Politique de confidentialité du service PVID

Conformément au Règlement Général sur la Protection des Données (ci-après, le « RGPD »), AR24 vous informe qu’elle place la protection des Données à caractère personnel au cœur de ses missions et des services qui vous sont proposés.
 
La présente Politique énonce les principes et lignes directrices pour la protection des Données Personnelles pour les Utilisateurs du service de vérification d’identité à distance (« PVID »).

 

Définitions

Commanditaire : désigne la personne morale pour le compte de laquelle est réalisé le service de vérification d’identité à distance ;

Cookie : fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web. Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine ;

Données à caractère personnel, Données personnelles ou Données  : correspond à toutes informations relatives à une Personne Concernée identifiée ou identifiable permettant de l’identifier directement ou indirectement ;

Durée de conservation : durée imposée par le droit et/ou choisie par le responsable de traitement, au terme de laquelle les documents peuvent être détruits ;

Dossier de preuve : élément conservé par AR24 rassemblant les informations pertinentes à produire pour la résolution de litiges, ou en cas d’enquête et notamment afin de fournir des preuves en justice. Les données contenues dans le dossier de preuve ne sont pas conservées à des fins de traitement biométrique ;

Finalité : but/objet du Traitement de Données personnelles ;

Légitime détenteur du titre d’identité : personne à qui le Titre d’identité a été émis par le pays émetteur, et dont l’identité est représentée par ce Titre d’identité.

Personne Concernée : signifie toute personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles traitées. Est réputée être une personne identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (ex : nom, numéro d’identification, identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). Dans le cadre du PVID, l’utilisateur personne physique est la Personne Concernée ;

Responsable de traitement : personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de ce traitement ;

Service métier : service auprès duquel l’Utilisateur souhaite s’identifier, relevant de la responsabilité du Commanditaire, faisant appel au service de vérification d’identité à distance ;

Sous-traitant : personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données personnelles pour le compte du responsable de traitement ;

Titre d’identité : document officiel certifiant l’identité d’une personne. Les titres éligibles au service de vérification d’identité sont référencés sur le site www.ar24.fr. Sont acceptés les titres d’identité référencés à l’Annexe 4 du référentiel d’exigence PVID disponible sur le site de l’ANSSI ;

Traitement de Données personnelles  : concerne toutes les opérations ou ensemble d’opérations (automatisées ou non) portant sur des Données personnelles ou des ensembles de Données personnelles ;

Transfert de Données personnelles ou Transfert : toute action d’envoi, communication, copie, transmission, diffusion ou accès à distance à des Données personnelles, quel que soit le support ou le moyen de communication utilisé ;

Usurpation d’identité : action consistant à utiliser frauduleusement les données d’identification d’un tiers. Dans le cadre du référentiel PVID, la notion d’usurpation d’identité englobe également l’altération de l’identité, consistant à utiliser des données d’identification frauduleuses qui n’appartiennent pas à une personne existante.

Utilisateur : personne physique dont l’identité est vérifiée par le service de vérification d’identité à distance ;

Violation de Données personnelles : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données personnelles.

 

Responsable traitement

Le Responsable de traitement est le Commanditaire ayant demandé à AR24 d’identifier les Utilisateurs dans le cadre du Service métier. Ce rôle leur est reconnu par leur capacité à définir la finalité et les moyens de traitement de données pour laquelle est utilisé l’application.

Sous -traitant

Vos données sont traitées par la société AR24, filiale du Groupe DOCAPOSTE, au capital de 1177 euros, dont le siège social est au 45/47 Boulevard Paul Vaillant Couturier à 94200 IVRY-SUR-SEINE, présidée par Docaposte et ayant pour Numéro Unique d’Identification 809 480 122 (RCS de Creteil).

AR24 est un prestataire de service de vérification d’identité à distance, certifié par l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). AR24 agit à la suite d’un contrat signé avec un Commanditaire pour la réalisation de la prestation de vérification de votre identité.

Vous êtes tenus de fournir les données à caractère personnel mentionnées dans les présentes pour permettre à AR24 de vous identifier. La non-fourniture de ces données aura pour conséquence l’impossibilité de vérifier que le Titre d’identité présenté est authentique et que vous êtes le Légitime détenteur du titre d’identité.

 

Finalité du traitement

La finalité principale du traitement de vos données est de mettre à disposition des Clients d’AR24 un outil permettant de d’effectuer des identifications à distance de niveau substantiel de façon à infirmer ou confirmer votre identification unique.
Les Données à caractère personnel seront traitées pour l’amélioration du service et permettre aux Clients de lutter contre la fraude.

 

Base juridique du traitement de données

La définition de la base légale du Traitement des Données personnelles effectué en amont de l’utilisation du PVID est sous la responsabilité pleine et entière du Responsable de traitement.
Sauf Indication contraire de la part du Responsable de traitement, le traitement de vos données par AR24 repose sur la base légale de l’exécution du contrat matérialisé la relation commerciale de type B to B entre AR24 et ses clients.

 

Données à caractère personnel traitées & Durées de conservation associées

Données à caractère personnel traitées
Dans le cadre de la réalisation des Finalités de Traitement, AR24 est amené à traiter les jeux de Données à caractère personnel rattachables directement et indirectement à ses Utilisateurs. Les jeux de Données personnelles traités dans le cadre du PVID sont les suivants :

  • Données issues et inclues dans le Dossier de preuve concernant la vérification d’identité (conformément au référentiel PVID de l’ANSSI) :
    • Données transmises par le Service métier : L’adresse courriel de l’Utilisateur ; Les Données complémentaires pouvant comporter des Données personnelles.
    • Données extraites du Titre d’identité : La vidéo du Titre d’identité recto verso le cas échéant ; Une photo du Titre d’identité extraite de la vidéo susmentionnée ; La ou les photos de l’Utilisateur présentes sur le Titre d’identité ; Le numéro de document du Titre d’identité ; Le nom de naissance de l’Utilisateur ; Le nom d’usage (marital) ; Les prénoms de l’Utilisateur ; La nationalité de l’Utilisateur ; La civilité de l’Utilisateur ; La date et le lieu de naissance de l’Utilisateur ; La date d’émission, d’expiration du titre ; Le pays d’émission ;La bande MRZ (Machine Readable Zone) ; Le type de Titre d’identité ; Toutes données figurant sur le Titre d’identité telles que la taille, La signature du titulaire.
    • Données extraites de la vidéo du visage : La vidéo du visage de l’Utilisateur ; Une photo du visage de l’Utilisateur extrait de la vidéo susmentionnée.
    • Données stockées sous forme d’image : La photo de la face du Titre d’identité ; La photo du verso du titre.
  • Données de connexion
    • Adresse IP, user agent ;
    • Identifiants de connexion.
  • Autres Données
    • La date de soumission de la vérification d’identité par l’Utilisateur à l’issue de la phase de capture ;
    • La date de traitement de la vérification d’identité par un Opérateur.
  • Données biométriques : vecteur biométrique caractéristique du visage de la personne concernée (données calculées lors d’une phase d’identification puis supprimées après comparaison) et gabarits.

Durée de conservation associées aux Données traitées

  • Données issues et inclues dans le Dossier de preuve concernant la vérification d’identité (conformément au référentiel PVID de l’ANSSI)

La durée de conservation des Dossiers de preuve est fixée en tenant compte de la durée pendant laquelle peut survenir un contentieux et donc en fonction de l’activité du Service métier à l’origine de la demande de vérification d’identité. Celle-ci a été déterminée par le Responsable de traitement.

Les Données du dossier de preuve sont conservées, sauf demande contraire du service métier : (i) au maximum dix (10) années dans le cas d’un verdict succès lors de la vérification d’identité de la Personne concernée (ii) et pendant trois (3) mois dans le cas d’un verdict échec.

  • Données de connexion : trois (3) ans à partir de la première vérification d’identité à distance réalisée.
  • Autres Données : trois (3) ans.
  • Données biométriques : non conservées
  •  

    Catégories des personnes concernées par le traitement

    Les Personnes concernées par le Traitement de Données à caractère personnel du service PVID sont les personnes physiques dont l’identité est vérifiée par AR24, à savoir les Utilisateurs.

     

    Transferts de Données personnelles en dehors de l’Espace économique européen (EEE)

    Vos Données personnelles ne font pas l’objet d’un Transfert en dehors de l’Espace Economique Européen.

     

    Destinataires ou catégories de destinataires des données

    Au regard de la finalité poursuivie par ce Traitement, les Données traitées sur AR24 sont destinées à une liste limitée de collaborateurs d’AR24 habilités en raison de leurs fonctions. Les Sous-traitants suivants traiteront également de façon sécurisée vos Données :

    • MEDIAPOST HIT MAIL, société par actions dont le siège social est situé à Str. Siriului, non. 42-46, et. 3, secteur 1, BUCAREST, enregistrée au bureau du registre du commerce à Bucarest sous le numéro J40 / 8295/2000, code fiscal RO13351917.
       
      Type de traitement réalisé : vérification de l’identité de l’Utilisateur par un service d’opérateurs eIDAS, au sens du Référentiel d’exigences de l’ANSSI concernant les Prestataires de vérification d’identité à distance.
      Transfert de données hors UE : non concerné
    •  

    • NETHEOS, société par actions simplifiée au capital de 185 279.89 €, inscrite au Registre du Commerce et des Sociétés de Montpellier (34) sous le numéro 453 023 681, ayant son siège social sis Les Centuries I, 93 Place Pierre Duhem à 34000 MONTPELLIER.
       
      Type de traitement réalisé : récupération et traitement des Titres d’identité afin de (i) vérifier que le document ne soit pas frauduleux (ii) vérifier la cohérence entre le document et les données envoyées relatives à ce document.
      Transfert de données hors UE : non concerné
    •  

    • OCTOPUSH, société par actions simplifiée dont le siège social est situé 131, avenue du Prado 13008 Marseille, enregistré au Registre du Commerce et des Sociétés de Marseille sous le numéro 538 371 816.
       
      Type de traitement réalisé : prestataire d’envoi de SMS
      Transfert de données hors UE : concerné (sous-traitant ultérieur américain)
    •  

    • OUTSCALE, société par actions simplifiée unipersonnelle dont le siège social est situé 1, rue Royale, 319 Bureaux de la Colline 92210 Saint-Cloud, immatriculée au RCS de Nanterre sous le numéro B 527 594 493.
       
      Type de traitement réalisé : prestataire d’archivage et de stockage des Dossiers de preuve de signature
      Transfert de données hors UE : non concerné
    •  

    • DOCAPOSTE BPO, société par actions simplifiée au capital social de 16263464 €, immatriculée au Registre du Commerce et des Sociétés de Creteil sous le numéro 320 217 144, ayant son siège social au 45-47 Boulevard Paul Vaillant Couturier à 94200 IVRY-SUR-SEINE.
       
      Type de traitement réalisé : vérification de l’identité de l’Utilisateur par un service d’opérateurs eIDAS, au sens du Référentiel d’exigences de l’ANSSI concernant les Prestataires de vérification d’identité à distance.
      Transfert de données hors UE : non concerné
    •  

    Les destinataires des Données prennent toutes précautions utiles, au regard de la nature des Données et des risques que le Traitement fait peser sur les Personnes concernées et leurs droits, pour préserver la disponibilité, l’intégrité et la confidentialité des Données traitées.

     

    Sécurité des Données personnelles

    Vos Données personnelles sont conservées dans des conditions de sécurité et de confidentialité adaptées, AR24 ayant déployé une politique de sécurité prévoyant des mesures organisationnelles et techniques conformes à l’état de l‘art et aux référentiels applicables.

     

    Droit des personnes concernées

    La base légale du Traitement de Données personnelles réalisé par AR24 repose sur l’exécution du contrat conclu avec le Commanditaire. Cette base légale est susceptible d’affecter les droits et libertés des Personnes Concernées. Au regard de cette base légale de traitement, nous vous rappelons que vous pouvez exercer les droits suivants auprès du Responsable de traitement, en vertu de la législation européenne sur la protection des données :
     

    • Droit d’accès : vous avez le droit, sans justification préalable, de demander directement au Responsable de traitement d’accéder aux Données personnelles qui vous concernent. Ainsi, tout Utilisateur aura le droit d’accéder à ses Données en s’adressant au service en charge de la protection des Données ;
    • Droit à la rectification de vos données personnelles : en cas de traitement de vos Données personnelles, le Responsable de traitement et ses sous-traitants mettent en œuvre des mesures appropriées pour garantir l’exactitude de vos Données et leur mise à jour pour les Finalités auxquelles elles ont été collectées. Si vos Données personnelles sont inexactes ou incomplètes, vous avez le droit d’obtenir leur rectification ;
    • Droit à l’effacement de vos données personnelles : vous avez le droit de demander, dans certaines situations particulières que des Données personnelles vous concernant soient effacées. Ce droit à l’effacement peut notamment être exercé par les Personnes Concernées en cas de motif légitime
    • Droit à la limitation : vous pouvez contester l’exactitude des Données utilisées par le Responsable de traitement et ses Sous-traitants ou vous opposer à ce que vos Données soient traitées, le Responsable de traitement est habilité à instruire et examiner votre demande. Pendant ce délai d’instruction de celle-ci, vous pouvez demander au Responsable de traitement de geler l’utilisation de vos Données tout en les conservant ;
    • Droit à la portabilité : vous disposez de la possibilité de récupérer une partie de vos données personnelles sous format ouvert et lisible pour une réutilisation à des fins personnelles ;
    • Droit d’opposition ou droit au retrait du consentement: Vous avez le droit, à tout moment, de vous opposer à ce que vos Données fassent l’objet d’un Traitement.

     
    Selon les situations, un ou plusieurs de ces droit(s) ne pourra(ont) être satisfait(s), par exemple :

    • S’il existe un ou des motifs légitimes et impérieux qui imposent de continuer à traiter vos Données personnelles ;
    • Si vos Données personnelles sont nécessaires pour la constatation, l’exercice ou la défense des droits en justice ;
    • Si une obligation légale impose de conserver vos Données.

    En ce sens, conformément à l’article IV.3.1.2. « Données à caractère personnel » du référentiel PVID de l’ANSSI, les Utilisateurs peuvent exercer leur droit d’accès aux Données à caractère personnel les concernant détenues par le prestataire dans le Dossier de preuve, mais ne peuvent pas exercer de droit de rectification, d’effacement, d’opposition ou à la portabilité sur ce dossier.
     
    L’Utilisateur n’a pas accès aux données ayant fait l’objet de traitements automatisés ou manuels dont la communication est susceptible de renseigner sur la nature des vérifications réalisées par le service et relatives à la détection d’Usurpation d’identité.
     
    Pour toutes demandes relatives à l’exercice de vos droits, vous pouvez contacter le Responsable de traitement. Toute demande d’exercice de droit reçue directement par AR24 sera directement transmise au Responsable de traitement.
     

    Droit d’introduire une réclamation auprès de la CNIL

    Nous vous rappelons que vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle, la Commission Nationale de l’Informatique et des Libertés (CNIL).
     

    Contact et délégué à la protection des données

    La désignation d’un Délégué à la Protection des Données témoigne de l’attachement du groupe DOCAPOSTE – La Poste à la protection, la sécurité et la confidentialité des Données Personnelles de ses clients.

    Si vous avez des questions concernant la présente politique de confidentialité et les activités de traitement des données mises en œuvre par AR24, filiale du groupe DOCAPOSTE, ou si vous souhaitez exercer l’un de vos droits en vertu du RGPD, veuillez contacter :

    Par courrier :

    DOCAPOSTE
    Pôle PRIVACY-RGPD
    45/47 boulevard Paul Vaillant Couturier
    94200 Ivry-sur-Seine

    Par courriel : privacy@docaposte.fr
     

    Modification de la Politique de confidentialité

    La présente Politique de confidentialité peut être modifiée en tout ou partie, à tout moment, par AR24. Toute modification de la présente politique et des traitements de données à caractère personnel sera portée à la connaissance des utilisateurs.

    Pour toutes demandes relatives à l’exercice de vos droits, vous pouvez contacter AR24 à l’adresse suivante : ar24.contact@docaposte.fr (en copie : privacy@docaposte.fr)

     
    Télécharger la Politique de Confidentialité PVID au format PDF