Protection des données Verifeye.

Vérification d'identité avec Verifeye Online Video-Ident

Notice de confidentialité complémentaire

Vous pouvez compter sur la protection et la sécurité de vos données à caractère personnel : la protection de votre vie privée lors du traitement des données à caractère personnel est une préoccupation essentielle pour nous. Les informations suivantes relatives à la protection des données vous donnent un aperçu du traitement de vos données et des droits auxquels vous avez droit en vertu de la réglementation en matière de protection des données lors de l'utilisation des procédures de vérification d'identité chez Cryptonow GmbH.

La présente politique de confidentialité complète la politique de confidentialité générale de Cryptonow GmbH.

1. Qui est responsable du traitement des données et qui puis-je contacter ?

Le responsable du traitement (c'est-à-dire la partie responsable du traitement de vos données) est :

Cryptonow GmbH, Marc-Aurel-Str. 10–12, 1010 Vienne, Autriche

Vous pouvez joindre notre délégué à la protection des données de l'entreprise à l'adresse :

Adresse électronique : [email protected]

2. Quelles sources et données Cryptonow GmbH utilise-t-elle ?

Dans le cadre du processus de vérification d'identité, nous ne traitons que les données que vous nous communiquez ou que le prestataire de services nous transmet.

Les données à caractère personnel traitées par nos soins dans le cadre du processus de vérification d'identité sont les suivantes :

Champ : Fourni par Verifeye

• Client ID : Défini par Verifeye

• Customer ID : Défini par le Client

• Identifiant client unique : ID de session

• Résultat de la vérification : Succès / Rejeté / Flux incomplet

• Numéro de téléphone mobile : +49 175 123 456 78

• Type de document : Carte d'identité / Passeport

• Civilité : M. / Mme

• Numéro de document : Extrait du document d'identité

• Prénom : Erika

• Nom de famille : Mustermann

• Nom de jeune fille : Gabler

• Rue : Musterstraße

• Numéro : 5

• Code postal : 60594

• Ville : Frankfurt

• Pays : Deutschland

• Nationalité : Deutsch

• Date de naissance : 25.10.1985

• Pays de naissance : Deutschland

• Date de délivrance : 27.12.2012

• Date d'expiration : 26.12.2022

• Autorités d'émission : Stadt Frankfurt

• Signature : Extraite du document d'identité

• Photo(s) du document d'identité : JPG / PNG

• Photo (selfie) du client : JPG / PNG

• Photo en direct du client prise par l'agent : JPG/PNG

• Photo(s) en direct du document d'identité prises par l'agent : JPG/PNG

• Enregistrements vidéo et audio de l'appel : MP4

• PDF contenant toutes les données ci-dessus sauf le fichier vidéo : PDF

En outre, les preuves audiovisuelles suivantes sont collectées dans le cadre du processus d'identification conforme à la LBC :

  • Photo de vous-même (selfie)

  • Photo de votre document d'identité

  • Enregistrement (audio/vidéo) de l'intégralité de l'appel

Par ailleurs, la comparaison par selfie a lieu dans le cadre du processus de vérification d'identité. Sur la base du consentement que vous avez fourni (voir section complémentaire 3), une image en direct de votre visage est comparée avec la photo de votre document d'identité. Cette correspondance renforce la protection contre la fraude et évite efficacement l'usurpation d'identité lors des vérifications d'identité. Ces informations font l'objet d'une protection renforcée en tant que catégories particulières de données à caractère personnel au sens de l'art. 9 du RGPD. Elles sont traitées brièvement par les prestataires de services mandatés par Cryptonow GmbH pendant la durée du processus de correspondance. Les données ne sont pas stockées ni transmises à Cryptonow GmbH. Seul un score de résultat de correspondance est enregistré, mais il ne s'agit pas de données biométriques.

3. À quelles fins et sur quelle base juridique Cryptonow GmbH traite-t-elle vos données ?

Nous traitons les données à caractère personnel conformément aux dispositions du règlement général sur la protection des données (RGPD), de la loi fédérale allemande sur la protection des données (BDSG) et des autres réglementations légales applicables.

Nous traitons les données collectées dans le cadre du processus de vérification d'identité afin d'assurer une identification sécurisée et légalement conforme de nos clients. Cela inclut la prévention aussi efficace que possible des risques de fraude et d'usurpation d'identité, ainsi qu'un processus de vérification qui les documente.

Le processus de vérification d'identité comprend donc les étapes suivantes :

Validation du document d'identité (carte d'identité ou passeport)

Le client prend en photo le recto et le verso de sa carte d'identité ou, alternativement, la page lisible par machine de son passeport. Le système lit les informations de la zone de lecture automatique (MRZ) du document d'identité et effectue des calculs automatisés des chiffres de contrôle contenus dans la MRZ, ainsi que des comparaisons croisées des informations contenues avec les informations figurant dans la zone de visualisation du document d'identité. Les identifications vidéo avec des documents d'identité inadaptés sont ainsi écartées à un stade précoce.

Comparaison par selfie

Après la validation du document d'identité, le client est invité à prendre un selfie. Sur la base des caractéristiques biométriques faciales, le selfie est comparé avec la photo figurant sur le document d'identité. Cela contribue également à réduire efficacement les risques de fraude.

Appel vidéo avec un agent de vérification

Lors de l'appel d'identification vidéo proprement dit, le client est mis en relation avec un agent de centre d'appels. L'appel d'identification vidéo se déroule en temps réel, sans interruption. Les appels vidéo sont protégés par un chiffrement de bout en bout.

OTP (mot de passe à usage unique) sous forme de mTAN

À la dernière étape de l'appel vidéo, l'agent vidéo envoie un OTP sous forme de mTAN au numéro de téléphone mobile du client. Le client doit saisir ce mTAN pour finaliser le processus d'identification. Cela permet de sécuriser davantage le processus d'identification dans le cadre d'une authentification à deux facteurs.

L'identification de votre personne et le traitement de vos données à caractère personnel sont nécessaires pour conclure et exécuter la relation contractuelle correspondante avec vous. Nous remplissons ainsi nos obligations d'identification au titre de la législation relative à la lutte contre le blanchiment de capitaux et contribuons à la lutte efficace contre les abus et à l'administration de la preuve. Le fondement du traitement de vos données à caractère personnel est en conséquence l'art. 6, par. 1, let. b, du RGPD (mesures précontractuelles et exécution du contrat), l'art. 6, par. 1, let. c, du RGPD (respect des obligations légales au titre de la loi sur le blanchiment de capitaux) et l'art. 6, par. 1, let. f, du RGPD (intérêts légitimes).

Le traitement des données biométriques dans le contexte de la comparaison par selfie présentée est exclusivement fondé sur votre consentement librement donné conformément à l'art. 6, par. 1, let. a, et à l'art. 9, par. 2, let. a, du RGPD.

4. Qui reçoit mes données ?

Cryptonow GmbH fait appel à des prestataires de services externes pour effectuer la vérification d'identité. Les prestataires de services utilisés sont contractuellement obligés en tant que sous-traitants conformément à l'art. 28 du RGPD et sont soumis aux instructions de Cryptonow GmbH. L'échange de données à caractère personnel entre le prestataire de services et Cryptonow GmbH est étroitement aligné sur l'objet du contrat.

Nous ne pouvons transmettre des informations vous concernant à des tiers que si la loi l'exige, que vous avez donné votre consentement, ou que nous sommes autorisés à fournir ces informations. Dans ces conditions, les destinataires de données à caractère personnel peuvent être, par exemple : des institutions gouvernementales (c'est-à-dire les autorités judiciaires, fiscales et d'enquête) en cas d'obligation légale ou administrative.

En ce qui concerne le transfert nécessaire et autorisé de données à des destinataires extérieurs à l'entreprise, nous respectons les réglementations applicables en matière de protection des données.

5. Les données sont-elles transférées vers un pays tiers ou vers une organisation internationale ?

Aucune donnée n'est transférée vers des pays extérieurs à l'Union européenne (dits pays tiers).

6. Pendant combien de temps mes données seront-elles conservées ?

Le prestataire de services conserve les données collectées dans le cadre du processus de vérification d'identité pendant une période de 7 jours afin de garantir les obligations contractuelles de vérification et d'inspection. Cela s'applique aussi bien en cas d'identification abandonnée qu'en cas d'identification menée à bien.

Les données biométriques ne sont pas traitées par le prestataire de services au-delà du processus de comparaison par selfie. Elles ne sont ni stockées ni transmises à Cryptonow GmbH. Seul le résultat de la correspondance, qui ne constitue pas des données biométriques, est conservé pendant 7 jours.

En tant que Cryptonow GmbH, nous conservons les données collectées par le prestataire de services utilisé et transmises à nous pendant 10 ans après la fin de la relation commerciale ou pendant 10 ans après le règlement complet de la transaction, selon ce qui est applicable.

7. Comment la sécurité de mes données est-elle garantie ?

La sécurité des données collectées est assurée par un large éventail de mesures (c'est-à-dire des mesures de protection empêchant l'accès non autorisé aux locaux où se déroule le processus d'identification vidéo — systèmes de contrôle d'accès, systèmes d'alarme, mesures anti-effraction, sécurité par mot de passe, etc. ; mesures contre la destruction et la perte — procédures de sauvegarde des données, protection antivirus, plans d'urgence, protection contre l'incendie et l'extinction, etc. — et sécurisation des lignes de communication par un chiffrement de pointe).

8. Quels sont mes droits en matière de protection des données ?

Vous bénéficiez des droits suivants conformément aux art. 15 à 22 du RGPD, sous réserve que toutes les exigences légales soient remplies :

  • Droit d'accès conformément à l'art. 15 du RGPD : c'est-à-dire le droit d'obtenir de notre part la confirmation que des données à caractère personnel vous concernant sont en cours de traitement et, dans l'affirmative, d'obtenir des informations sur ces données et des informations complémentaires ;

  • Droit de rectification conformément à l'art. 16 du RGPD : dans la mesure où des données à caractère personnel vous concernant sont inexactes ;

  • Droit à l'effacement conformément à l'art. 17 du RGPD : par exemple si les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été traitées ;

  • Droit à la limitation du traitement conformément à l'art. 18 du RGPD ; et

  • En ce qui concerne le droit à l'information et le droit à l'effacement, les restrictions prévues aux articles 34 et 35 du BDSG.

En outre, il existe un droit d'introduire une réclamation auprès de l'Autorité de contrôle compétente en matière de protection des données (art. 77 du RGPD).

9. Droit de retrait de votre consentement

Vous pouvez librement retirer votre consentement au traitement des données à tout moment. Cela n'affecte toutefois pas la licéité du traitement effectué sur la base du consentement jusqu'au moment du retrait. Si vous retirez votre consentement ou vous opposez efficacement à tout traitement ultérieur fondé sur votre consentement, nous ne traiterons plus les données à ces fins.

10. Information sur votre droit d'opposition

Vous avez le droit de vous opposer à tout moment au traitement de vos données à caractère personnel, qui est effectué sur la base d'une mise en balance des intérêts (art. 6, par. 1, phrase 1, let. f, du RGPD), dans la mesure où des raisons découlant de votre situation particulière s'y opposent. Cela s'applique également à toute prise de décision automatisée au cas par cas susceptible d'être utilisée (art. 22 du RGPD). Si vous vous y opposez, nous ne traiterons plus vos données à caractère personnel à ces fins, sauf si nous pouvons démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés. D'autres motifs sont l'établissement, l'exercice ou la défense de droits en justice.