Contexte : Conformément au Règlement Général sur la Protection des Données (ci-après, le « RGPD »), AR24 vous informe, spécifiquement, sur le traitement des données biométriques, à travers une information individuelle renforcée. Vous êtes libre ou non de consentir au traitement de vos données à des fins biométriques. Une trace de votre consentement sera conservée par AR24. Ce consentement se matérialisera par une case à cocher au début du parcours de vérification de votre identité.
Définition : les données biométriques sont les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique.
Justification d’un besoin spécifique : le traitement de données biométriques est permis et encadré par le référentiel d’exigences relatives aux prestataires de vérification d’identité à distance (version 1.1 du 01/03/2021) publié par l’Agence nationale de la sécurité des systèmes d’information (ci-après l’ « ANSSI »), qui est disponible sur son site internet.
Responsable traitement
Vos données biométriques sont traitées par AR24, filiale du Groupe DOCAPOSTE, au Capital de 1170 euros, dont le siège social est 45/47 BD PAUL VAILLANT COUTURIER 94200 IVRY-SUR-SEINE, présidée par Docaposte et ayant pour Numéro Unique d’Identification 809 480 122 (RCS de Creteil).
A noter qu’AR24 est prestataire de service de vérification d’identité à distance, qualifié par l’ANSSI. AR24 agit à la suite d’un contrat signé avec un commanditaire pour la réalisation de la prestation de vérification de votre identité. Le commanditaire est une entité responsable d’un service métier duquel vous souhaitez, ou devez, vous identifier.
Finalité du traitement
La finalité principale du traitement de données biométriques, est de permettre ou de confirmer votre identification unique.
La sous finalité du traitement de données biométriques est l’amélioration du service.
Base juridique du traitement de données
La base légale sur laquelle repose le traitement de vos données personnelles est le consentement, matérialisé par une case à cocher.
Données à caractère personnel traitées
Dans le cadre de la réalisation des finalités de traitement, AR24 est amené à traiter les jeux de données à caractère personnel rattachables directement et indirectement à ses utilisateurs. Les jeux de données personnelles traitées sont les suivants :
- Les données extraites du titre d’identité :
- Les données extraites la vidéo du titre d’identité recto verso le cas échéant ;
- Une photo du titre d’identité extraite de la vidéo susmentionnée.
- Les données extraites de la vidéo du visage :
- La vidéo du visage de l’utilisateur ;
- Une photo du visage de l’utilisateur extrait de la vidéo susmentionnée.
Catégories des personnes concernées par le traitement
Les personnes concernées par le traitement sont toutes personnes physiques ayant accepté le traitement de leurs données à des fins biométriques dans le cadre de la vérification d’identité à distance.
Destinataires ou catégories de destinataires des données
Au regard de la finalité poursuivie par ce traitement, les données traitées sur sont destinées à une liste limitée de collaborateurs de AR24 habilités en raison de leurs fonctions.
Un sous-traitant traitera de façon sécurisée, et dans la limite de 72 (soixante-douze) heures, vos données à des fins de traitement biométriques :
LEIA est une plateforme scalable pour la création et l’exécution de modèles IA. Lors de l’exécution du parcours PVID, l’utilisateur filme son titre d’identité et effectue une vidéo selfie, LEIA est utilisé par AR24 pour effectuer une comparaison faciale. LEIA compare le visage de l’utilisateur au visage présenté dans le titre d’identité.
Ce sous-traitant sera amené à traiter ces données biométriques afin de confirmer ou non votre identification unique.
Les destinataires des données prennent toutes précautions utiles, au regard de la nature des données et des risques que le traitement fait peser sur les personnes concernées et leurs droits, pour préserver la disponibilité, l’intégrité et la confidentialité des données traitées.
Durée de conservation des données
Les données personnelles de personnes concernées par le traitement sont conservées, en base pendant : 72 (soixante-douze heures).
A l’expiration des durées de conservation, vos données sont supprimées de façon sécurisée et automatique.
Droit des personnes concernées
La base légale des traitements réalisés par AR24 repose sur le consentement ce qui est susceptible d’affecter les droits et libertés des personnes concernées. Au regard de cette base légale de traitement, nous vous rappelons que vous pouvez exercer les droits suivants, en vertu de la législation européenne sur la protection des données :
- Droit d’accès : vous avez le droit, après justification de votre identité, de demander directement à AR24 d’accéder aux données personnelles qui vous concernent. Ainsi, tout utilisateur aura le droit d’accéder aux données de récupérées en s’adressant au service en charge de la protection des données ;
- Droit à la rectification de vos données personnelles : en cas de traitement de vos données personnelles, AR24 met en œuvre des mesures appropriées pour garantir l’exactitude de vos données et leur mise à jour pour les finalités auxquelles elles ont été collectées. Si vos données personnelles sont inexactes ou incomplètes, vous avez le droit d’obtenir leur rectification ;
- Droit à l’effacement de vos données personnelles : vous avez le droit de demander, dans certaines situations particulières que des données personnelles vous concernant soient effacées. Ce droit à l’effacement peut notamment être exercé par les personnes concernées lorsque :
- Vos données sont utilisées à des fins de prospection ;
- Vos données ne sont plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
- Vos données font l’objet d’un traitement illicite ;
- Vos données doivent être effacées pour respecter une obligation légale ;
- Droit à la portabilité : vous disposez de la possibilité de récupérer une partie de vos données personnelles sous format ouvert et lisible pour une réutilisation à des fins personnelles ;
- Droit d’opposition ou droit au retrait du consentement : Vous avez le droit, à tout moment, de vous opposer à ce que vos données fassent l’objet d’un traitement ainsi que de retirer votre consentement. Cependant, ce droit d’opposition n’est pas un droit à la suppression simple et définitive de toutes les données vous concernant. Ainsi, la demande d’opposition ne sera pas satisfaite si :
- Il existe un ou des motifs légitimes et impérieux qui imposent de continuer à traiter vos données ;
- Vos données sont nécessaires pour la constatation, l’exercice ou la défense des droits en justice ;
- Une obligation légale impose de conserver vos données.
Pour toutes demandes relatives à l’exercice de vos droits, vous pouvez contacter AR24 à l’adresse suivante : contact@ar24.fr (en copie : privacy@docaposte.fr)
Droit d’introduire une réclamation auprès de la CNIL
Nous vous rappelons que vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle, la Commission Nationale de l’Informatique et des Libertés (CNIL).
Contact et délégué à la protection des données
La désignation d’un Délégué à la Protection des Données témoigne de l’attachement du groupe DOCAPOSTE – La Poste à la protection, la sécurité et la confidentialité des Données Personnelles de ses clients.
Si vous avez des questions concernant la présente politique de confidentialité et les activités de traitement des données mises en œuvre par AR24, filiale du groupe DOCAPOSTE, ou si vous souhaitez exercer l’un de vos droits en vertu du RGPD, veuillez contacter :
Par courrier :
AR24
Pôle PRIVACY-RGPD
45/47 boulevard Paul Vaillant Couturier
94200 Ivry-sur-Seine
Par courriel :
contact@ar24.fr (en copie : privacy@docaposte.fr)
Modification de la page
Ce document AR24 peut être amené à évoluer.
Version 1.0