des visiteurs du site pour satisfaire aux exigences légales ou pour protéger nos droits. Par exemple, nous pouvons conserver les journaux de serveur (y compris les adresses IP) pendant une certaine période à titre de mesure de sécurité et pour enquêter en cas de mauvaise utilisation de notre site (comme une tentative de piratage ou la soumission de contenu illégal via un formulaire). La base légale serait l’intérêt légitime (maintenir la sécurité et la conformité légale) ou l’obligation légale si nous devons conserver certaines données. Ces journaux ne sont généralement consultés qu’en cas de nécessité (p. ex., pour du débogage ou une analyse de sécurité) et sont supprimés en toute sécurité après la période de conservation (voir la section 8. Conservation des données ci-dessous).
En résumé, pour les visiteurs du site web, la plupart des traitements non essentiels (comme l’analyse publicitaire) n’ont lieu que si vous y consentez. Les traitements essentiels au fonctionnement et à la sécurité sont fondés sur notre intérêt légitime à exploiter un site web fiable et sûr, tel que vous vous y attendez lorsque vous naviguez dessus. Nous visons à être transparents et à vous donner le contrôle sur toute donnée qui n’est pas strictement nécessaire à l’utilisation basique de nos ressources en ligne.
4. Partage et divulgation des données
Nous traitons vos données personnelles avec soin et confidentialité. Nous ne vendons pas de données personnelles à des tiers. Cependant, pour faire fonctionner nos services, nous devons parfois partager des données avec certains partenaires de confiance. Voici les parties avec qui ces données peuvent être partagées et dans quelles circonstances :
Nos Clients (entreprises clientes) : Si vous êtes un Utilisateur final en cours de vérification, nous partagerons les résultats de votre vérification d’identité avec le Client qui en a fait la demande. En effet, fournir le résultat de vérification à ce Client est la finalité du service – par exemple, nous pouvons transmettre le rapport de vérification, vos documents d’identité et les données associées à l’entreprise qui doit vérifier votre identité. Ce Client utilisera ces informations conformément à sa propre notice de confidentialité et au droit applicable. Nous ne divulguons vos données qu’au Client spécifique qui a autorisé votre vérification ; nous ne les diffusons à personne d’autre. Si plusieurs entreprises vous demandent séparément de vous vérifier (par ex., vous vous inscrivez auprès de deux banques différentes qui utilisent toutes deux VOVE ID), chaque entreprise ne voit que les données de ses propres demandes.
Fournisseurs de services (sous-traitants) : Nous nous appuyons sur des prestataires tiers de confiance pour nous aider à fournir nos services. Ces prestataires agissent en tant que sous-traitants, c’est-à-dire qu’ils traitent des données personnelles pour notre compte (et selon nos instructions). Les principaux sous-traitants incluent :
Hébergement cloud et infrastructure : Nous utilisons la plateforme Google Cloud (GCP) dans l’Union européenne pour héberger et stocker la majorité des données personnelles. Vos données de vérification, nos bases de données et serveurs sont situés dans des centres de données sécurisés dans l’UE. Google agit comme notre sous-traitant pour stocker et transmettre les données, mais ne peut pas utiliser vos données à d’autres fins. Nous avons conclu avec Google un avenant de traitement des données conforme au RGPD qui inclut des Clauses Contractuelles Types (CCT) pour tout transfert nécessaire (voir la section 5. Transferts internationaux).
Outils de vérification d’identité : Dans certains cas, nous pouvons utiliser des logiciels ou services tiers intégrés à notre processus de vérification. Par exemple, nous pourrions utiliser un service de vérification de l’authenticité des documents, un fournisseur d’algorithme biométrique ou une base de données LCB-FT. Ces prestataires reçoivent les données nécessaires (par ex., une image de pièce d’identité ou un nom à vérifier dans une liste de sanctions) et nous renvoient des résultats. Ils sont contractuellement tenus de n’utiliser les données que pour la tâche de vérification prévue.
Services de communication : Nous utilisons certains outils pour communiquer avec les Utilisateurs finaux et les Clients. Par exemple, un service d’envoi d’e-mails (pour envoyer des codes ou des reçus), une passerelle SMS (pour envoyer des codes par texto), ou une plateforme de support client (pour gérer les demandes). Ces sous-traitants peuvent traiter des données personnelles comme votre e-mail, téléphone ou nom dans le cadre de ces communications. Ils sont tenus de les garder sécurisées et confidentielles.
Partenaires d’analyse et marketing : Pour notre site web, nous pouvons utiliser des fournisseurs d’analyses (comme Google Analytics) ou des plateformes publicitaires (comme Google Ads, LinkedIn) comme décrit précédemment. Ceux-ci agissent en tant que sous-traitants ou responsables de traitement indépendants dans leur domaine. Nous veillons à minimiser tout partage de données (par exemple, nous pourrions partager un identifiant haché ou utiliser les paramètres de confidentialité intégrés). Ils ne peuvent pas vous identifier personnellement à partir des données que nous partageons à des fins d’analyse, et toute utilisation plus large (par exemple par Google pour la personnalisation des annonces) est soumise à votre consentement et à leur politique de confidentialité.
Autres fournisseurs : Nous pouvons faire appel à d’autres prestataires pour des services spécifiques tels que des sauvegardes de données, des réseaux de diffusion de contenu (CDN) ou la surveillance de la sécurité. Tout fournisseur de ce type ayant accès à des données personnelles est évalué en termes de sécurité et de confidentialité, et contractuellement tenu de respecter des normes strictes de protection des données.
Transferts d’entreprise : Si VOVE ID est impliqué dans une fusion, une acquisition, une faillite ou la vente de tout ou partie de nos actifs, les données personnelles pourraient être transférées à l’entité successeur ou acquéreuse. Nous veillerions à ce que toute telle entité soit tenue de respecter la présente Politique de confidentialité (ou vous en seriez informé et auriez la possibilité de vous y opposer si la loi le prévoit). Nous exigerions également que la partie réceptrice n’utilise vos données que pour les mêmes finalités pour lesquelles nous les avons collectées, sauf si vous consentez à de nouveaux traitements.
Nous insistons sur le fait que tout tiers qui reçoit des données personnelles de notre part devra accepter de les protéger conformément aux lois applicables en matière de protection des données. Nous n’autorisons aucun destinataire tiers à utiliser les données personnelles pour son propre marketing ou à des fins non décrites dans cette politique.
En outre, nous ne partageons jamais les données de vérification des Utilisateurs finaux avec d’autres clients ou des parties non autorisées – chaque Client n’a accès qu’à ses propres données. En interne, l’accès aux données personnelles est strictement limité : notre personnel accède à vos données sur la base du « besoin d’en connaître » et avec le principe du moindre privilège, ce qui signifie que seuls les membres du personnel qui en ont besoin pour leur travail (par exemple, un ingénieur support en train de résoudre un problème) peuvent les consulter. Tous les employés et contractuels sont soumis à des obligations de confidentialité.
5. Stockage des données et transferts internationaux
Nous comprenons l’importance de conserver les données personnelles non seulement en sécurité, mais aussi dans des lieux appropriés. Nous décrivons ici où nous stockons les données et comment nous gérons les transferts internationaux de données.
Stockage principal dans l’UE : Par défaut, toutes les données personnelles collectées via les services de VOVE ID sont stockées sur des serveurs sécurisés situés dans l’Union européenne. Nous utilisons les centres de données de la plateforme Google Cloud dans l’UE (par exemple, en Belgique et/ou aux Pays-Bas) pour nos bases de données, le stockage de fichiers et nos serveurs. En conservant les données dans l’UE, nous veillons à ce que vos informations soient protégées par les lois strictes de l’Espace économique européen (EEE) en matière de protection des données. Google Cloud dispose de certifications de sécurité robustes et se conforme au Code de conduite de l’UE, et n’agit que selon nos instructions en ce qui concerne vos données. Nous ne stockons pas de données personnelles dans des juridictions dépourvues d’une protection adéquate des données, sauf si nécessaire et avec des garanties appropriées, comme expliqué ci-dessous.
Portée géographique des opérations : Les principales opérations de VOVE ID sont actuellement basées au Maroc et dans l’UE. Il se peut que nous ayons du personnel ou des partenaires en dehors de l’UE qui nous aident à fournir nos services (par exemple, un centre de support ou une équipe de développement). Cependant, même si notre équipe est en dehors de l’UE, elle accédera aux données à distance sur des serveurs dans l’UE. Nous avons mis en place des contrôles et une surveillance stricts pour garantir que tout accès est sécurisé (p. ex., via des connexions chiffrées et VPN) et limité à des fins autorisées.
Transferts en dehors de l’UE : Chaque fois que nous (ou nos sous-traitants) transférons des données personnelles depuis l’UE vers un pays que l’Union européenne ne considère pas comme disposant d’un niveau de protection « adéquat » (c’est-à-dire dont les lois de protection des données ne sont pas considérées équivalentes à celles de l’UE), nous nous appuyons sur des mécanismes juridiques approuvés pour assurer la protection de vos données. Le mécanisme principal que nous utilisons est celui des Clauses Contractuelles Types de la Commission européenne (CCT). Ce sont des engagements contractuels entre nous (ou nos partenaires) et l’importateur de données qui exigent le même niveau de protection des données qu’au sein de l’UE. Par exemple :
Si notre Client est en dehors de l’UE et doit recevoir des données d’Utilisateurs finaux (par ex., une banque en région MENA ou aux États-Unis utilisant notre service), notre contrat avec ce Client inclura des CCT l’obligeant à protéger les données.
Si nous utilisons un sous-traitant aux États-Unis ou dans un autre pays (par exemple, un service d’e-mail), nous mettrons en place des CCT ou un dispositif équivalent avec lui. De plus, le cas échéant, nous mettons en œuvre des garanties supplémentaires pour ces transferts, telles que le chiffrement en transit et au repos, ainsi que des politiques pour traiter toute demande d’accès gouvernemental aux données (conformément aux exigences découlant de l’arrêt « Schrems II »).
Autres mécanismes de transfert : Si les CCT ne sont pas applicables ou suffisantes dans un scénario, nous pouvons nous appuyer sur d’autres mécanismes approuvés par le RGPD : par exemple, une décision d’adéquation (si les données sont transférées vers un pays que l’UE considère comme adéquat, tel que la Suisse ou le Royaume-Uni), ou des règles d’entreprise contraignantes (si nous en établissons à l’avenir pour les transferts intra-groupe), ou votre consentement explicite dans de rares cas (avec un avis clair des risques). Nous choisirons toujours le mécanisme qui protège le mieux les données et qui est réalisable pour la situation donnée.
6. Mesures de sécurité
Nous prenons la sécurité des données très au sérieux et appliquons des mesures de protection techniques et organisationnelles rigoureuses pour protéger vos données personnelles. Voici un aperçu de nos principales mesures de sécurité :
6.1 Mesures techniques
Chiffrement des données : Toutes les données personnelles sont chiffrées à la fois lors de leur transmission et lorsqu’elles sont stockées. Cela signifie que lorsque vos données sont transmises entre votre appareil et nos serveurs (ou entre nos serveurs et nos sous-traitants), nous utilisons des protocoles de chiffrement robustes (tels que HTTPS/TLS) pour empêcher toute écoute illicite. De même, les données stockées (bases de données, sauvegardes, etc.) sont chiffrées à l’aide d’algorithmes de chiffrement de pointe. Le chiffrement garantit que même si des données devaient tomber entre de mauvaises mains, elles seraient inexploitables.
Contrôle d’accès et authentification : L’accès à nos systèmes et dépôts de données est strictement contrôlé via un contrôle d’accès basé sur les rôles (RBAC). Seul le personnel autorisé ayant besoin des données peut accéder aux données personnelles, et leur accès est limité au niveau minimal requis par leur rôle. Nous appliquons une authentification renforcée (y compris une authentification multi-facteur (MFA) pour nos employés et administrateurs) pour prévenir les connexions non autorisées. L’accès administrateur aux systèmes sensibles est journalisé et régulièrement examiné.
Sécurité réseau : Nos serveurs sont protégés par des pare-feux et une segmentation du réseau. Nous isolons nos environnements de sorte que, par exemple, les systèmes accessibles au public soient séparés des bases de données internes. Nous utilisons des systèmes de détection et de prévention d’intrusion (IDS/IPS) ainsi qu’une surveillance continue du réseau. Des analyses de sécurité régulières et des tests d’intrusion sont effectués pour trouver et corriger d’éventuelles vulnérabilités. Nous utilisons également des VPN sécurisés et des canaux chiffrés pour toute administration à distance.
Développement logiciel sécurisé : Notre équipe technique suit des pratiques et cadres de codage sécurisés. Nous réalisons des revues de code et utilisons des outils d’analyse automatisés pour détecter les faiblesses de sécurité dans nos logiciels. Avant le déploiement de nouvelles fonctionnalités ou mises à jour, elles sont testées (y compris des tests de sécurité). Nous gérons également un programme de bug bounty ou de divulgation responsable encourageant les chercheurs en sécurité à nous signaler tout problème.
Minimisation et pseudonymisation des données : Lorsque c’est faisable, nous réduisons la quantité de données identifiables dans nos systèmes. Par exemple, pour l’entraînement de nos modèles d’apprentissage automatique, nous utilisons des données anonymisées. Dans nos systèmes opérationnels, il nous arrive de pseudonymiser les données (remplacer les identifiants directs par des codes) de sorte que l’identification complète n’est possible qu’avec une table de correspondance séparée (étroitement contrôlée). Ainsi, même si une base de données interne est consultée illicitement, les données ne sont pas immédiatement identifiables sans la clé de correspondance.
Surveillance et journalisation : Nous avons une journalisation extensive des accès et actions au sein de nos systèmes. Les systèmes critiques génèrent des alertes en cas d’activités inhabituelles (par ex., tentatives de connexion multiples échouées, exportations massives de données, etc.). Nous employons une surveillance 24h/24 et 7j/7, de sorte que notre équipe de sécurité soit rapidement alertée d’incidents ou d’anomalies potentiels. Nos journaux nous aident également lors d’analyses forensiques si un problème survient, afin de retracer l’événement.
Sauvegardes et reprise d’activité : Nous effectuons des sauvegardes régulières des données critiques pour prévenir toute perte. Les sauvegardes sont chiffrées et stockées de manière sécurisée (en respectant les mêmes considérations de localisation des données – par ex., au sein de l’UE). Nous testons périodiquement nos plans de reprise après sinistre pour nous assurer que nous pouvons rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident physique ou technique. La durée de conservation par défaut des sauvegardes est limitée, puis elles sont supprimées de manière sécurisée.
6.2 Mesures organisationnelles
Politiques d’accès et formation : Tous les employés et contractuels de VOVE ID font l’objet de vérifications d’antécédents dans la mesure permise par la loi et doivent signer des accords de confidentialité. Nous offrons une formation régulière à tout le personnel sur les pratiques de confidentialité et de sécurité des données, afin de nous assurer qu’il comprend ses responsabilités pour protéger les données personnelles et reconnaître les risques (comme l’ingénierie sociale). Nos politiques internes dictent comment les données sont manipulées, signalées et éliminées. Seule une petite équipe, soigneusement sélectionnée, a accès aux données personnelles en production, et uniquement dans des circonstances strictement encadrées.
Équipe dédiée à la sécurité et à la confidentialité : Nous disposons d’une équipe dédiée responsable de la sécurité et de la conformité en matière de protection des données. Cela inclut des ingénieurs sécurité, des responsables conformité, et un Délégué à la Protection des Données (DPD) (si requis par la loi ou désigné volontairement par nous). Cette équipe réalise des analyses de risque et des études d’impact sur la vie privée. Nous faisons également appel à des auditeurs ou experts indépendants pour évaluer régulièrement nos contrôles de sécurité (y compris des tests d’intrusion annuels et possiblement des audits SOC 2 ou ISO 27001 à mesure que nous évoluons).
Gestion des risques tiers : Avant de faire appel à un sous-traitant ou fournisseur susceptible de traiter des données personnelles, nous effectuons une évaluation préalable de sa posture de sécurité. Nous nous assurons qu’un accord de traitement des données est en place. Nous exigeons de nos sous-traitants qu’ils disposent de certifications ou audits appropriés (comme ISO 27001, SOC 2, ou similaires) ou qu’ils démontrent leur conformité au RGPD. Nous surveillons leur conformité et mettrons fin aux contrats si un fournisseur ne respecte pas nos exigences de sécurité.
Moindre privilège & besoin d’en connaître : Comme mentionné, en interne nous adhérons au principe du moindre privilège. Nos agents support ou de vérification ne peuvent voir que les données pertinentes à leur tâche (par ex., un agent support peut voir les détails de session de vérification d’un Utilisateur final uniquement lorsqu’il dépanne cette session pour le Client, et même dans ce cas, les données sensibles comme les images complètes d’ID peuvent être masquées sauf si absolument nécessaire). L’accès aux données de production est consigné et nécessite une approbation managériale.
Sécurité physique : Bien que nous nous appuyions largement sur l’infrastructure cloud, tout environnement de bureau ou de centre de données que nous utilisons est sécurisé. Nos bureaux disposent de contrôles d’accès (badges/biométrie) et de politiques pour les visiteurs. Pour les centres de données cloud, nous nous reposons sur la sécurité physique du fournisseur (qui, pour Google Cloud, inclut une surveillance 24/7 par des gardes, un accès biométrique, etc.). Nous ne stockons pas de données personnelles sensibles sur les ordinateurs portables ou appareils des employés ; tout est dans des environnements cloud sécurisés. Les appareils des employés sont chiffrés et gérés de manière centralisée pour appliquer la sécurité (avec possibilité d’effacement à distance, etc.).
Plan d’intervention en cas d’incident : Nous disposons d’un plan d’intervention qui décrit les étapes de détection, de confinement, d’enquête et de notification des parties appropriées en cas d’incident de sécurité. Les membres clés du personnel sont formés aux procédures d’urgence. Nous simulons des scénarios de violation pour assurer notre préparation. Voir la section suivante sur la Réponse aux violations de données pour les détails sur notre gestion d’incidents réels.
Certifications et programmes de conformité : Nous examinons continuellement nos contrôles de sécurité par rapport aux normes de l’industrie et aux menaces émergentes afin de maintenir nos protections à jour.
Notre objectif est de maintenir un niveau de sécurité « à l’état de l’art » conforme aux meilleures pratiques, et d’assurer en permanence la confidentialité, l’intégrité et la disponibilité des données que vous nous confiez.
7. Réponse en cas de violation de données
Malgré tous nos efforts, aucun système n’est sécurisé à 100 %. Dans l’éventualité improbable d’une violation de données personnelles (un incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles), VOVE ID dispose d’un plan clair pour réagir rapidement et efficacement afin de minimiser tout préjudice et de respecter nos obligations légales.
Identification et confinement : Nos systèmes de surveillance et notre personnel sont formés pour détecter d’éventuels incidents de sécurité. Dès que nous suspectons une violation de données, notre équipe d’intervention en cas d’incident entre en action. Nous recueillons des détails sur ce qui s’est passé, quelles données sont impliquées et quelles personnes pourraient être affectées. Nous nous efforçons de contenir immédiatement la violation – par exemple, isoler les systèmes impactés, révoquer des identifiants compromis ou stopper une attaque en cours – afin de prévenir tout accès non autorisé supplémentaire.
Évaluation : Nous évaluons l’étendue et la gravité de la violation. Cela signifie déterminer la quantité de données et quelles personnes sont impactées, le type de données (par exemple, si des informations sensibles comme des documents d’identité ou des données biométriques sont concernées), et les conséquences potentielles pour les utilisateurs. Nous déterminons également si la violation est susceptible d’entraîner un risque pour les droits et libertés des personnes – le RGPD établit une distinction entre les violations présentant un risque et celles qui n’en présentent pas, ce qui influence les obligations de notification.
Notification interne : Notre politique d’escalade interne garantit que les bonnes personnes sont informées, notamment la direction, notre Délégué à la Protection des Données (si un est nommé), et notre équipe de sécurité. Si la violation implique des systèmes gérés par un sous-traitant, nous informons également ce sous-traitant et coordonnons les efforts de réponse.
Résolution du problème : Nous identifierons la cause première de la violation et prendrons des mesures correctives pour éviter qu’elle ne se reproduise. Cela peut impliquer de corriger un logiciel (application d’un correctif), de modifier des configurations, de renforcer la surveillance, ou même de sanctionner ou re-former du personnel si une erreur humaine est en cause. Nous documentons tout ce que nous apprenons pour assurer la responsabilité et l’amélioration continue.
Notification des parties concernées : Nous nous engageons à être transparents en cas d’incidents graves. En tant que sous-traitant pour les données des Utilisateurs finaux, nous notifierons sans délai indu le Client concerné (responsable du traitement) après une violation. Cela permet à notre Client de remplir son obligation de notifier les autorités ou les personnes concernées comme requis. Nous lui fournirons toutes les informations pertinentes sur la violation, y compris la nature de l’incident, les données affectées, les conséquences probables, et les mesures prises pour y remédier. Nous aiderons notre Client à communiquer avec ses utilisateurs finaux si nécessaire.
Si VOVE ID est le responsable du traitement des données impliquées (par ex., une violation de données de visiteurs du site ou de comptes clients), nous avons des obligations légales de notification :
Autorité de contrôle : Si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes (par exemple, risque de vol d’identité, fraude, atteinte à la réputation ou autre effet significatif), nous signalerons la violation à l’Autorité de Protection des Données compétente sans retard injustifié et, si possible, dans les 72 heures suivant sa découverte. Notre rapport comprendra la nature de la violation, les catégories et le nombre approximatif de personnes et d’enregistrements affectés, les conséquences probables, et les mesures prises ou proposées pour y remédier. Si nous ne pouvons pas fournir toutes les informations dans les 72 heures, nous fournirons initialement les informations disponibles puis les compléterons dès que possible.
Personnes affectées : Si la violation est susceptible d’entraîner un risque élevé pour vos droits et libertés, nous vous en informerons également (les personnes concernées). Un risque élevé signifie que vous pourriez potentiellement subir un préjudice important – par exemple, si vos informations d’identité ou votre mot de passe ont été divulgués et pourraient être utilisés à mauvais escient. Notre communication sera rédigée en termes clairs, décrivant ce qui s’est passé et les mesures que vous devriez prendre pour vous protéger (par ex., changer vos mots de passe ou être vigilant face aux tentatives d’escroquerie), tout en fournissant nos coordonnées pour plus d’informations. Il se peut que nous ne contactions pas directement les individus si les données concernées étaient des données d’Utilisateurs finaux sous le contrôle d’un Client – dans ce cas, généralement le Client se chargera d’avertir les individus, souvent avec notre aide. Si nous avons rendu les données inintelligibles (par ex., par un fort chiffrement) ou pris des mesures neutralisant le risque, ou si la notification individuelle exigerait des efforts disproportionnés (auquel cas nous publierions une annonce publique), le RGPD peut ne pas exiger de notification individuelle. Mais par défaut, nous privilégions la prudence et la transparence.
Conformité réglementaire : Nous documentons toutes les violations et nos réponses, conformément au principe de responsabilité du RGPD. Si nécessaire, nous coopérerons avec les autorités de protection des données pour fournir des informations supplémentaires. Nous ne considérons pas les enquêtes des autorités comme un affrontement, mais comme une occasion de nous assurer que nous avons correctement résolu le problème. Nous suivrons toute directive donnée par les autorités quant aux actions complémentaires.
Amélioration continue : Après avoir résolu une violation, nous menons une analyse a posteriori pour en tirer des enseignements. Nous mettons à jour nos mesures de sécurité et notre plan de réponse en fonction des leçons apprises. Notre objectif est de prévenir de futurs incidents et de renforcer nos systèmes. Souvent, même les violations mineures nous conduisent à mettre en place des contrôles encore plus stricts.
Soyez assuré que nous traitons tout incident de sécurité avec la plus grande urgence et intégrité. Protéger vos données est notre priorité absolue, et dans le cas rare où quelque chose tournerait mal, nous ferons tout notre possible pour rectifier la situation et vous tenir informé à chaque étape.
8. Conservation des données
Nous ne conservons les données personnelles que pendant la durée nécessaire pour atteindre les finalités décrites dans cette politique, ou tel que requis par la loi ou nos obligations contractuelles. Conserver les données plus longtemps que nécessaire peut accroître les risques pour la vie privée, nous nous efforçons donc de minimiser la durée de conservation. Ci-dessous, nous expliquons combien de temps différents types de données sont conservés et les critères que nous utilisons pour déterminer ces durées.
Données de vérification des Utilisateurs finaux : Par défaut, VOVE ID conservera les données personnelles collectées lors d’une vérification d’identité pendant une durée limitée, après laquelle elles sont supprimées ou rendues irréversiblement anonymes. Notre politique standard de conservation des enregistrements de vérification est de ne pas dépasser 3 ans à partir de la date de vérification. Dans de nombreux cas, nous conservons les données détaillées (par ex., images, vidéos, documents) pendant une période plus courte (par exemple, [90 jours] en stockage « actif » accessible à notre Client), puis nous archivons les données de manière sécurisée et à accès restreint pour le reste de la période de conservation. Les données archivées sont conservées uniquement à des fins d’audit, de conformité ou de gestion des litiges, et ne sont pas facilement accessibles pour un usage courant. Après expiration de la période de conservation, nous supprimons de manière sécurisée les données personnelles, y compris les sauvegardes.
Conservation spécifique aux clients : Certains de nos clients professionnels peuvent demander une durée de conservation différente pour satisfaire leurs propres exigences réglementaires. Par exemple, une institution financière peut avoir besoin de conserver les enregistrements KYC pendant 5 ans selon la loi, ou à l’inverse, un service soucieux de la vie privée peut nous demander de supprimer les données plus tôt (disons, après 30 jours). Nous offrons à nos Clients la flexibilité de configurer la durée de conservation via notre plateforme ou sur demande. Si le Client définit une conservation personnalisée, celle-ci remplace notre durée par défaut pour ces données (et vous en seriez généralement informé via la notice de confidentialité du Client). En tout état de cause, nous ne conservons jamais indéfiniment les données personnelles des Utilisateurs finaux et nous suivrons les instructions du responsable du traitement à cet égard.
Données biométriques : Pour les identifiants biométriques (comme les gabarits faciaux), nous appliquons une conservation encore plus stricte conformément aux directives légales. Par exemple, ces modèles peuvent être conservés uniquement le temps nécessaire pour mener à bien la vérification puis supprimés ou stockés séparément avec des protections supplémentaires. Comme noté précédemment, par défaut nous ne conservons pas les données faciales biométriques plus de 3 ans, et souvent bien moins. Certaines lois (comme le BIPA dans l’État de l’Illinois, aux États-Unis) exigent la suppression des données biométriques une fois la finalité atteinte, ou dans un délai de 3 ans. Nous concevons notre politique de conservation pour respecter la règle applicable la plus stricte.
Données anonymisées : Nous pouvons conserver des données anonymisées (qui ne sont plus des données personnelles) dérivées des vérifications à des fins d’analyse ou d’entraînement au-delà de la période de conservation, puisqu’elles ne posent aucun risque pour la vie privée. Par exemple, des informations statistiques comme les « taux de réussite » ou des caractéristiques non identifiantes utilisées pour améliorer nos algorithmes peuvent être conservées afin d’améliorer nos services sur le long terme. Ces données ne permettent pas de vous identifier et ne sont pas soumises à suppression sur demande car elles ne sont liées à aucun individu.
Données des clients professionnels : Si vous êtes un Client ou un utilisateur de notre service B2B, nous conservons vos données pendant la durée de la relation commerciale et au-delà si nécessaire. Plus précisément :
Vos informations de compte et profil utilisateur sont conservés tant que votre entreprise reste cliente et que votre identifiant est actif. Si vous quittez l’entreprise ou que votre compte est désactivé, nous supprimerons ou anonymiserons les données personnelles associées à votre utilisateur après un délai raisonnable, sauf dans la mesure où elles figurent dans des enregistrements d’entreprise que nous devons conserver.
Informations contractuelles et de transaction (telles que le contrat principal, les relevés de facturation, les tickets de support) sont conservées pendant la durée du contrat et en général au moins 3 ans après sa fin. Cela permet de respecter les exigences légales de conservation (par exemple, les lois comptables/fiscales peuvent exiger de conserver les factures pendant 7 ans) et de disposer des informations nécessaires en cas d’obligations post-contractuelles ou de litiges. Nous archivons en toute sécurité les anciens dossiers clients en en limitant l’accès.
Communications avec vous (emails, historiques de chat) peuvent être conservées pour une période plus courte (par ex., 2 ans), sauf si elles contiennent des informations commerciales importantes que nous devons garder plus longtemps. Nous nettoyons périodiquement les anciennes communications qui ne sont plus nécessaires.
Désabonnement marketing : Si vous vous désabonnez des communications marketing, nous conserverons vos coordonnées dans une liste de suppression indéfiniment afin de nous assurer que nous respectons cette demande de désabonnement (c’est une pratique standard pour éviter d’envoyer accidentellement des e-mails à ceux qui se sont désabonnés). La liste de suppression contient un minimum d’informations (généralement seulement l’e-mail et le statut de désabonnement).
Données des visiteurs du site web :
Journaux de serveur web (qui peuvent contenir des adresses IP et des horodatages de visites) sont généralement conservés pour une courte durée, généralement de quelques semaines à quelques mois (par ex., 1 à 3 mois) sauf s’ils sont nécessaires plus longtemps pour des analyses de sécurité. Nous faisons une rotation et supprimons régulièrement les journaux. Les journaux requis pour des enquêtes légales ou de sécurité peuvent être conservés jusqu’à la résolution de ces problèmes.
Données analytiques sont conservées selon notre configuration auprès de notre fournisseur d’analyse. Actuellement, nous avons fixé la conservation des données Google Analytics à 14 mois par défaut (ce qui est une valeur courante), ce qui signifie que les données plus anciennes sont automatiquement supprimées des rapports Analytics. Nous ne stockons pas de données brutes d’analyse au-delà de la durée de conservation définie chez le fournisseur.
Cookies placés sur votre navigateur ont chacun leur propre durée de vie. Certains cookies (comme les cookies de session) expirent lorsque vous fermez votre navigateur. D’autres (comme les cookies de préférences ou d’analyse) peuvent persister quelques mois ou un an ou deux. Notre Notice relative aux cookies détaille la durée de vie de chaque cookie. Vous pouvez effacer les cookies de votre navigateur à tout moment pour les supprimer immédiatement.
Informations soumises via des formulaires (comme des demandes de contact) sont stockées dans nos systèmes (CRM ou e-mail) généralement jusqu’à ce qu’elles ne soient plus nécessaires. Si vous ne devenez pas client ou si la conversation ne se poursuit pas, nous pourrions supprimer votre demande après [12 à 24 mois]. Si vous entamez une relation avec nous (par exemple, en devenant client), les données deviennent partie des enregistrements client et suivent la politique de conservation pour les clients.
Enregistrements de sessions utilisateur : Actuellement, nous n’utilisons pas d’outils enregistrant la manière dont les utilisateurs interagissent sur notre site (et si nous devions le faire, ou si nous avions des enregistrements de webinaires incluant des participants, ces enregistrements ne seraient conservés que le temps nécessaire à leur analyse ou diffusion puis supprimés).
9. Vos droits en tant que personne concernée
En tant qu’utilisateur de nos services ou visiteur de notre site, vous disposez de certains droits concernant vos données personnelles en vertu du RGPD et d’autres lois sur la protection des données. Nous nous engageons à respecter vos droits et à vous offrir un contrôle sur vos informations. Ci-dessous, nous présentons vos principaux droits en tant que personne concernée et comment vous pouvez les exercer. (Si vous vous trouvez dans une juridiction prévoyant des droits supplémentaires, tels que la Californie ou le Brésil, ceux-ci seraient généralement traités séparément ; cette section se concentre sur les droits définis par le RGPD, que nous étendons de manière générale.)
Droit d’être informé : Vous avez le droit de recevoir des informations claires et transparentes sur la façon dont nous traitons vos informations personnelles, ce qui est précisément l’objet de cette Politique de confidentialité. Nous nous efforçons de vous fournir tous les détails sur nos pratiques de données. Si quelque chose n’est pas clair, vous pouvez toujours nous demander plus d’informations.
Droit d’accès : Vous avez le droit de demander la confirmation que nous traitons ou non vos données personnelles et, si oui, d’obtenir une copie de ces données, accompagnée d’informations complémentaires. C’est ce qu’on appelle communément une « demande d’accès de la personne concernée ». Par exemple, vous pouvez nous demander de vous fournir les données que nous détenons à votre sujet dans nos systèmes. Nous vous les fournirons gratuitement, généralement dans un délai d’un mois. Si vous demandez des copies supplémentaires, nous pourrions facturer des frais raisonnables basés sur les coûts administratifs.
Droit de rectification : Vous avez le droit de faire corriger les données personnelles inexactes et de faire compléter des données incomplètes. Si vous constatez que nous détenons des informations incorrectes vous concernant (par exemple, une faute d’orthographe sur votre nom ou des coordonnées obsolètes), veuillez nous en informer afin que nous puissions les rectifier. Dans de nombreux cas (comme le profil utilisateur d’un client), vous pouvez corriger vos données directement via les paramètres de votre compte.
Droit à l’effacement (Droit à l’oubli) : Vous avez le droit de demander la suppression de vos données personnelles dans certaines circonstances. Par exemple, si les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, ou si vous retirez votre consentement et que nous n’avons pas d’autre base légale pour le traitement, ou si vous vous opposez au traitement et que nous n’avons pas de motifs légitimes impérieux, ou si nous avons traité vos données de manière illicite, vous pouvez nous demander de les effacer. Nous honorerons les demandes d’effacement valides et supprimerons vos données, et demanderons également à nos sous-traitants de faire de même, sauf si nous sommes tenus de conserver les données (par exemple, en raison d’obligations légales ou pour la défense de droits juridiques). Le cas échéant, nous vous informerons de ces exceptions.
Droit à la limitation du traitement : Vous avez le droit de nous demander de limiter le traitement de vos données personnelles dans certaines situations. Cela peut s’appliquer si vous contestez l’exactitude des données (nous limiterons le traitement pendant la vérification), ou si le traitement est illégal mais que vous préférez une limitation à un effacement, ou si nous n’avons plus besoin des données mais que vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice, ou si vous vous êtes opposé au traitement (en attendant la vérification de l’existence de motifs légitimes impérieux de notre part). Lorsque le traitement est limité, nous continuerons de stocker vos données mais ne les utiliserons pas (sauf, par exemple, pour établir ou défendre des droits en justice, ou avec votre consentement). Nous vous informerons quand la limitation sera levée.
Droit à la portabilité des données : Pour les données que vous nous avez fournies, vous avez le droit de les recevoir dans un format structuré, couramment utilisé et lisible par machine, et le droit de nous demander de transmettre ces données à un autre responsable du traitement lorsque c’est techniquement possible. Ce droit s’applique lorsque le traitement est fondé sur votre consentement ou sur un contrat avec vous, et qu’il est effectué à l’aide de procédés automatisés. En pratique, cela peut s’appliquer si, par exemple, vous avez fourni des données dans un formulaire d’inscription et souhaitez les réutiliser ailleurs. Nous vous fournirons les données au format CSV ou similaire facile à importer, sur demande. Notez que ce droit n’oblige pas à conserver les données plus longtemps qu’autrement ; il couvre simplement les données que nous avons encore.
Droit d’opposition : Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles lorsque ce traitement est fondé sur nos intérêts légitimes, ou sur l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (ce que nous ne faisons typiquement pas). Si vous vous y opposez, nous devons cesser de traiter vos données, à moins que nous démontrions qu’il existe des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou que le traitement soit nécessaire pour la constatation, l’exercice ou la défense de droits en justice. Vous disposez également d’un droit absolu de vous opposer à tout moment à l’utilisation de vos données à des fins de prospection commerciale directe. Par exemple, si vous recevez des e-mails marketing de notre part et que vous ne souhaitez plus en recevoir, vous pouvez vous y opposer (vous désabonner) et nous arrêterons. Si vous vous opposez à un traitement pour la prévention de la fraude (fondé sur l’intérêt légitime), nous examinerons votre demande et la comparerons à la nécessité de ce traitement.
Droit de ne pas faire l’objet d’une décision automatisée : Vous avez le droit de ne pas faire l’objet d’une décision basée exclusivement sur un traitement automatisé, y compris le profilage, qui produirait un effet juridique ou autre effet significatif similaire vous concernant, à moins que cette décision (a) soit nécessaire à la conclusion ou à l’exécution d’un contrat, (b) soit autorisée par la loi, ou (c) soit fondée sur votre consentement explicite. En termes plus simples, si un ordinateur dit “non” (par exemple, refuse une vérification) sans aucune intervention humaine, et que ce refus a un impact important sur vous, vous pouvez demander qu’une personne intervienne ou contester la décision. Nous abordons notre approche des décisions automatisées dans la section suivante. Dans nos processus, nous incluons un examen humain, en particulier pour les cas limites ou échoués, afin de garantir l’équité. En tant qu’Utilisateur final, vous pouvez également exprimer toute préoccupation via notre Client ou directement auprès de nous, et nous ferons examiner la situation par une personne.
Droit de retirer votre consentement : Lorsque nous nous appuyons sur votre consentement pour traiter des données (par exemple, votre consentement pour utiliser des cookies ou pour traiter des données biométriques), vous avez le droit de retirer ce consentement à tout moment. Le retrait du consentement n’affectera pas la légalité du traitement qui a eu lieu avant ce retrait, mais il mettra fin au traitement futur des données concernées. Par exemple, vous pouvez modifier vos paramètres de cookies pour retirer votre consentement aux cookies d’analyse, ou si vous aviez consenti à une vérification biométrique et que vous changez d’avis avant la fin, vous pouvez nous en informer ou informer le Client pour interrompre le processus. Sachez que si vous retirez un consentement nécessaire à un service (comme la vérification d’identité), cela peut empêcher de mener à bien ce service.
Ces droits ne sont pas absolus – il existe des exceptions et conditions à leur application. Par exemple, nous pourrions ne pas effacer des données que la loi nous oblige à conserver, ou nous pourrions refuser une demande d’accès qui serait manifestement infondée ou excessive (mais nous vous fournirions alors une justification). Toutefois, nous nous engageons à évaluer et à répondre à vos demandes de bonne foi et conformément aux lois applicables.
9.1 Exercice de vos droits
Comment soumettre une demande : Pour exercer l’un de vos droits en tant que personne concernée, vous pouvez nous contacter en utilisant les coordonnées de la section 12. Nous contacter de cette politique. Le moyen le plus simple est généralement de nous envoyer un e-mail à l’adresse [email protected] (objet : confidentialité) en détaillant votre demande. Merci de préciser le droit que vous souhaitez exercer et tout détail pertinent (par exemple, le contexte dans lequel vous avez interagi avec nous, afin que nous puissions retrouver vos données). Vous pouvez également envoyer vos demandes par courrier postal à notre adresse ou utiliser un éventuel portail en ligne que nous pourrions mettre à disposition pour les demandes de confidentialité.
Vérification d’identité : Pour des raisons de sécurité, nous pourrions avoir besoin de vérifier votre identité avant de donner suite à votre demande. Il s’agit de nous assurer que nous ne divulguons pas ou ne supprimons pas des données à la demande de quelqu’un qui se ferait passer pour vous. Nous pourrions vous demander de fournir des informations correspondant à nos enregistrements ou, si nécessaire, une copie d’une pièce d’identité (que nous n’utiliserons que pour confirmer votre identité, avant de supprimer cette copie). Pour les Utilisateurs finaux, comme nous détenons vos données via un Client, il est possible que nous vous orientions vers le Client pour valider votre identité et votre demande (puisqu’il a initialement collecté vos informations).
Représentation autorisée : Si vous êtes un mandataire autorisé effectuant une demande au nom de quelqu’un d’autre, nous exigerons une preuve d’autorisation (par exemple, une procuration ou un consentement écrit de la personne concernée).
Frais et délais : En général, nous ne facturons pas de frais pour donner suite aux demandes d’exercice de droits. Si une demande est particulièrement lourde ou répétitive, la loi nous permet de facturer des frais raisonnables ou même de refuser, mais nous nous efforcerons en général de fournir au moins une copie de vos données gratuitement. Nous visons à répondre à toutes les demandes valides dans un délai d’un mois après réception. Si la demande est complexe ou si nous recevons un volume élevé de demandes, nous pourrons prolonger ce délai de deux mois supplémentaires, mais dans ce cas, nous vous en informerons dans le premier mois en expliquant pourquoi. Par exemple, une demande d’accès qui implique de recueillir des données de multiples systèmes pourrait prendre plus de temps ; nous vous tiendrons informé.
Interaction avec nos Clients (pour les Utilisateurs finaux) : Si vous êtes un Utilisateur final dont les données sont traitées par nos soins pour le compte d’un Client, il est souvent plus efficace d’adresser votre demande d’abord à ce Client. En tant que responsable du traitement des données, c’est à lui qu’incombe la responsabilité de répondre à vos droits. Par exemple, si vous souhaitez une copie de vos données de vérification, l’entreprise pour laquelle vous avez effectué la vérification pourrait vous les fournir (souvent, elle les a dans son tableau de bord). Si vous demandez une suppression via le Client, celui-ci nous donnera instruction de supprimer les enregistrements comme nécessaire. Cela dit, vous n’êtes pas empêché de nous contacter directement – nous vous aiderons et coordonnerons avec le Client dans la mesure de ce qui nous est permis. En vertu du RGPD, en tant que sous-traitant nous devons aider le responsable du traitement à satisfaire les demandes des personnes concernées. Ainsi, si nous recevons une demande qui relève des données d’un Client, il est possible que nous consultions ce dernier (pour vérifier, par exemple, que vous communiquer les données est approprié et ne viole pas la vie privée d’autrui, etc.) puis que nous agissions en conséquence.
Opposition ou limitation du traitement : Si vous choisissez de vous opposer à un traitement ou de retirer votre consentement, nous vous expliquerons les conséquences éventuelles. Par exemple, si vous vous opposez à un traitement nécessaire à notre service pour un Client, nous devrons peut-être informer le Client que nous ne pouvons plus traiter vos prochaines vérifications. Si vous retirez votre consentement pour les e-mails marketing, nous arrêterons immédiatement ces envois (il peut s’écouler quelques jours pour que cela soit répercuté dans tous nos systèmes, mais généralement l’effet est immédiat via le lien de désabonnement). Si vous souhaitez restreindre un traitement, nous marquerons vos données comme restreintes et ne les utiliserons plus (à part les stocker) jusqu’à résolution de la situation.
Rejet de demandes : Dans de rares cas, il se peut que nous ne puissions pas donner suite à une demande. Par exemple, nous ne pouvons pas supprimer des données que la loi nous oblige à conserver (nous vous l’indiquerions et ne conserverions que ce qui est nécessaire) ; nous ne pouvons pas fournir des données si cela porterait atteinte aux droits d’un tiers (si vos données sont mêlées à celles d’autres personnes et que les révéler porterait atteinte à la vie privée d’autrui, nous nous efforcerons d’isoler vos données) ; ou si vous demandez des copies excessives ou faites des demandes répétitives, nous pourrions refuser ou facturer un frais. Si nous refusons une demande, même partiellement, nous vous expliquerons clairement pourquoi et nous vous indiquerons les options possibles (par ex., porter plainte auprès d’une autorité de contrôle, voir ci-dessous).
Réclamations : Nous vous encourageons à nous contacter en premier lieu pour résoudre toute question ou tout problème concernant vos données personnelles. Cependant, si vous estimez que nous n’avons pas respecté vos droits de protection des données, vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle compétente (par exemple la CNDP au Maroc, ou l’autorité de protection des données de votre pays de l’UE, ou l’ICO au Royaume-Uni, etc.). Vous pouvez le faire dans l’État membre de l’UE où vous résidez, où vous travaillez, ou là où la violation aurait eu lieu. Nous coopérerons pleinement avec toute enquête d’un régulateur et nous nous efforcerons de résoudre les problèmes à l’amiable.
En résumé, vos droits sont essentiels pour nous. Nous avons mis en place des procédures pour nous assurer de pouvoir les honorer. N’hésitez pas à exercer ces droits – ils sont conçus pour vous donner le contrôle et la tranquillité d’esprit quant à vos données personnelles.
10. Prise de décision automatisée et profilage
Les services de VOVE ID impliquent des technologies avancées, notamment l’intelligence artificielle (IA) et l’apprentissage automatique, pour effectuer la vérification d’identité de manière efficace et précise. Nous souhaitons être transparents sur le fonctionnement du traitement automatisé dans notre système, et le rôle des humains dans le processus décisionnel.
Processus automatisés lors de la vérification : Lorsque vous effectuez une vérification d’identité via VOVE ID, plusieurs étapes sont automatisées. Par exemple, notre système peut vérifier automatiquement si le document d’identité que vous avez soumis est authentique (par ex., en détectant les éléments de sécurité ou en le comparant à des modèles), ou comparer automatiquement votre selfie à la photo sur votre document d’identité à l’aide d’algorithmes de reconnaissance faciale. Nous pouvons également avoir des contrôles antifraude automatisés – par exemple, signaler si la même pièce d’identité a été utilisée plusieurs fois ou si certains indicateurs de risque sont présents (comme un document expiré ou une vidéo suspectée d’être falsifiée). Ces processus automatisés aident à accélérer la vérification, souvent en temps réel ou en quelques minutes.
Portée des décisions : En général, le résultat d’un processus automatisé est une recommandation ou un score plutôt qu’un verdict final. Par exemple, notre système peut générer un score de confiance indiquant que votre selfie correspond à la photo de votre pièce d’identité, ou un résultat indiquant que le document a passé les contrôles d’authenticité. Ces résultats sont ensuite utilisés par notre Client (l’entreprise qui vérifie votre identité) pour décider d’approuver ou non votre vérification. Dans de nombreux cas, les décisions qui vous affectent (par ex., si vous pouvez ouvrir un compte ou non) sont prises par notre Client, éventuellement en s’appuyant sur nos résultats automatisés.
Supervision humaine : Nous intégrons un examen et une supervision humaines dans notre processus de vérification d’identité afin d’éviter des décisions entièrement automatisées qui pourraient affecter significativement des personnes. De nombreuses vérifications d’identité sont revues par des spécialistes formés, en particulier si le système automatisé n’est pas sûr ou signale un problème. Par exemple, si nos algorithmes ne parviennent pas à vérifier votre document ou votre visage avec suffisamment de confiance, le cas peut être transmis à un vérificateur humain qui examinera manuellement les images et prendra une décision. Cette approche hybride combinant automatisation et intervention humaine assure une plus grande précision et équité. Nous ne nous reposons pas uniquement sur des algorithmes pour accepter ou refuser une identité – il y a généralement un humain dans le circuit, soit chez VOVE ID, soit chez notre Client, qui examine les résultats, notamment pour les cas limites.
Aucune décision légale ou significative prise par VOVE ID seule : VOVE ID en tant que telle ne prend généralement pas de décision ayant un effet juridique ou un effet significatif similaire sur vous sans intervention humaine. Notre service fournit des résultats de vérification d’identité à notre Client. C’est en définitive la décision de notre Client de, par exemple, vous inscrire comme client ou non, en se basant sur ces résultats et sa propre évaluation. Ceci étant dit, nous reconnaissons qu’un résultat de vérification négatif peut avoir un impact important (par ex., vous pourriez ne pas pouvoir utiliser un service si votre identité ne peut être vérifiée). C’est pourquoi nous concevons nos systèmes pour minimiser les erreurs et permettre des recours.
Vos droits relatifs aux décisions automatisées : En vertu du RGPD, vous avez le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé qui vous affecte de manière significative, et de demander une intervention humaine, d’exprimer votre point de vue et de contester la décision. Si jamais vous estimez qu’une décision automatisée prise par notre système était incorrecte ou injuste, vous pouvez contacter notre Client ou nous contacter pour demander un examen manuel. Par exemple, si votre vérification a été refusée et que vous pensez qu’il s’agit d’une erreur (peut-être la qualité de la photo était insuffisante ou le système a commis une erreur), vous pouvez demander une nouvelle vérification ou un examen. Notre Client peut avoir son propre processus pour traiter de tels recours, et nous l’assisteront en fournissant toute information nécessaire ou en effectuant un second examen via un vérificateur humain.
Profilage : Le profilage dans notre contexte pourrait signifier analyser certains aspects vous concernant, comme votre comportement ou vos caractéristiques, afin d’évaluer le risque de fraude. Nous générons effectivement des profils de risque dans une portée limitée (par ex., la réputation de votre appareil, les résultats de vérifications précédentes). Cependant, nous ne vous profilons pas à des fins de marketing ni ne faisons de prédictions personnelles en dehors de la vérification d’identité. Tout profilage que nous effectuons vise uniquement à vérifier l’identité et à détecter la fraude, et non à évaluer votre personnalité, vos habitudes ou votre solvabilité, par exemple.
Entraînement des modèles et équité : Nos modèles d’IA (pour la comparaison faciale, etc.) sont entraînés sur des ensembles de données diversifiés dans le but d’être équitables et sans biais. Nous surveillons activement et atténuons tout biais (tel que des différences de précision entre différents groupes démographiques). Nous testons également régulièrement la performance de nos contrôles automatisés pour garantir leur fiabilité. Si un problème systématique est découvert, nous mettons à jour nos modèles et, dans l’intervalle, nous nous reposons davantage sur des contrôles humains. Nous comprenons la sensibilité liée à la correspondance biométrique automatisée et nous nous efforçons d’atteindre des normes de haute précision afin d’éviter les faux rejets ou les fausses acceptations.
Transparence : Si une décision ou un résultat particulier a été significativement influencé par l’automatisation, nous ou notre Client fournirons, sur demande, des informations utiles sur la logique en jeu. Nous pourrions par exemple expliquer : « Votre document a été signalé comme potentiellement falsifié par notre système automatisé en raison d’une incohérence dans les données, ce qui a contribué à la décision de nécessiter un examen supplémentaire. » Nous ne révélerons pas en détail nos algorithmes propriétaires, mais nous expliquerons les facteurs généraux.
En résumé, bien que VOVE ID utilise des systèmes automatisés sophistiqués pour rendre la vérification d’identité rapide et sécurisée, nous ne laissons pas une machine décider de votre sort sans possibilité de recours. Nous combinons la technologie et le jugement humain pour nous assurer que les décisions sont exactes et justifiées. Si jamais vous estimez qu’une composante automatisée de notre service a conduit à un résultat incorrect vous concernant, faites-le savoir à notre Client ou à nous – vous avez le droit qu’une personne réelle examine la situation.
11. Mises à jour de la présente politique de confidentialité
Il se peut que nous mettions à jour ou modifiions cette Politique de confidentialité de temps à autre afin de refléter des changements dans nos pratiques, nos technologies, les exigences légales, ou pour d’autres raisons opérationnelles. Nous souhaitons que vous soyez toujours informé de la manière dont nous traitons vos données personnelles, c’est pourquoi nous vous notifierons des changements significatifs et publierons la version révisée de la politique avec une nouvelle date d’effet.
Version et date : En haut de cette politique figure la date de « Dernière mise à jour ». Cette date indique la date d’entrée en vigueur de la version actuelle. Les anciennes versions de notre Politique de confidentialité peuvent être fournies sur demande (ou être archivées sur notre site web).
Notification des modifications : Si nous apportons des changements importants à cette politique – par exemple, si nous commençons à traiter des données pour une nouvelle finalité, ou si nous modifions la durée de conservation des données, ou si nous engageons de nouvelles catégories de destinataires – nous prendrons les mesures appropriées pour vous en informer. Cela pourra inclure :
Publier un avis bien visible sur notre site web ou notre tableau de bord (par exemple, une bannière ou une fenêtre pop-up) vous informant de la mise à jour.
Envoyer une notification par e-mail à nos Clients ou aux utilisateurs (si nous disposons de votre e-mail) décrivant les changements.
Dans certains cas, solliciter votre consentement pour les nouvelles pratiques, si requis par la loi. Par exemple, si une nouvelle finalité devait reposer sur le consentement ou si nous commencions à traiter des données sensibles d’une manière inédite, nous nous assurerions que vous puissiez y consentir avant que cela n’advienne.
Les modifications mineures (comme des clarifications, des corrections grammaticales ou des mises à jour qui n’affectent pas significativement la vie privée) peuvent être effectuées sans avis particulier, mis à part la mise à jour de la politique sur notre site. Toutefois, nous nous efforçons de ne pas effectuer de changements surprises.
Examen de la politique : Nous vous encourageons à consulter périodiquement cette Politique de confidentialité pour rester informé de nos pratiques en matière de données. Si vous continuez à utiliser les services de VOVE ID ou notre site web après l’entrée en vigueur d’une nouvelle version de la politique, cela sera considéré (dans la mesure permise par la loi) comme une acceptation des conditions mises à jour. Si vous n’êtes pas d’accord avec l’un des changements, vous devrez cesser d’utiliser nos services, et vous pouvez exercer vos droits (par exemple, demander la suppression de vos données).
À l’attention de nos Clients : Si nous mettons à jour cette politique, cela ne réduit pas vos droits en vertu de tout contrat en vigueur avec nous ; l’objectif est principalement d’assurer la transparence. Nous synchronisons nos engagements de confidentialité dans cet avis public avec nos engagements contractuels dans les Accords de traitement des données.
Remarque de personnalisation : Si un Client de VOVE ID a sa propre notice de confidentialité qui fait référence à la nôtre, il devrait mettre à jour ces références lorsque nous modifions cette politique. Nous pouvons fournir un résumé des principaux changements pour l’aider dans les communications qu’il pourrait avoir à faire de son côté.
Nous n’appliquerons pas de modifications importantes de manière rétroactive aux données que nous avons collectées par le passé sans votre consentement ou une base légale. Tout changement s’appliquera à compter de la date d’effet indiquée.
Si vous avez des questions ou des préoccupations concernant les modifications de cette Politique de confidentialité, veuillez nous contacter en utilisant les coordonnées ci-dessous.
12. Nous contacter
Nous accueillons toutes questions, préoccupations ou demandes concernant cette Politique de confidentialité ou nos pratiques en matière de données. Votre vie privée est importante pour nous, et nous sommes là pour vous aider.
E-mail : Vous pouvez joindre notre équipe de protection de la vie privée à l’adresse [email protected]. C’est le moyen le plus rapide d’obtenir une réponse à toute demande liée à la confidentialité, y compris pour exercer vos droits.
Courrier postal : Si vous préférez, vous pouvez nous écrire à l’adresse suivante : VOVE ID Privacy Team, 16192 Coastal Highway, Lewes, County of Sussex, State of Delaware, 19958, USA. (Veuillez indiquer « À l’attention de : Privacy » ou « À l’attention de : Data Protection Officer » sur l’enveloppe afin qu’elle parvienne à l’équipe appropriée.)
Délégué à la protection des données (DPD) : Nous avons nommé un Délégué à la Protection des Données pour superviser notre conformité RGPD. Vous pouvez contacter notre DPD à [email protected] ou via l’adresse postale ci-dessus (À l’attention du Délégué à la Protection des Données). Notre DPD est disponible pour traiter toute question relative à la manière dont nous gérons les données personnelles.
Nous nous efforçons de répondre à toute demande légitime le plus rapidement possible, généralement en quelques jours ouvrables. Si vous nous contactez pour exercer vos droits, veuillez consulter la section ci-dessus sur les informations à inclure afin de nous aider à traiter votre demande efficacement.
Si vous avez une préoccupation au sujet de la confidentialité ou de l’utilisation de vos données que nous n’avons pas traitée de manière satisfaisante, vous avez également le droit de contacter votre autorité locale de protection des données, comme mentionné. Cependant, nous espérons pouvoir résoudre tout problème directement avec vous.
Merci de faire confiance à VOVE ID pour vos besoins de vérification d’identité. Nous apprécions cette confiance et nous nous engageons à protéger vos informations personnelles. Cette Politique de confidentialité est destinée à vous fournir transparence et assurance quant à cet engagement. Nous améliorons continuellement nos pratiques et nos politiques, et vos commentaires sont les bienvenus.
Last updated