Politique de protection des données personnelles
IDnow s’engage à ce que les traitements de vos données personnelles effectués à partir Service de Vérification d’Identité à Distance (« Service PVID ») soient conformes aux législations de protection des données personnelles nationales et européennes.
Cette politique a pour objectif de vous expliquer de manière compréhensible et accessible les traitements mis en œuvre pour comprendre les raisons de cette collecte et les conditions dans lesquelles vos données sont traitées à partir du Référentiel d’exigences publié par l’ANSSI en date du 1er mars 2021 et applicables aux Prestataires de Vérification d’Identité à Distance (ci-après le “Référentiel PVID”).
Pour cette partie du traitement, le responsable du traitement de vos données personnelles est IDnow. Pour en savoir plus, vous pouvez consulter les mentions légales.
Objet du traitement
Dans le cadre des services de nos clients, IDnow est amené à traiter vos données personnelles en vue de vérifier votre identité en deux temps :
- 1ère finalité : vérifier la validité du titre d’identité que vous présentez et que vous en êtes le porteur légitime à partir d’une vidéo de type selfie comparée avec la photo du titre d’identité présenté via un contrôle automatique et manuel.
- 2nd finalité : constitution d’un dossier de preuve contenant les données du premier traitement en vue de la résolution d’un litige, en cas d’enquêtes ou aux fins de fourniture de preuves en justice.
Données traitées
IDnow applique le principe de minimisation des données pour le traitement de vos données.
Les catégories de données traitées pour les deux traitements sont les suivantes :
- données d’identification : genre, nom, prénom, date de naissance, lieu de naissance, photographie du visage, nationalité, commune de résidence, adresse de résidence, numéro du titre d’identité, adresse au moment de l’émission du titre d’identité ;
- le contenu des DG1, DG2 et DG11 du composant de sécurité le cas échéant ;
- données biométriques : vidéo du visage de l’utilisateur ;
- données de connexions : adresse IP, logs.
Destinataires des données
Sur la base des contrats établis avec nos clients, le seul destinataire de vos données personnelles est le service métier de notre client pour qui nous sommes amenés à fournir le Service PVID.
Il est possible que nous interrogions un service de validation d’un titre d’identité mis en œuvre par l’Etat émetteur du titre.
Sinon, les données sont uniquement traitées par notre société IDnow.
Les données ne sont destinées à aucun autre organisme.
Par ailleurs, aucun transfert de données hors de l’Union Européenne n’est réalisé.
Durée de conservation des données
Selon la finalité poursuivie, la durée de conservation de vos données personnelles est différente.
Pour le parcours de vérification d’identité, à compter de la transmission du résultat au service métier du client, les données sont conservées pendant quatre-vingt-seize (96) heures afin de pouvoir répondre à une éventuelle contestation ou recours.
Les dossiers de preuve font l’objet d’un archivage intermédiaire sur la base du Référentiel PVID. La durée de conservation des dossiers de preuves est de dix (10) ans par principe. Cette durée peut être aménagée selon les exigences légales et règlementaires de nos clients sans que cette durée ne puisse excéder 15 ans.
En cas d’usurpation d’identité retournée par le Service PVID, IDnow se réserve le droit de conserver les données à caractère personnel associées au cas d’usurpation afin de les analyser pendant toute la durée de cette analyse. Cette durée ne peut dépasser un (1) an.
Sécurité
Conformément au RGPD, tout organisme effectuant des traitements de données à caractère personnel est astreint à une obligation de sécurité. Ainsi, les mesures de sécurité suivantes sont notamment mises en place :
- Obligation de confidentialité signée par les employés traitant les données de nos clients ;
- Le chiffrement des données protège les données personnelles à la fois en stockage et en transport ;
- Protection (« chiffrement ») des données du dossier de preuve en AES256 avec une clé propre à chaque dossier elle-même protégée par un chiffrement asymétrique dont la clé privée est hors ligne ;
- La Protection (« chiffrement ») des données échangées entre le terminal et les services ;
- d’IDnow est assurée par le protocole HTTPS. Il en est de même entre le service métier et les services d’IDnow ;
- Audits de sécurité réguliers réalisés par des sociétés spécialisées tierces.
IDnow est certifié ISO 27 001 et héberge les données personnelles collectées.
Vos droits sur les données vous concernant
La réglementation applicable en matière de données à caractère personnel prévoit que vous disposez d’un droit d’accès, de rectification, de suppression des données personnelles incomplètes ou inexactes le concernant, de limitation du traitement, de portabilité.
Cependant, les exigences du Référentiel PVID viennent limiter ces droits. Dans le cadre du Service VID, vous ne disposez que du droit d’accès à vos données mais non du droit de rectification, ni droit à la portabilité de vos données, ni du droit de suppression des données à caractère personnel contenues dans le résultat transmis ou dans le dossier de preuve.
Vous ne disposez pas du droit d’accès aux données ayant fait l’objet de traitements, qu’ils soient automatisés ou manuels, dont la connaissance pourrait vous renseignez sur la nature des vérifications réalisées par le service à des fins de détection d’usurpation d’identité.
Cependant, l’exercice de certains droits est conditionné à l’existence d’un ou plusieurs motifs prévus dans la réglementation relative à la protection des données personnelles. Comprendre vos droits informatiques et libertés.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.
Exercer vos droits
Le délégué à la protection des données (DPO) d’IDnow est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.
Contacter le DPO par voie électronique :
Contacter le DPO par courrier postal :
122 Rue Robert Keller
35510 Cesson-Sévigné
Vous pouvez également adresser vos demande à partir du site :
