Protection des données personnelles (RGPD)

1. Objet du présent document

Le présent document a pour objet d'informer les utilisateurs du service VERICHAP KYC sur la manière dont leurs données à caractère personnel peuvent être traitées dans le cadre des opérations de vérification d'identité, de lutte contre la fraude et de conformité réglementaire (KYC, LCB-FT, etc.).

Il complète les Conditions Générales d'Utilisation (CGU) et s'inscrit dans le respect des réglementations applicables en matière de protection des données personnelles, notamment le Règlement Général sur la Protection des Données (RGPD) lorsque celui-ci est applicable, ainsi que les lois locales de protection des données pertinentes.

2. Responsable de traitement et intervenants

Selon les cas d'usage, le rôle de chaque acteur peut varier :

• Le Client (banque, fintech, opérateur, plateforme, etc.) est en principe responsable de traitement pour les données de ses propres utilisateurs, clients ou prospects.
• VERICHAP-TECHNOLOGY, éditeur de VERICHAP KYC, agit en tant que prestataire technique / sous-traitant pour le compte du Client, sur la base d'instructions documentées.

Lorsque VERICHAP-TECHNOLOGY agit comme sous-traitant, les responsabilités respectives sont précisées dans la documentation contractuelle conclue avec le Client (conditions particulières, annexes de protection des données, etc.).

3. Catégories de données traitées

Dans le cadre de l’utilisation du service VERICHAP KYC, les traitements peuvent porter sur différentes catégories de données, en fonction du scénario défini par le Client :

• Données d'identité : nom, prénoms, date de naissance, lieu de naissance, informations présentes sur les pièces d'identité (numéro de document, dates, nationalité, etc.).
• Données liées aux documents : informations figurant sur des documents d'entreprise, justificatifs d'adresse ou autres pièces justificatives fournies par le Client ou l'utilisateur.
• Données d'image : photographie ou image d'un document, photographie d'une personne (par exemple selfie) et données techniques associées.
• Données techniques : informations liées au fonctionnement du service (journalisation technique minimale, identifiants internes, données relatives à la qualité des documents, indicateurs et scores de fiabilité).

Les catégories de données effectivement traitées dépendent des paramètres définis par le Client et des pièces qu’il choisit de soumettre au service.

4. Finalités des traitements

Les données peuvent être traitées pour les finalités suivantes :

• vérification et validation de l'authenticité de documents fournis par l'utilisateur ;
• comparaison de certaines informations (par exemple cohérence des données issues d'un document avec les informations déclarées) ;
• détection de tentatives de fraude documentaire ou d'usurpation d'identité ;
• production d'indicateurs et de scores de fiabilité utilisés par le Client pour ses propres décisions de conformité ;
• sécurisation du service, suivi de la qualité, gestion des incidents et amélioration de la performance technique ;
• respect des obligations légales et réglementaires du Client (lutte contre le blanchiment, financement du terrorisme, etc.), lorsque cela est applicable.

VERICHAP-TECHNOLOGY n'utilise pas les données à caractère personnel à des fins de prospection commerciale directe, sauf accord spécifique distinctement obtenu.

5. Bases légales

Les traitements réalisés via VERICHAP KYC reposent sur l’une ou plusieurs des bases légales suivantes, déterminées par le Client responsable de traitement :

• exécution d’un contrat ou de mesures précontractuelles (par exemple vérification d'identité préalablement à l'ouverture d'un compte) ;
• respect d’une obligation légale à laquelle le Client est soumis (lutte contre le blanchiment, obligations KYC réglementaires, etc.) ;
• intérêt légitime du Client, par exemple pour sécuriser les accès à un service et prévenir la fraude ;
• consentement de la personne concernée, lorsque cela est requis par la réglementation applicable.

Le Client est responsable de l'information des personnes concernées sur la base légale retenue et des modalités de collecte des consentements lorsque ceux-ci sont nécessaires.

6. Durées de conservation

VERICHAP KYC est conçu pour limiter la conservation des documents originaux au strict nécessaire :

• les images et documents sont traités en temps réel, puis supprimés des espaces techniques temporaires une fois les analyses terminées, selon des délais de rotation standard ;
• des données dérivées (résultats d'analyse, scores, champs extraits) peuvent être conservées par le Client dans ses propres systèmes, selon les durées qu'il définit au regard de ses obligations légales et contractuelles ;
• du côté de VERICHAP-TECHNOLOGY, seules des informations techniques minimales peuvent être conservées pendant une durée limitée pour la sécurité, la traçabilité et la facturation (par exemple journaux techniques et compteurs d'utilisation).

Les durées de conservation exactes peuvent être précisées dans la documentation contractuelle entre VERICHAP-TECHNOLOGY et le Client, et dans l'information fournie par le Client aux personnes concernées.

7. Destinataires des données

Les données traitées dans le cadre de VERICHAP KYC peuvent être accessibles, dans la limite de leurs missions et autorisations, aux catégories de destinataires suivantes :

• équipes habilitées du Client (services conformité, risques, sécurité, etc.) ;
• VERICHAP-TECHNOLOGY en tant que prestataire technique ;
• prestataires d'infrastructure et de services techniques participant à l'hébergement ou au fonctionnement de la solution, soumis à des engagements de confidentialité appropriés ;
• le cas échéant et dans le respect des lois applicables, autorités de contrôle ou autorités judiciaires, sur demande légale.

Les données ne sont pas vendues à des tiers. Toute réutilisation à d'autres fins que celles décrites ci-dessus nécessite un cadre contractuel spécifique et une information adaptée des personnes concernées.

8. Transferts de données

En fonction des choix d'hébergement et des prestataires techniques retenus, certains traitements peuvent impliquer des transferts de données vers des pays situés en dehors de la juridiction d'origine du Client.

Lorsqu'un tel transfert est susceptible d'intervenir, le Client veille à ce que des garanties appropriées soient mises en place (par exemple clauses contractuelles types, mesures de sécurité complémentaires, conditions contractuelles spécifiques) conformément aux réglementations applicables.

Les informations détaillées sur les pays de stockage ou de transit peuvent être précisées dans la documentation contractuelle conclue avec le Client et dans l'information fournie par celui-ci à ses utilisateurs finaux.

9. Mesures de sécurité

VERICHAP-TECHNOLOGY met en œuvre des mesures techniques et organisationnelles destinées à protéger les données traitées via VERICHAP KYC, parmi lesquelles :

• segmentation et isolation des environnements d'exécution ;
• gestion contrôlée des accès et des secrets (clés, identifiants) ;
• journalisation technique des opérations critiques ;
• surveillance de la disponibilité et de la performance des services ;
• bonnes pratiques de développement sécurisé et limitation des données traitées au strict nécessaire (minimisation).

Le Client est responsable de la sécurité de ses propres systèmes (applications, postes, réseaux) et des dispositifs qu'il met en place pour protéger les données qu'il conserve en interne (chiffrement, contrôles d'accès, politique de mots de passe, etc.).

10. Droits des personnes concernées

Selon la réglementation applicable, les personnes dont les données sont traitées disposent notamment des droits suivants :

• droit d'accès à leurs données ;
• droit de rectification des données inexactes ou incomplètes ;
• droit à l'effacement dans certains cas ;
• droit à la limitation du traitement dans certains cas ;
• droit d'opposition au traitement pour des raisons tenant à leur situation particulière, lorsque ce traitement repose sur l'intérêt légitime ;
• droit à la portabilité des données lorsque les conditions légales sont réunies ;
• droit de retirer leur consentement lorsque le traitement repose sur celui-ci, sans effet rétroactif sur la licéité des traitements déjà effectués.

En pratique, les demandes d'exercice de droits doivent en priorité être adressées au Client, en tant que responsable de traitement, selon les procédures qu'il met à disposition (formulaire, e-mail dédié, etc.).

Lorsque VERICHAP-TECHNOLOGY reçoit directement une demande de la part d'une personne concernée, celle-ci est, le cas échéant, transmise au Client responsable de traitement, sauf contraintes légales particulières.