Déclaration de confidentialité Signicat ReadID

Dans la présente déclaration de confidentialité, nous expliquons comment et sur quelle base Signicat et ses sociétés affiliées Inverid (ci-après dénommées collectivement « Signicat ») collectent, conservent et traitent les données à caractère personnel des personnes concernées, c’est-à-dire les représentants de nos clients, les utilisateurs de nos services, les candidats à l’emploi et les visiteurs (voir définitions ci-dessous). Nous y expliquons également quels sont les droits des personnes concernées ainsi que nos obligations et responsabilités. Des exemples sont fournis afin de rendre ces informations plus claires et faciles à comprendre.

L’activité principale de Signicat consiste à fournir la technologie d’identification ReadID, qui repose sur la lecture des puces intégrées dans les documents d’identité officiels. Dans la plupart des cas, ReadID est fourni sous forme de service cloud (« software-as-a-service » ou SaaS), dans le cadre duquel nous traitons les données à caractère personnel des utilisateurs conformément aux instructions de nos clients. Dans ce contexte, nos clients agissent en tant que responsables du traitement, car ils déterminent la finalité du traitement des données à caractère personnel des utilisateurs. En conséquence, Signicat agit en qualité de sous-traitant pour les services concernés.

Afin de comprendre pleinement la manière dont leurs données personnelles sont traitées, les personnes concernées sont invitées à consulter également la politique de confidentialité des clients pour les services pour lesquels elles procèdent à une vérification d’identité. 

Outre la version cloud de ReadID, nous proposons également une version dite « client seul », dans laquelle la vérification de la puce s’effectue exclusivement sur le téléphone de l’utilisateur. Dans ce cas, Signicat ne traite donc aucune donnée à caractère personnel sur ses serveurs.

Notre application ReadID Me, accessible au grand public, illustre l’utilisation de cette version « client seul » de ReadID.

Dans d’autres cas, Signicat agit en tant que responsable du traitement des données à caractère personnel, par exemple pour les visiteurs de notre site web ou les représentants de clients sollicitant une assistance. Nous pouvons également traiter certaines informations anonymisées provenant des utilisateurs de ReadID, à des fins de développement et d’amélioration de nos services, ainsi que dans d’autres contextes ou pour d’autres finalités légitimes.

Dans tous les cas, nous veillons à ce que les données soient traitées avec le plus grand soin.

Vous trouverez ci-dessous la définition des principaux termes utilisés dans la présente déclaration de confidentialité, afin de vous aider à mieux comprendre comment et dans quel but nous traitons vos données à caractère personnel.

Responsable du traitement : toute personne morale, autorité publique, agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel, et donne des instructions à Signicat concernant les activités de traitement, sauf lorsque Signicat agit elle-même en tant que responsable du traitement.

Sous-traitant : Signicat traite les données à caractère personnel pour le compte du responsable du traitement, sauf lorsqu’elle agit elle-même en tant que responsable du traitement. Signicat peut également faire appel à des sous-traitants, lesquels sont autorisés à traiter des données à caractère personnel sous l’autorité et conformément aux instructions du responsable du traitement.

Personne concernée / vous : toute personne physique dont nous détenons des informations ou des données permettant de l’identifier, directement ou indirectement. Les personnes concernées comprennent notamment les représentants de nos clients, les utilisateurs recourant à nos services de vérification d’identité, les visiteurs de notre site web, les candidats à un emploi, ainsi que toute autre personne physique dont nous pouvons être amenés à traiter les données à caractère personnel.

Client : l’entité juridique à laquelle nous fournissons nos services dans le cadre d’un accord contractuel.

Données à caractère personnel : toute information permettant d’identifier, directement ou indirectement, une personne physique (la « personne concernée »), telle que son nom, son adresse postale, son adresse électronique ou son numéro de téléphone. Les informations relatives à une personne morale ne constituent pas des données à caractère personnel, mais celles concernant une personne de contact ou un représentant d’une personne morale en sont.

Traitement : toute opération ou tout ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, l’utilisation, la communication, la transmission ou la suppression de ces données.

Utilisateur ReadID SaaS : toute personne physique à laquelle nous fournissons le service ReadID à la demande d’un client. Ce service peut être proposé via l’application prête à l’emploi ReadID Ready de Signicat, ou au moyen du kit de développement logiciel (SDK) ReadID SaaS que le client peut intégrer dans sa propre application mobile. L’application ReadID Ready et le SDK communiquent tous deux avec un serveur SaaS hébergé par un fournisseur de cloud public, lequel assure l’ensemble du traitement et des vérifications des données.

Utilisateur ReadID Me : toute personne physique utilisant notre application ReadID Me, destinée aux particuliers et à certains clients.

Utilisateur ReadID Client-Only : utilisateur de la version ReadID Client-Only, mise à disposition par un client et réservée à l’usage de ses propres utilisateurs.

Représentant du client : toute personne physique interagissant avec Signicat en qualité de représentant d’un client, avant la conclusion d’un contrat et pendant toute sa durée.

Visiteur : toute personne manifestant un intérêt pour Signicat ou pour nos produits et services ReadID, notamment les visiteurs de notre site web, les abonnés à notre newsletter, les participants à nos webinaires, les personnes effectuant des tests de sécurité sur nos systèmes ou encore les candidats potentiels à un emploi.

Signicat traite les données à caractère personnel suivantes :

•  Les utilisateurs de ReadID SaaS, dont les données sont traitées par Signicat en qualité de sous-traitant pour le compte de nos clients (les responsables du traitement).
• Les représentants de nos clients, dont les données sont traitées lorsque ces derniers agissent en tant que responsables du traitement.
• Les visiteurs, en tant que responsables du traitement des données.

Nous ne traitons pas de données à caractère personnel concernant les utilisateurs de ReadID Me, car toutes les données restent stockées sur le téléphone mobile sur lequel l’application ReadID Me est installée. Il en va de même pour les clients qui utilisent la version ReadID Client-Only, puisque Signicat ne reçoit aucune donnée à caractère personnel. Dans ces cas, le client demeure pleinement responsable du traitement et de la confidentialité des données à caractère personnel concernées. Toutefois, dans un souci de transparence, nous avons choisi d’inclure la version ReadID Client-Only dans la présente déclaration de confidentialité.

La présente déclaration de confidentialité couvre le traitement des données à caractère personnel effectué par Signicat. À l’exception des données ReadID SaaS, les données à caractère personnel peuvent être partagées entre ces entités juridiques dans la mesure où la législation applicable le permet.

Pour les services ReadID SaaS, Signicat traite les données à caractère personnel pour le compte d’un client. Dans ce cas, le client agit en tant que responsable du traitement et Signicat en qualité de sous-traitant.

Données à caractère personnel que nous traitons concernant les utilisateurs de ReadID SaaS :
Signicat fournit, dans le cadre de ReadID, des services de vérification d’identité à ses clients. Cela signifie que nous procédons à la vérification de votre identité. Pour ce faire, vous (c’est-à-dire l’utilisateur de ReadID SaaS) avez accepté le traitement de vos données conformément à la politique de confidentialité du client, ainsi que le traitement ultérieur de ces données par nos soins conformément à la présente déclaration de confidentialité.

Nous pouvons collecter et traiter les données à caractère personnel suivantes :

• Données à caractère personnel contenues dans la puce d’un document d’identité reconnu et présenté par l’utilisateur, par exemple un passeport, une carte d’identité ou un permis de conduire.
• Données à caractère personnel figurant sur la page d’identification (recto et verso) du document d’identité présenté.
• Un scan biométrique du visage, utilisé afin de vérifier que l’utilisateur correspond bien à la personne figurant sur le document d’identité présenté.
• Adresse IP de l'utilisateur.

L’ensemble de ces données, ou une partie seulement, peut être combiné à des données non personnelles, telles que les résultats des différentes vérifications effectuées, puis partagé avec le client conformément à l’accord de traitement des données.

Afin d’améliorer les performances du service SaaS ReadID, nous collectons certaines informations d’utilisation anonymes, par exemple pour identifier des problèmes liés aux documents d’identité émis dans certains pays. Ces informations d’utilisation ne contiennent aucune donnée à caractère personnel. Par ailleurs, Signicat n’est pas en mesure d’associer directement ou indirectement ces informations à une personne identifiable. Les informations d’utilisation sont uniquement exploitées dans le but d’améliorer la qualité du service ReadID et ne sont utilisées à aucune autre fin. Signicat ne les conserve que pendant la durée strictement nécessaire à la réalisation de cet objectif.

Plus précisément, Signicat collecte les informations d’utilisation suivantes au moyen du SDK ReadID SaaS :

• Informations relatives au téléphone, notamment le type d’appareil, la version d’Android ou d’iOS et la capacité de mémoire. Nous ne collectons aucune information permettant d’identifier un téléphone particulier.
• Le type de document d’identité scanné et lu, l’indication de la réussite ou non du scan, la réussite éventuelle de la lecture de la puce, le pays ayant délivré le document d’identité, le certificat de signature du document tel qu’il est stocké sur la puce, ainsi que la date d’expiration. Nous collectons la date d’expiration, car elle nous permet de déterminer la version du document d’identité scanné.
• Informations relatives à l’expérience d’utilisation : durée des différentes étapes, réussite éventuelle de leur exécution et fréquence d’utilisation.

Signicat utilise des serveurs placés sous son propre contrôle, tandis que les données d’utilisation analytiques spécifiques sont hébergées par un prestataire tiers.

Données à caractère personnel que nous traitons concernant les représentants de nos clients :
Afin de conclure un contrat avec Signicat, de fournir nos services, de communiquer avec les représentants de nos clients et pour d’autres motifs légitimes, nous devons traiter leurs données à caractère personnel. Cela signifie que nous pouvons traiter, entre autres, les données à caractère personnel suivantes concernant les représentants de nos clients :

• les données à caractère personnel du représentant du client, telles que son nom, son titre, sa fonction et ses coordonnées ;
• les données à caractère personnel liées à la fourniture du service, telles que les informations de connexion du représentant au portail de gestion ReadID, notamment son nom d’utilisateur, son adresse électronique et son numéro de téléphone mobile ;

Données à caractère personnel que nous traitons concernant les visiteurs :
nous pouvons collecter certaines données lorsque vous visitez, par exemple, notre site web (à l’aide de cookies), recevez notre newsletter (lors de votre inscription), participez à un webinaire Signicat (lors de l’enregistrement) et/ou postulez à un emploi chez Signicat. Ces données à caractère personnel peuvent inclure, entre autres, les éléments suivants :

• données à caractère personnel, telles que l’adresse IP, la date, l’heure et le lieu de la visite ;
• informations relatives à l’utilisation du site web, telles que les pages consultées, la date et l’heure de la visite, les fichiers téléchargés et les URL des sites web visités avant et après la navigation sur le site ;
• adresses électroniques, lorsque vous vous abonnez aux newsletters de Signicat, téléchargez du contenu Signicat ou vous inscrivez à un webinaire Signicat ;
• données d’identification et de contact, si vous décidez de signaler un problème mentionné dans notre politique de divulgation coordonnée des vulnérabilités ; (Coordinated Vulnerability Disclosure Policy).[
• curriculum vitæ et lettres de motivation des candidats à un emploi.

Données à caractère personnel que nous traitons concernant les utilisateurs de ReadID Me : Signicat met à disposition l’application ReadID Me via le Play Store et l’App Store. ReadID Me est destinée à un usage personnel et est librement accessible au public. Nous proposons cette application afin de permettre aux utilisateurs de visualiser les informations contenues dans la puce de leur document d’identité. Les analyses et les retours que nous recevons contribuent par ailleurs à l’amélioration du logiciel ReadID sous-jacent. L’application ReadID Me fonctionne exclusivement sur le terminal de l’utilisateur. Cela signifie qu’elle traite localement, sur le smartphone de l’utilisateur, les données nécessaires à la lecture de la puce et des données à caractère personnel qui y sont stockées, sans les partager avec Signicat. Autrement dit, l’application n’envoie aucune donnée à caractère personnel vers un serveur pour traitement par Signicat. De plus, les données à caractère personnel traitées ne sont pas conservées sur le smartphone. Signicat ne collecte donc aucune donnée à caractère personnel. Nous ne savons pas, et ne cherchons pas à savoir, qui sont les utilisateurs de ReadID Me ni les personnes dont les documents d’identité sont scannés.

Comme pour ReadID SaaS, ReadID Me collecte certaines informations d’utilisation anonymes, utilisées par Signicat afin d’améliorer ses services ReadID (voir la section ci-dessus relative aux utilisateurs de ReadID SaaS).

Données à caractère personnel que nous traitons concernant les utilisateurs de ReadID Client-Only :
dans ce cas, Signicat ne traite aucune donnée à caractère personnel concernant l’utilisateur. Le client peut, de son côté, traiter certaines données à caractère personnel et demeure pleinement responsable de la confidentialité de toutes les données ainsi traitées. En outre, Signicat ne collecte aucune donnée d’utilisation, même sous forme anonymisée.

Comment nous obtenons les données personnelles d'un utilisateur ReadID SaaS : nous recevons vos données personnelles dans le cadre d'une vérification d'identité que nous effectuons pour un service client que vous utilisez. Le client nous a autorisé contractuellement à traiter vos données en son nom dans le cadre d'un certain service. 

Comment nous obtenons les données à caractère personnel du représentant d’un client :
nous collectons ces données soit directement auprès de vous lorsque vous communiquez avec nous, par exemple en nous adressant un courriel, en nous transmettant vos informations par téléphone ou via nos outils d’assistance clientèle. Nous pouvons également collecter certaines de vos données à caractère personnel dans le cadre de la prestation de nos services à votre employeur. Nous vérifions par ailleurs les informations relatives au client (y compris celles concernant les représentants concernés) à partir de sources accessibles au public. Nous ne collectons que les données pertinentes et nécessaires pour valider le droit de représentation ; cela peut inclure, par exemple, la vérification de votre identité ou le traitement de vos données à caractère personnel aux fins du fonctionnement de notre service.

Comment nous obtenons les données à caractère personnel des visiteurs :
lorsque vous consultez notre site web, nous utilisons des cookies afin de collecter certaines informations. Ces cookies ont pour objectif d’améliorer votre expérience de navigation sur notre site et de fournir à Signicat des données pouvant être utilisées pour de futures optimisations. Pour plus d’informations sur l’utilisation des cookies, veuillez consulter notre politique relative aux cookies, Signicat Privacy and Cookie Policy. 

Pour notre newsletter, le téléchargement de contenus, la participation à des webinaires ou pour postuler à un emploi chez Signicat, vous nous fournissez directement vos données à caractère personnel.

Comment nous obtenons les données à caractère personnel des utilisateurs de ReadID Me :
aucune donnée à caractère personnel n’est collectée lors de l’utilisation de notre application ReadID Me. Cette application est destinée à un usage strictement personnel. Des métadonnées non personnelles (voir ci-dessus) sont toutefois collectées pendant l’utilisation de l’application.

Comment nous obtenons les données à caractère personnel des utilisateurs de ReadID Client-Only :
dans ce cas, Signicat n’obtient aucune donnée, qu’elle soit à caractère personnel ou d’une autre nature, à partir de l’application.

Nous ne traitons vos données à caractère personnel que lorsqu’il existe une base légale le permettant.

Motifs du traitement des données à caractère personnel d’un utilisateur de ReadID SaaS :
nous traitons vos données à caractère personnel en qualité de sous-traitant, pour le compte du client, afin d’exécuter le contrat conclu avec ce dernier. La base légale du traitement découle donc du client et du service qu’il vous fournit. Nous vous invitons dès lors à consulter également la politique ou la déclaration de confidentialité du client à cet égard. Un intérêt légitime peut également justifier ce traitement, notamment afin de garantir la meilleure qualité de service possible. Cet intérêt couvre, entre autres, le dépannage, l’analyse des données, les tests, la prévention et la détection des fraudes, la maintenance du système, l’assistance, l’établissement de rapports et l’hébergement des données.

Motifs du traitement des données à caractère personnel des représentants de clients :
nous traitons principalement vos données à caractère personnel dans le cadre de la conclusion et de l’exécution du contrat établi avec notre client, c’est-à-dire votre employeur. Un intérêt légitime peut également justifier ce traitement, notamment afin de garantir une relation de confiance durable avec nos clients. Cet intérêt peut, par exemple, consister à traiter les données strictement nécessaires à l’identification des bénéficiaires effectifs, dans le but de prévenir les risques de fraude. Il peut aussi viser à réaliser des études de produits et de marchés à des fins d’assurance qualité, d’amélioration ou de développement de nos services, ainsi que d’évaluation de leur adéquation au marché. Ces traitements peuvent inclure la prise de contact et la communication avec les représentants de clients actuels ou potentiels, la tenue d’entretiens, ainsi que l’enregistrement de ces échanges pour une durée limitée.

Motifs du traitement des données à caractère personnel d’un visiteur :
le traitement des données des visiteurs repose généralement sur le consentement que vous avez accordé. Ce consentement peut, par exemple, être demandé pour l’utilisation de cookies sur notre site web ou lorsque vous vous abonnez à notre newsletter gratuite en fournissant votre adresse électronique. Si nous nous appuyons sur votre consentement pour le traitement de vos données, vous disposez du droit de le retirer à tout moment. Veuillez toutefois noter que tout traitement effectué par Signicat avant le retrait de votre consentement demeure licite. En cas de retrait de votre consentement, il est possible que nous ne soyons plus en mesure de vous fournir certains produits ou services. Le cas échéant, nous vous en informerons au moment du retrait. Lorsque vous postulez à un emploi, nous traitons vos données sur la base de notre intérêt légitime.

Motifs du traitement des données des utilisateurs de ReadID Me : Signicat ne traite aucune donnée à caractère personnel dans le cadre de ReadID Me ; il n’y a donc pas lieu de justifier une base légale. Seules des données non personnelles sont traitées, exclusivement à des fins d’amélioration de notre solution de vérification d’identité ReadID.

Motifs du traitement des données des utilisateurs de ReadID Client-Only :
Signicat n’intervient dans aucun traitement de données à caractère personnel, ni en qualité de sous-traitant, ni en qualité de responsable du traitement. Dans ce cas, le client agit en tant que responsable du traitement et dispose de ses propres bases légales pour effectuer ce traitement.

Par ailleurs, des obligations légales peuvent également s’appliquer au traitement des données à caractère personnel de manière générale. Signicat traite alors ces données conformément aux obligations prévues par la loi, telles que les exigences fiscales, les injonctions judiciaires ou les enquêtes policières.

Nous n’utilisons pas vos données à caractère personnel à des fins de marketing, de publicité ou de profilage. Soyez assuré(e) que l’équité, la transparence et la sécurité sont intégrées à chaque étape de nos processus de traitement.

Lorsque des données à caractère personnel doivent être traitées à des fins nouvelles, différentes de celles pour lesquelles elles ont été initialement collectées, ou lorsque le traitement ne repose pas sur le consentement de la personne concernée, nous évaluons avec soin la licéité de ce nouveau traitement avant de le mettre en œuvre.

Nous ne conservons vos données à caractère personnel que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou, le cas échéant, réutilisées, ainsi que pour nous conformer aux lois et réglementations applicables.

Périodes de conservation des données des utilisateurs de ReadID SaaS :
une période de conservation maximale, fixée de manière permanente à 50 jours, s’applique à toutes les sessions ReadID SaaS contenant des données à caractère personnel.

Il est toutefois recommandé au client de définir une durée de conservation plus courte — par exemple de quelques jours au maximum — et/ou de nous demander la suppression immédiate des données après réception des résultats des sessions.

Lorsqu’une session ReadID est supprimée, elle l’est de façon définitive dans la base de données active, mais reste temporairement présente dans les sauvegardes de cette base. Ces sauvegardes sont conservées pour une durée maximale de 14 jours, pouvant être réduite à la demande du client. Elles sont nécessaires afin de permettre la restauration des données en cas d’incident majeur.

Si nous faisons appel à des sous-traitants pour effectuer des vérifications biométriques faciales dans le cadre de la vérification de l’identité des titulaires de documents d’identité, ou pour le traitement optique des images de documents, nous leur demandons de ne conserver les données à caractère personnel collectées que pendant la durée strictement nécessaire à la réalisation de la finalité pour laquelle elles ont été recueillies. Cette exigence est également stipulée dans l’annexe relative au traitement des données du contrat conclu avec le client.

En cas de soupçon raisonnable de fraude lié à certaines vérifications d’identité, la période de conservation peut être prolongée temporairement, jusqu’à ce qu’il n’existe plus de motif raisonnable de la maintenir.

Les données non personnelles collectées lors des sessions ReadID Ready et via le SDK SaaS sont conservées aussi longtemps que nécessaire pour améliorer nos services.

Durée de conservation des données relatives aux représentants des clients :
les données à caractère personnel traitées dans le cadre de la conclusion et de l’exécution du contrat avec le client sont archivées pendant une période de sept (7) ans à compter de la fin du contrat. Les données à caractère personnel des représentants disposant d’un accès à notre portail de gestion ReadID ou à des services connexes sont supprimées immédiatement par Signicat après la désactivation ou la suppression du compte.

Durée de conservation des données des visiteurs :
ces données sont généralement collectées sur la base de votre consentement. Nous cessons de les traiter dès que vous retirez ce consentement (par exemple, lorsque vous vous désabonnez de notre newsletter).

Durée de conservation des données des utilisateurs de ReadID Me :
comme il s’agit de données non personnelles, elles sont conservées uniquement pendant la durée nécessaire à l’amélioration de nos services.

Durée de conservation des données des utilisateurs de ReadID Client-Only :
étant donné qu’aucune donnée à caractère personnel n’est traitée dans ce contexte, aucune mesure de conservation ne s’applique. Veuillez consulter la politique de confidentialité du client proposant la version ReadID Client-Only.

De manière générale, lorsque nous n’avons plus besoin des données aux fins décrites ci-dessus, celles-ci sont définitivement supprimées ou rendues anonymes. Si nous disposons d’un motif légitime, nous pouvons conserver certaines informations plus longtemps que la période indiquée ci-dessus — par exemple lorsque nous sommes soumis à une obligation légale empêchant leur suppression.

Sauf indication contraire dans la présente déclaration de confidentialité ou mention spécifique qui vous serait communiquée séparément, nous pouvons divulguer vos données à caractère personnel aux responsables du traitement pour lesquels nous agissons en qualité de sous-traitant (par exemple, nos clients), ainsi qu’à nos prestataires de services agréés (sous-traitants) et aux personnes légalement autorisées à recevoir ces données.

Signicat fait également appel à des fournisseurs de services informatiques externes et à des prestataires de services de cookies. Nous avons vérifié avec soin que ces tiers respectent les exigences applicables en matière de protection des données.

Transfert des données utilisateur ReadID SaaS : Signicat fait appel à des prestataires de services externes (sous-traitants) pour vérifier optiquement les documents d'identité et effectuer la détection du caractère vivant et la comparaison faciale. Nous ne partageons que les données personnelles nécessaires à l'exécution des tâches de ces prestataires.

Les sous-traitants actuellement autorisés pour le service ReadID sont répertoriés ci-dessous. Chacun de ces sous-traitants dispose de sa propre politique de confidentialité, dont le lien figure également ci-dessous. 

• Fournisseurs de services cloud public :
  • Amazon Web Services (AWS), Inc.
    Nous utilisons différentes régions AWS selon la localisation de nos clients. Les régions actuellement utilisées sont l’Irlande, Francfort, Londres et Sydney.
    La politique de confidentialité générale d’AWS est disponible ici : https://aws.amazon.com/privacy/. Amazon Web Services EMEA SARL est le représentant autorisé d'AWS, Inc. dans l'Espace économique européen (EEE). Dans ce contexte, il convient de consulter les annexes relatives au traitement des données AWS.: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf et https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf
  • Open Telekom Cloud, T-Systems International GmbH, pour l'avenant relatif au traitement des données, voir : https://open-telekom-cloud.com/_Resources/Persistent/d/8/0/d/d80d17f63186334ba36afcc6924a0e2b4575f3ef/open-telekom-cloud-supplementary-conditions-commissioned-processing-personal-data.pdf.
  • Microsoft Azure, utilisé comme système de secours à froid à des fins de continuité d’activité.
    Nous avons conclu un accord avec Microsoft Ireland Operations Limited pour l’hébergement des serveurs ReadID en Irlande, en tant que site principal. Pour les clients établis dans l’Espace économique européen (EEE), le traitement des données à caractère personnel doit également être effectué au sein de l’EEE. La politique de confidentialité d’Azure est disponible ici : https://azure.microsoft.com/en-us/explore/trusted-cloud/privacy#:~:text=We%20do%20not%20share%20your,the%20services%20you%20have%20chosen. The most recent data processing annex is here: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
• Fournisseur de services de vérification biométrique : iProov Ltd, www.iproov.com, pour consulter la politique de confidentialité, veuillez vous vous rendre à l’adresse suivante : https://www.iproov.com/biometric-data-retention-schedule.
• Fournisseur de services de vérification optique :
  • Veriff ÖU,  http://www.veriff.com , pour consulter la politique de confidentialité, veuillez vous rendre à l’adresse suivante : https://www.veriff.com/privacy-notice.
  • Onfido Ltd, www.onfido.com pour consulter la politique de confidentialité, veuillez vous rendre à l’adresse suivante : https://onfido.com/privacy/. 

Veuillez noter que ces sous-traitants peuvent, à leur tour, faire appel à d’autres sous-traitants.

Signicat ne partage vos données à caractère personnel avec des tiers que lorsque cela est autorisé par la législation applicable en matière de protection de la vie privée et des données. Signicat peut transmettre des données à caractère personnel à des tiers pour les raisons suivantes :

• lorsque cela est nécessaire à l’exécution du contrat conclu avec vous ;
• lorsque vous y avez consenti ;
• lorsque Signicat dispose d’un intérêt légitime ;
• lorsque Signicat y est légalement tenu.

Toutes nos données sont hébergées et traitées au sein de l’Espace économique européen (EEE), à l’exception des données à caractère personnel que nous traitons pour le compte de clients ReadID situés en dehors de l’EEE, ou lorsque le recours à des sous-traitants pour la vérification optique ou biométrique le nécessite. Dans ce dernier cas, le traitement est effectué au Royaume-Uni. Les données à caractère personnel peuvent y être transférées en toute légalité sur la base de la décision d’adéquation adoptée par la Commission européenne relative à la protection des données. Veuillez également consulter la politique de confidentialité du client pour plus d’informations sur le traitement de vos données à caractère personnel dans ce contexte.

Transfert des données des représentants des clients : les données à caractère personnel des représentants de clients peuvent être partagées avec nos partenaires en matière de publicité et de marketing, les sociétés menant des enquêtes de satisfaction, les agences de recouvrement, les registres de crédit, les autorités compétentes, ainsi qu’avec les organisations intermédiaires ou prestataires de services de messagerie (électronique), de conformité ou de paiement, entre autres.

Les données à caractère personnel nécessaires à l’accès aux données de session ReadID peuvent également être partagées avec les fournisseurs de services cloud publics mentionnés ci-dessus.

Transfert des données des visiteurs : les données des visiteurs peuvent être transférées à des fournisseurs de services informatiques externes et à des prestataires de services de cookies. Nous avons vérifié avec soin que ces tiers respectent les exigences applicables en matière de protection des données.

Transfert des données des utilisateurs de ReadID Me : Signicat ne traite aucune donnée à caractère personnel dans ce contexte. Seules des métadonnées sont transférées aux fournisseurs de services cloud publics mentionnés ci-dessus pour traitement ultérieur.

Transfert des données de ReadID Client-Only : aucune politique de transfert n’est requise, puisque nous ne traitons aucune donnée à caractère personnel dans ce cadre. Veuillez consulter la politique de confidentialité du client proposant la version ReadID Client-Only.

Signicat a mis en place les mesures organisationnelles, techniques et contractuelles nécessaires pour protéger vos données à caractère personnel contre toute perte accidentelle, tout accès non autorisé, toute altération ou toute divulgation indue. Voici quelques exemples de mesures organisationnelles : politiques internes de sécurité relatives au traitement des données, certifications de sécurité et code de conduite. Les mesures techniques comprennent notamment le chiffrement des données à caractère personnel, tant au repos qu’en transit, ainsi que des contrôles d’accès intégrant une authentification forte. Ces dispositions sont également encadrées par contrat. Une annexe relative au traitement des données fait partie intégrante de notre contrat avec le client. Son objectif est de protéger les utilisateurs de ReadID et les représentants des clients en définissant des obligations et des attentes claires quant au traitement de leurs données à caractère personnel.

Nous avons mis en place des procédures permettant de traiter tout incident ou soupçon de violation de données à caractère personnel. Nous informerons notre client, toute autorité compétente en matière de protection des données, ainsi que, le cas échéant, les personnes concernées, lorsque la loi nous y oblige.

Au sein de Signicat, seules les personnes dont les fonctions le nécessitent ont accès à vos données à caractère personnel. Toutes sont soumises à une obligation de confidentialité et font l’objet de contrôles réguliers.

Nous disposons d’un système de gestion certifié pour la sécurité de l’information (ISO 27001:2022) et la protection de la vie privée (ISO 27701:2019). Dans le cadre de cette certification, nos mesures de sécurité visant à protéger vos données à caractère personnel sont évaluées chaque année par un auditeur externe indépendant.

Tous nos sous-traitants sont également certifiés ISO 27001 au minimum.

Vous disposez des droits suivants :

• demander des informations sur les données à caractère personnel que nous traitons et sur la manière dont elles sont utilisées ;
• obtenir l’accès à vos données à caractère personnel ;
• demander la rectification de vos données à caractère personnel ;
• demander l’effacement de vos données à caractère personnel ;
• demander la portabilité de vos données à caractère personnel (lorsque cela est techniquement et/ou légalement possible) ;
• vous opposer à un traitement spécifique de vos données à caractère personnel ;
• retirer votre consentement à tout moment.

Pour exercer ces droits, veuillez envoyer un e-mail à dataprotectionofficer@signicat.com. 

Veuillez noter que si votre demande concerne des données que nous traitons en qualité de sous-traitant (c’est-à-dire dans le cadre de la fourniture de nos services), vous devez l’adresser directement au client, qui agit en tant que responsable du traitement de vos données à caractère personnel. Nous vous en informerons le cas échéant.

Lorsque vous exercez vos droits, nous pouvons être amenés à vous demander certaines informations complémentaires afin de confirmer votre identité et de garantir votre droit d’accès aux données à caractère personnel concernées (ou l’exercice de tout autre droit prévu par la loi).
Cette mesure de sécurité vise à éviter que vos données à caractère personnel ne soient divulguées à une personne non autorisée.

Nous pouvons également vous contacter afin d’obtenir des informations complémentaires concernant votre demande, dans le but de faciliter et d’accélérer notre réponse.

Nous nous efforçons de répondre à toute demande légitime dans un délai d’un mois. Ce délai peut être prolongé au-delà d’un mois si la demande présente une complexité particulière ou si plusieurs demandes ont été formulées simultanément. Dans ce cas, nous vous en informerons et vous tiendrons régulièrement informé(e) de l’avancement de votre dossier.

Signicat a désigné un Délégué à la Protection des Données (DPD).
Ce dernier veille à la bonne application et au respect de la législation relative à la protection des données, notamment du Règlement Général sur la Protection des Données (RGPD). Si vous n’êtes pas satisfait(e) de la manière dont votre demande ou votre réclamation a été traitée, vous pouvez contacter le DPD à l’adresse suivante : dataprotectionofficer@signicat.com. En outre, vous pouvez adresser toute question ou déposer une réclamation auprès de l’Autorité néerlandaise de protection des données (Data Protection Authority, Autoriteit Persoonsgegevens). Veuillez noter que, dans la plupart des cas, Signicat agit en qualité de sous-traitant des données à caractère personnel pour le compte de ses clients, lesquels agissent en tant que responsables du traitement.
Dans ce cadre, nous pouvons être amenés à vous rediriger vers le responsable du traitement concerné pour le traitement de vos données à caractère personnel.

Oui, la présente déclaration de confidentialité peut être modifiée de temps à autre. Vous trouverez toujours la version la plus récente de cette déclaration à l’adresse suivante : Signicat Privacy and Cookie Policy.

La présente déclaration a été mise à jour conformément aux exigences légales en vigueur, le Novembre 2025.