Politique de confidentialité

Sort des données personnelles à la suite de l'arrêt du service YRIS

Préambule

La présente politique explique, de manière simple et claire, le sort de vos données personnelles après l’arrêt définitif du service YRIS, un service d’identité numérique géré par IDnow SAS.

Dans le cadre du service YRIS, IDnow SAS a collecté et traité des données à caractère personnel

La présente politique définit les modalités applicables au traitement des données personnelles collectées lors de la fourniture du service YRIS, à compter de la date d’arrêt définitif dudit service fixée au 31 juillet 2026 (ci-après « la Date d’Arrêt »).

Article 1 — Les données concernées

La présente politique s’applique à l’ensemble des données à caractère personnel collectées par IDnow SAS dans le cadre du service YRIS, à savoir :

Catégories de données

• État civil, identité et données d’identification ► ex : Image du titre d’identité, vidéo du titre d’identité, informations extraites du document, challenge vidéo
• Données historiques de connexion ► ex : Données partagées, services connectés
• Données de contact / connexion ► ex : Adresse e-mail, numéro de téléphone

Elle s’applique à toute personne physique ayant créé une identité numérique YRIS, quelle que soit la date de création de son compte.

La création d’une identité numérique YRIS implique la constitution d’un dossier de preuve : une archive qui enregistre les informations liées à votre parcours d’identification. Ce dossier n’est pas destiné à un usage quotidien : il existe uniquement pour pouvoir trancher un litige ou répondre à une procédure judiciaire si cela venait à être nécessaire.

Il existe 2 types de dossiers de preuve :

• Dossier lié à la vérification d’identité — niveau « faible » : Lorsque vous avez créé votre identité numérique en transmettant vos données d’identité en ligne, le service a vérifié leur authenticité. À l’issue de cette vérification, un verdict a été rendu et un dossier de preuve a été constitué.
• Dossier lié à l’utilisation de votre moyen d’identification électronique : Quand votre identité numérique est supprimée — que ce soit par vous, par un agent habilité d’IDnow, ou automatiquement par le service — un dossier est constitué. Il contient notamment l’historique de vos connexions et les preuves associées.

Article 2 — Pourquoi les données ne peuvent plus être utilisées ?

Le service YRIS avait deux raisons d’utiliser vos données :

1. Vérifier votre identité lors de la création de votre identité numérique YRIS
2. Gérer votre identité numérique pour accéder à des services en ligne

Depuis l’arrêt du service, ces raisons n’existent plus. IDnow n’a donc plus de justification légale pour conserver vos données.

Article 3 — Que devient concrètement vos données ?

3.1 — Principe général : suppression des données

Dès la date d’arrêt du service, vos données seront effacées définitivement.

3.2 — Exception : conservation pour obligation légale

Certaines données doivent être gardées par obligation légale, même après l’arrêt du service YRIS:

• Dossier lié à la vérification d’identité : les données contenues dans ce dossier doivent être conservées pour une durée de 10 ans à compter de la création de votre identité numérique YRIS.
• Dossier lié à l’utilisation de votre moyen d’identification électronique : les données contenues dans ce dossier doivent être conservées pour une durée de 5 ans à compter de la suppression de votre identité numérique YRIS.

Un litige en cours ou prévisible nécessite leur préservation à titre probatoire.

Dans ces hypothèses, les données concernées sont isolées, avec un accès strictement restreint, et supprimées dès l’extinction de l’obligation ou du litige.

Article 4 — Droits des usagers avant et après la Date d'Arrêt

4.1 — Avant la Date d’Arrêt du Servie YRIS

Les usagers disposent, jusqu’à la Date d’Arrêt, de l’intégralité de leurs droits RGPD :

• Droit d’accès (art. 15 RGPD) : obtenir une copie des données traitées les concernant ;
• Droit à l’effacement (art. 17 RGPD) : demander la suppression anticipée de leurs données ;
• Droit de rectification (art. 16 RGPD) ;
• Droit à la limitation du traitement (art. 18 RGPD) ;
• Droit d’opposition (art. 21 RGPD).

IDnow SAS s’engage à traiter toute demande dans un délai d’un mois à compter de sa réception (délai susceptible d’être prolongé de deux mois en cas de complexité, avec information préalable de l’usager).

4.2 — Après la Date d’Arrêt du Service YRIS

À compter de la Date d’Arrêt, les données étant définitivement effacées, IDnow SAS ne sera plus en mesure de donner suite aux demandes portant sur ces données.

Article 5 — Modalités d'exercice des droits et contact

Pour toute demande relative à l’exercice de leurs droits ou pour toute question concernant la présente politique, les usagers peuvent contacter le Délégué à la Protection des Données (DPO) d’IDnow :

Par voie électronique : dpo@idnow.io

Par courrier postal : IDnow DPO — 122 Rue Robert Keller — 35510 Cesson-Sévigné, France

En cas de réponse insatisfaisante, les usagers conservent le droit d’introduire une réclamation auprès de la CNIL :

En ligne : https://www.cnil.fr/fr/plaintes

Par courrier : Commission Nationale de l’Informatique et des Libertés — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

Article 6 — Suppression sécurisée et traçabilité

La suppression des données est réalisée selon des procédures techniques garantissant l’irréversibilité de l’effacement (ex. : écrasement multiple, destruction cryptographique des clés de chiffrement).

Finalité du traitement

YRIS est un fournisseur d’identité qui permet de se créer et d’utiliser une identité numérique.

Le traitement en découlant est constitué de 2 opérations complémentaires :

• Vérification de l’identité de l’usager par le biais de contrôles en partie automatisés, revus, complétés et validés par un opérateur humain ;
• Gestion du cycle de vie de l’identité de l’usager (en particulier gestion des demandes de l’usager : support, révocation, etc.).

Données traitées

Au sens de la CNIL, les catégories de données recueillies dans le cadre de l’utilisation d’YRIS sont les suivantes :

• Etat civil, Identité, Données d’identification, Images ► image du titre d’identité, vidéos du titre d’identité, informations
  extraites de ce dernier et challenge vidéo
• Données de connexion ► adresse mail et numéro de téléphone
• Internet ►cookie de consentement et données de navigation sur le présent site uniquement

Caractère obligatoire du recueil des données : le recueil des 2 premières catégories de données est obligatoire pour créer une identité YRIS. Cependant, le recueil des données de navigation n’est pas obligatoire : l’usager peut refuser dès sa première visite sur le site le dépôt d’un cookie dans son navigateur, utilisé exclusivement à des fins de mesure d’audience.

Prise de décision automatisée : le traitement prévoit la prise de décisions pouvant être automatisées, si l’usager en fait le choix.

Personnes concernées

Le traitement des données concerne tout usager désireux de créer une identité numérique YRIS.

Destinataires des données

Les données sont recueillies par la société IDnow, qui agit ici en tant que Responsable de Traitement au sens du Règlement Général sur la Protection des Données (RGPD). Dans le but d’améliorer ses technologies de machine learning et de deep learning, la première catégorie de données mentionnée plus haut est exploitée exclusivement par l’équipe R&D d’IDnow.

Le stockage des données de mesure d’audience (entièrement anonymisées) est assuré par la société Google. Cette dernière agit ici en tant que sous-traitant pour le compte d’IDnow, traite les données conformément aux directives IDnow. En ce sens, nous conservons, à tout moment, l’intégralité des droits en matière de collecte, de consultation, de conservation et de suppression de vos données.

Durée de conservation des données

IDnow applique le principe de limitation de la durée de conservation du RGPD sur les données traitées dans le cadre de la fourniture du service :

• Informations extraites du titre d’identité : 5 ans , conformément aux exigences du règlement européen eIDAS
• Adresse mail et numéro de téléphone : 5 ans
• Images du titre d’identité et challenge vidéo : 6 mois
• Cookie de consentement : 13 mois, conformément à la loi française

Sécurité

Conformément au RGPD, IDnow et tous les sous-traitants sous sa responsabilité sont astreints à une obligation de sécurité. Les mesures suivantes – liste non-exhaustive – sont par conséquent mises en œuvre :

• La protection (« chiffrement ») de vos données échangées entre votre navigateur et nos services est assurée par HTTPS
• Duplication des données afin que celles-ci restent disponibles en cas de sinistre
• Certification de sécurité ISO 27001:2017 pour le centre de données utilisé par IDnow hébergeant l’identité numérique des usagers, ainsi que pour les systèmes, les applications, le personnel, la technologie, les processus et les centres de données sur lesquels repose Google Analytics.

Vos droits vous concernant

Si vous avez des questions concernant cette Politique de Confidentialité ou si vous souhaitez plus d’informations sur la façon dont vos informations sont utilisées ou partagées, n’hésitez pas à nous contacter à la lumière des informations suivantes :

Ce que dit la loi : Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données.

Comprendre vos droits informatiques et libertés

Exercer vos droits : Le délégué à la protection des données (DPO) d’IDnow est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.

• Contacter le DPO par voie électronique : dpo@idnow.io
• Contacter le DPO par courrier postal : IDnow DPO, 122 Rue Robert Keller, 35510 Cesson-Sévigné, France

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la Commission Nationale de l’Informatique et des Libertés.