Politique de confidentialité Onfido

Pour fournir nos Services d’identité, nous avons besoin de collecter certaines informations sur les utilisateurs de nos clients. Les informations précises dont nous avons besoin dépendent de la vérification réalisée pour le compte de notre client. Par exemple, pour la vérification de l’identité d’un utilisateur, nous demandons une image de sa pièce d’identité ainsi qu’une photo ou vidéo de son visage. Nous cherchons ensuite à vérifier la probabilité que la pièce d’identité soit authentique, ainsi que la probabilité que la personne sur la photo ou la vidéo soit la même que celle qui figure sur la pièce d’identité. Nous recherchons également les signes de fraude (par exemple le port d’un masque pour se faire passer pour une autre personne ou pour dissimuler son identité réelle). Si l’utilisateur passe avec succès à la fois les vérifications de pièce d’identité et les vérifications du visage, il est probable que le client d’Onfido considère que l’utilisateur a prouvé son identité. 

Dans certains cas, nous pouvons également vérifier si nous avons déjà contrôlé un utilisateur pour le compte d’un client spécifique en comparant l’image de son visage aux images précédemment fournies par ce client. Cette technique permet à notre client non seulement de vérifier une identité, mais aussi de savoir lorsqu’un utilisateur génère des identités multiples, ce qui constitue une protection supplémentaire pour le client et ses utilisateurs.

Pour procéder à toutes ces vérifications, nous examinons attentivement les informations contenues dans les images, y compris les informations lisibles par machine (comme les code-barres des documents d’identité) et les métadonnées de l’image (comme le nom du modèle d’appareil photo utilisé). 

Le Cycle de vie de l'identité Onfido ci-dessous montre les différentes sources des informations que nous recueillons.

1. Le Client

Le client est une entité qui a demandé à Onfido de vérifier une identité ou d’effectuer des vérifications en relation avec cette identité. Une fois que nous avons vérifié une identité ou effectué une vérification, nous partageons les résultats avec le client dans un Rapport Onfido, comme décrit ci-après. Le client décide alors de la façon dont il va procéder avec l’utilisateur sur la base de ces résultats. Dans certains cas, le client peut demander des informations complémentaires avant de prendre une décision. De plus, certains clients nous demandent de procéder à certaines vérifications seulement si une vérification précédente a réussi ou échoué. Cette procédure permet de limiter le nombre de vérifications au minimum nécessaire.

2. L’utilisateur

Les utilisateurs sont des personnes physiques que nous soumettons à une vérification d’identité ou à d’autres vérifications pour le compte de nos clients. Nous collectons les informations sur les utilisateurs auprès des clients ou directement auprès des utilisateurs eux-mêmes. Ces informations peuvent inclure une image du document d’identité (par ex. un passeport ou un permis de conduire), des photos (parfois prises à intervalles rapprochés pour éviter la fraude) ou une vidéo de l’utilisateur, et les identifiants biométriques faciaux extraits par Onfido de ces images. Nous aidons ainsi le client à vérifier que l’utilisateur est bien le titulaire légitime de la pièce d’identité et que ce document ne présente pas de signes de fraude. Dans certains cas, nous pouvons également collecter des identifiants d’appareils pour nous aider à savoir si un appareil a déjà été utilisé dans le cadre d’une activité présumée frauduleuse. De même, pour mieux lutter contre la fraude, nous collectons aussi des informations sur les identités compromises rendues disponibles sur Internet par des fuites de données ou d’une autre manière.  Enfin, nous collectons les adresses IP pour déterminer la ville et le pays où se trouve l’utilisateur, afin d’être en mesure de lui fournir un service localisé, lorsque cela est nécessaire pour respecter nos obligations légales. Nous pouvons également examiner si l'adresse IP a été manipulée ou si elle présente des caractéristiques d'utilisation inhabituelles.

3. Les fournisseurs de données

Nous avons recours à des fournisseurs de données pour obtenir des informations supplémentaires lorsque nos clients requièrent des vérifications spécifiques concernant les utilisateurs. Par exemple, si nous avons besoin de vérifier si un utilisateur a le droit de conduire, nous pouvons demander des informations supplémentaires auprès de l’autorité gouvernementale compétente

Nous conservons également des logs (journaux) des interactions de nos clients, utilisateurs et fournisseurs de données avec nos Services d’identité. Ces logs (journaux) peuvent inclure l’horodatage du moment où les informations ont été soumises à Onfido, ainsi que des informations sur l’appareil utilisé pour les soumettre. 

Parfois, nous recevons des informations dont nous n’avons pas besoin pour fournir nos Services d’identité. Par exemple, au lieu de la photo de sa pièce d’identité, il est possible qu’un utilisateur envoie une image sans aucun rapport. Lorsque cela se produit, nous nous efforçons de détruire ces données.

Nous utilisons des informations pour fournir et maintenir nos Services d’identité pour le compte de nos clients sur le fondement que l’utilisateur a consenti au traitement ou a autrement demandé la fourniture des Services d’identité, ou le client a une raison légitime ou légale de demander les Services d’identité, ou encore le traitement est nécessaire pour exécuter une mission d’intérêt public ou pour des motifs substantiels d’intérêt public.

Nous utilisons également les informations pour poursuivre le développement de nos Services d’identité sur le fondement de la nécessité du traitement dans l’intérêt légitime du client ou d’Onfido, de la nécessité du traitement pour la réalisation d’une mission d’intérêt public ou pour des motifs substantiels d’intérêt public, de la nécessité du traitement à des fins de recherche scientifique, ou du consentement donné par l’utilisateur.

Lors de la fourniture de nos Services d’identité, nous sommes souvent amenés à extraire et comparer des données biométriques numériques à partir d’images faciales afin de déterminer la probabilité que les deux visages correspondent.  Nous procédons à ces opérations pour le compte de nos clients pour deux raisons.

Dans la majorité des cas, nous vérifions qu’un utilisateur est bien le titulaire légitime de sa pièce d’identité en comparant une image de son visage avec l’image faciale incluse dans son document d’identité. Nous vérifions aussi si ces images faciales présentent des signes de fraude, par exemple en comparant les données biométriques numériques d’une personne avec celles de masques connus.  Lorsque nous procédons à ces vérifications, nous ne conservons les données biométriques numériques extraites que le temps strictement nécessaire à la comparaison.

Dans certains cas, nous pouvons également vérifier si nous avons précédemment effectué une vérification d’un utilisateur pour le compte d’un client spécifique, afin d’aider ce client à détecter si un utilisateur génère des identités multiples.  Pour savoir si un utilisateur est connu d’un client spécifique, nous comparons l’image faciale de cet utilisateur à celles des autres utilisateurs précédemment soumis à une vérification pour le compte de ce client spécifique.  Pour effectuer rapidement cette vérification, nous conservons les données biométriques numériques extraites des images faciales précédemment collectées jusqu’à ce que le client détruise ces images d’origine.

Lorsque nous vérifions une identité ou que nous effectuons une vérification pour le compte d’un client, nous remettons à ce dernier un Rapport Onfido. Ce Rapport Onfido détaille nos recommandations et les raisonnements sous-jacents. Les raisonnements sont établis à partir des différents modèles d’apprentissage automatisé et des processus humains utilisés pour vérifier une identité ou effectuer une vérification. Étant donné que ces modèles d’apprentissage automatisé et ces processus humains sont en constante évolution, il est difficile d’en tenir à jour la liste dans la présente Politique de confidentialité. Vous en trouverez néanmoins une liste exacte et à jour dans notre Documentation technique. Cette liste est généralement utilisée par les clients qui ont intégré ou vont intégrer nos services dans leur système. 

Ci-dessous figure une représentation graphique d’un Rapport Onfido : 

La fourniture à nos clients de ces Rapports Onfido détaillés a pour but de leur permettre de prendre des décisions éclairées sur leurs utilisateurs, et de fournir une aide spécifique aux utilisateurs lorsqu’ils éprouvent des difficultés à obtenir un résultat positif lors d’une vérification Onfido. 

Onfido partage des informations non seulement avec les clients, les utilisateurs et les fournisseurs de données (comme décrit ci-dessus), mais aussi avec des tiers qui effectuent certaines tâches pour notre compte (y compris nos sous-traitants ou nos filiales) et avec d’autres sociétés, entités, organismes gouvernementaux et personnes physiques extérieurs à Onfido lorsque nous avons une raison légale légitime de le faire (par exemple dans le cadre d’une fusion ou acquisition ou pour se conformer à une décision de justice), ou lorsque nous avons reçu l’instruction de partager les informations pour le compte de nos clients.

Par exemple, si un client a configuré les Services d’identité afin qu'ils vérifient si une pièce d’identité a été répertoriée par un gouvernement ou un autre tiers comme perdue, volée, frauduleuse ou compromise de toute autre façon, Onfido peut partager pour le compte de ce client cette pièce d’identité compromise, et le gouvernement ou l’autre tiers peut en conserver une copie dans la mesure qu’il juge nécessaire, proportionnée ou légale.  C’est à ces fins qu’actuellement, sur instruction de clients et dans la mesure permise par le droit applicable, Onfido partage des documents d’identité avec la Police métropolitaine britannique dans le cadre de leur Base de données Amberhill.

Chaque fois que cela est légalement possible, nous nous efforçons de protéger les informations que nous partageons en imposant des garanties contractuelles de confidentialité et de sécurité au destinataire des informations. Cela est particulièrement important dans les cas où le destinataire est situé dans un pays qui a des lois sur la confidentialité différentes ou moins protectrices que celles du pays où les informations ont été initialement collectées. Dans certains cas, cependant, il ne nous est pas possible d’assurer cette protection -- par exemple lorsque nous avons l’obligation légale de divulguer des informations à une autorité gouvernementale et que celle-ci n’est pas disposée à conclure un contrat contentant de telles garanties contractuelles.

Onfido prend des mesures administratives, physiques, techniques et organisationnelles appropriées, conçues pour aider à protéger les informations concernant les utilisateurs contre la perte, le vol, l’utilisation abusive et l’accès non autorisé, la divulgation, l’altération et la destruction. Pour plus d’information sur la sécurité des informations chez Onfido, veuillez consulter le Guide de la sécurité chez Onfido. Si vous pensez avoir identifié une vulnérabilité informatique ou un bug dans nos Services d’identité, veuillez le signaler à l’équipe de sécurité Onfido à l’adresse security@onfido.com et selon les modalités décrites dans la Politique d’Onfido de divulgation responsable des bugs de sécurité.

Nous effectuons nos Services d’identité pour le compte de nos clients pour une variété de différentes raisons. Ces raisons sont identifiées par nos clients, et nous comptons sur eux pour nous avertir lorsqu’ils n’ont plus besoin de stocker les informations que nous avons collectées pour leur compte. Lorsque nous en recevons l’instruction, soit au travers du contrat conclu  avec le client, soit au travers d’une demande ad hoc, nous détruisons les informations que nous avons collectées sur les utilisateurs lors de l’exécution des Services d’identité demandés.

Si, en tant qu’utilisateur, vous souhaitez demander spécifiquement la suppression des informations vous concernant, veuillez-vous adresser directement au client qui a fait effectuer la vérification concernée. Pour en savoir plus sur la façon de procéder, consulter la section « Vos droits » ci-dessous.

Lorsque nous avons une raison légale légitime de le faire, nous pouvons également conserver des informations pour une durée plus longue que celle mentionnée ci-dessus. C’est le cas, par exemple, lorsqu’ordonnance ou mesure judiciaire exécutoire nous interdit de détruire des informations.

Si vous souhaitez accéder à une copie de vos informations personnelles, les effacer ou exercer toute autre forme de contrôle sur vos informations personnelles, veuillez contacter Onfido à privacyrequests@onfido.com, ou à l’adresse postale ci-dessous. Veuillez noter que pour la majorité des demandes, Onfido pourrait avoir besoin de notifier le client concerné (comme décrit ci-dessus dans le Cycle de vie de l’identité Onfido), afin que le client (et non Onfido) puisse répondre à la demande. C’est nécessaire lorsque Onfido agit pour le compte du client.

Comme Onfido fournit ses Services d’identité pour le compte de ses clients, Onfido ne divulguera aucune information liée à une vérification spécifique dans le cadre d’une demande administrative ou de services répressifs, sauf sur instruction de notre client ou si une ordonnance ou mesure judiciaire exécutoire l’impose. Nous devons procéder ainsi pour nous conformer à nos obligations légales. Toute autorité administrative ou répressive requérant des informations concernant une vérification spécifique peut nous contacter à privacyrequests@onfido.com, et nous nous efforcerons de vous mettre en contact avec le client concerné.

Si vous souhaitez plus d’informations sur la manière dont Onfido collecte et utilise les informations, veuillez contacter Onfido à privacyrequests@onfido.com, ou à :

À l’attention de: Privacy Office  Onfido Limited  3 Finsbury Avenue  London EC2M 2PA  Royaume-Uni

Si vous souhaitez faire part de vos préoccupations à une autorité de contrôle de la protection des données dans un État membre de l'Union européenne, une liste des points de contact est disponible ici.