Document & Biometric Verification Privacy Notice

Bienvenue. Vous êtes au bon endroit pour savoir comment Socure Inc. (désigné collectivement « Socure », « nous », « notre », « nôtre » ou « nos ») utilise les données à caractère personnel pour fournir des services de vérification d’identité et de prévention de la fraude à ses clients professionnels par le biais de notre solution Predictive Document Verification (« DocV »). Le présent Avis de Confidentialité relatif à la Vérification Documentaire et Biométrique (« Avis de Confidentialité ») aborde les points Fonctionnement de DocV, les données à caractère personnel que nous collectons (et leurs sources), Où nous stockons et transférons vos données à caractère personnel, Comment nous utilisons vos informations, Comment nous divulguons vos informations, Combien de temps nous conservons vos informations, Comment nous protégeons vos informations, nos Bases légales pour le traitement, Vos droits en matière de données, Comment exercer vos droits en matière de données et comment Nous contacter. 

Sous réserve de la loi applicable, nous pouvons mettre à jour le présent Avis à tout moment en publiant une nouvelle version sur ce site web. Socure maintient également une Déclaration de Confidentialité globale qui s’applique à tous nos produits et services. Si nos clients professionnels utilisent DocV et nos autres produits et services, la Déclaration de Confidentialité globale et le présent Avis de Confidentialité s’appliquent. (Si vous ne savez pas quels produits nos clients utilisent, n’hésitez pas à leur poser la question !)

Fonctionnement de DocV

Lorsque vous interagissez avec DocV, nous vous demandons de consentir aux Conditions d’Utilisation et au présent Avis de Confidentialité. Si vous refusez de donner votre consentement, la transaction est annulée, ce qui signifie que Socure ne collecte pas de données à caractère personnel vous concernant. Socure étant un prestataire de services, vous devrez contacter le client professionnel de Socure qui vous a envoyé à DocV pour discuter des alternatives qu’elle propose à la vérification automatisée de l’identité. Si vous y consentez, il vous sera demandé de présenter une ou plusieurs photographies de votre pièce d’identité (par exemple le recto et le verso de votre permis de conduire ou les pages de votre passeport). Il peut également vous être demandé de soumettre un selfie, soit pour une transaction initiale, soit aux fins de la revérification d’un selfie. Si vous capturez et soumettez vos photographies, des informations sur votre appareil et la manière dont vous interagissez avec lui peuvent être collectées automatiquement pour nous aider à détecter une activité inhabituelle ou suspecte.

Socure utilise le machine learning et l’intelligence artificielle pour vous aider à capturer des photographies de qualité et pour analyser les photographies que vous soumettez et l’appareil que vous utilisez pour soumettre les photographies. Vos photographies et informations biométriques peuvent être analysées en utilisant la vérification faciale (1 photo comparée à 1 photo), la reconnaissance faciale (1 photo comparée à 2 photos ou plus), ou les deux, afin de permettre à DocV de prédire la réponse à plusieurs questions relatives à la vérification de l’identité et à la prévention de la fraude, telles que :

•  Les photographies ont-elles été prises en direct au moment de l’envoi ?
  
• Quel type de document a été soumis ?
• Le document est-il faux ou falsifié
• Les photos du document et du selfie correspondent-elles ?
  
• Les données à caractère personnel figurant sur le document peuvent-elles être validées
  
• Cette personne a-t-elle l’âge légal pour utiliser les biens ou les services demandés ?
  
• Avons-nous déjà vu cette personne et/ou cet appareil
  
• La personne utilise-t-elle son appareil de la manière prévue ? S’agit-il d’un robot ou d’un hacker ?

Il s’agit d’une décision exclusive du client professionnel de Socure : (a) si et pour quelle(s) raison(s) vous êtes envoyé à DocV ; (b) quels éléments d’information personnelle nous collectons et analysons en son nom, y compris quels types de photographies ou de documents nous analysons en son nom ; (c) quelles autres méthodes de vérification sont disponibles ; et (d) si et dans quelles circonstances accepter, réviser ou rejeter une transaction particulière.

Données à caractère personnel que nous collectons (et leurs sources)

Pour DocV, Socure peut collecter des données à caractère personnel vous concernant auprès de nos clients ou prospects professionnels, de votre appareil, de vous, de courtiers en données et/ou de nos prestataires de services tiers. Les catégories de données à caractère personnel que nous collectons lorsque vous interagissez avec DocV sont décrites ci-dessous, accompagnées d’informations sur les sources.

Résidents de Californie : Nous collectons les mêmes informations que celles mentionnées ci-dessus pour vous, et ces informations peuvent également relever des catégories de données à caractère personnel suivantes de la Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act – loi CCPA) : Catégories de données à caractère personnel énumérées dans la loi californienne sur les dossiers des clients (Cal. Civ. Code § 1798.80(e)) ; des informations sur l’activité d’Internet ou d’autres réseaux électroniques ; des informations audio, électroniques, visuelles, thermiques, olfactives ou similaires ; des déductions ; et des données à caractère personnel sensibles.

Où nous stockons et transférons vos données à caractère personnel

Vos données à caractère personnel sont stockées aux États-Unis, ce qui signifie que, si vous n’êtes pas déjà situé aux États-Unis, vos données à caractère personnel sont transférées aux États-Unis.

Comment nous utilisons vos informations

Nous utilisons vos données à caractère personnel conformément à la loi et à nos contrats avec les clients pour :

• effectuer des services de vérification d’identité et de prévention de la fraude pour le compte de nos clients professionnels ;
• contribuer à garantir la sécurité et l’intégrité de DocV ;
• identifier et réparer les erreurs qui nuisent aux fonctionnalités ou aux performances existantes ou prévues de DocV ; et
• effectuer des recherches internes pour développer, améliorer, tester ou réparer le DocV ou les services ou technologies qui y sont liés.

Voici une liste non exhaustive d’exemples illustrant la manière dont Socure utilise vos données à caractère personnel dans le cadre de DocV:

• Les identifiants tels que les informations que vous fournissez à notre client professionnel dans le cadre d’une transaction en ligne peuvent être comparés aux identifiants contenus dans le texte et les éléments lisibles par machine des documents que vous soumettez à Socure via DocV.
• Les informations biométriques peuvent être utilisées pour vous aider à prendre une image de qualité en vous fournissant des instructions de capture en temps réel telles que « Éloignez votre téléphone de votre visage » ou « Rapprochez le téléphone de votre visage ». Les informations biométriques peuvent également être utilisées pour comparer votre selfie à la photographie figurant sur votre document d’identité ou pour fournir des services de revérification de selfie à nos clients professionnels en déterminant si nous vous avons déjà vu.
• Les caractéristiques des classifications protégées peuvent être utilisées pour tester la partialité de DocV et soutenir la légitimité des résultats en mesurant les performances du produit en fonction du type de document (par ex. permis de conduire de l’État X, visa ou passeport du pays Y), de l’âge, du sexe et de la race ou de l’origine ethnique.
• Les informations relatives à l’appareil, au navigateur et au réseau, y compris les données de géolocalisation, peuvent être utilisées pour déterminer si une transaction est initiée à partir d’un pays sanctionné ou pour vous aider à effectuer une transaction DocV dans la langue de vos paramètres de navigation par défaut.
• Les données comportementales et les déductions sur la manière dont vous interagissez habituellement avec votre appareil au cours d’une session peuvent être utilisées pour la détection d’anomalies (c’est-à-dire pour identifier les comportements qui ne sont pas typiques de la manière dont vous interagissez avec votre appareil). Par exemple, si vous mettez habituellement 30 secondes à prendre une photo à l’aide de votre iPhone 13, mais qu’une personne prétendant être vous prend une photo en quelques millisecondes à l’aide d’un appareil Android à partir d’une adresse IP qui ne vous correspond pas, cela peut indiquer un comportement anormal de votre appareil.
• Les photographies peuvent être utilisées pour extraire des identifiants, des informations biométriques et des caractéristiques de classifications protégées. Les photographies peuvent également être utilisées pour former et tester des modèles de machine learning et pour maintenir une liste d’images utilisées dans des interactions frauduleuses ou malveillantes répétées.

Lorsque la loi le permet ou l’exige, Socure peut également utiliser vos données à caractère personnel pour :

• se conformer aux lois, règles ou réglementations fédérales, étatiques ou locales, par exemple en vérifiant et en répondant aux demandes de droits en matière de données ;
• se conformer à une enquête civile, criminelle ou réglementaire, à une investigation, à une citation à comparaître ou à une assignation par les autorités fédérales, étatiques, locales ou d’autres autorités gouvernementales ;
• coopérer avec les autorités chargées de l’application de la loi concernant une conduite ou une activité dont nous ou nos clients pensons raisonnablement et en toute bonne foi qu’elle est susceptible d’enfreindre les lois, règles ou réglementations fédérales, étatiques, locales ou internationales ;
• enquêter, établir, exercer, préparer ou défendre des actions en justice ; et/ou
• effectuer des opérations internes conformes à vos attentes raisonnables ou autrement compatibles avec le traitement de vos données à caractère personnel dans le cadre de la fourniture de DocV.

L’utilisation d’informations biométriques par Socure ne satisfait pas à la définition de « données de santé des consommateurs » au sens des lois sur la protection de la vie privée des États-Unis, notamment parce que les données à caractère personnel sont utilisées pour prévenir, détecter ou protéger des incidents de sécurité, des vols d’identité, des actes frauduleux, des harcèlements, des activités malveillantes ou trompeuses ou pour réagir à ces faits.

Comment nous divulguons vos informations

Le tableau suivant décrit les destinataires auxquels Socure peut divulguer vos données à caractère personnel dans le cadre de DocV, les finalités de la divulgation et les catégories de données à caractère personnel divulguées. 

Socure ne vend pas, ne loue pas et n’échange pas de données biométriques ou d’autres données à caractère personnel avec des tiers et n’a pas connaissance du fait qu’elle vend ou partage les données à caractère personnel de consommateurs âgés de moins de 16 ans, tel que requis par la loi applicable. Socure ne divulgue pas de données à caractère personnel sensibles dans des finalités autres que celles spécifiées dans la section 7027(l) de la Loi californienne sur la protection de la vie privée des consommateurs.

Comment nous conservons vos informations

Nous avons vu certains fraudeurs créer des centaines de faux documents d’identité et de selfies au fil du temps. Conformément à l’analyse menée par Socure concernant la valeur prédictive de vos données à caractère personnel dans la vérification de l’identité et la prévention continue de la fraude, les calendriers suivants décrivent les périodes de conservation maximales de Socure pour les données à caractère personnel collectées et utilisées dans DocV.

Vos données à caractère personnel peuvent être conservées pendant une période plus courte que celle décrite ci-dessus si la suppression est exigée par la loi ou le contrat, ou si l’objectif pour lequel ces informations ont été collectées a expiré.

Avis spécial concernant les demandes de droits en matière de données : Les données à caractère personnel utilisées pour vérifier votre identité dans le cadre de l’exercice d’une demande de droits en matière de données seront supprimées dans les 7 jours suivant la vérification. Les dossiers relatifs à votre demande d’exercice de vos droits en matière de données et à notre respect de nos obligations en la matière sont conservés conformément à la loi applicable.

Comment nous protégeons vos informations

Socure utilise des garanties physiques, électroniques et procédurales commercialement raisonnables pour protéger les informations contre la perte, le vol, l’utilisation abusive, l’accès non autorisé, la divulgation, l’altération et la destruction, conformément à la loi applicable, et nous demandons à nos clients et à nos fournisseurs de services tiers de prendre les mêmes mesures. Les informations biométriques bénéficient des mêmes mesures rigoureuses de protection de la vie privée et de la sécurité que les autres données à caractère personnel sensibles. Ces mesures incluent le chiffrement en transit et au repos, des contrôles d’accès stricts, la minimisation des données et des procédures de gouvernance des données. Les pratiques de Socure en matière de protection des données font l’objet d’audits réguliers et nous maintenons les certifications ISO 27001 et SOC 2 Type 2. En tout état de cause, il n’existe aucun moyen de garantir que les mesures de sauvegarde ou de sécurité seront suffisantes pour prévenir un incident de sécurité.

Vos droits en matière de données

En règle générale, vous avez le droit de déposer une plainte auprès de l’autorité de surveillance compétente et vous ne ferez pas l’objet d’une discrimination pour avoir exercé vos droits. En outre, en fonction de votre lieu de résidence, vous pouvez être soumis à un ou plusieurs des droits suivants en matière de données en ce qui concerne DocV :

• Droit de savoir / d’être informé sur les données à caractère personnel ou les catégories de données à caractère personnel que nous détenons à votre sujet
• Droit d’accès à une copie des données à caractère personnel que nous détenons à votre sujet.
• Droit de correction / de rectification des données à caractère personnel inexactes que nous détenons à votre sujet.
• Droit à la suppression / à l’effacement des données à caractère personnel vous concernant.
• Droit de refuser ou de s’opposer à certains traitements, tels que certains types de profilage.
• Droit de restreindre le traitement, si vous répondez à certaines circonstances applicables limitées.
• Droit de retirer votre consentement à tout moment et sans frais. Un tel retrait ne s’applique qu’à titre prospectif et n’aura pas d’incidence sur les traitements antérieurs effectués conformément au consentement que vous aurez donné librement au préalable.
• Droit de faire appel d’un refus de donner suite à une demande dans un délai raisonnable à compter de la réception de la décision initiale.

Le retrait du consentement ne s’applique qu’au traitement futur et n’a pas d’incidence sur le traitement antérieur effectué conformément à votre consentement explicite et librement donné. Le droit à la portabilité des données ne s’applique pas à Socure, mais nous faisons des efforts raisonnables pour vous fournir, en réponse à une demande d’accès, des informations dans un format structuré, couramment utilisé et lisible par machine.

Comment exercer vos droits en matière de données

Pour exercer vos droits relatifs à une transaction spécifique de DocV, soumettez votre demande au client professionnel de Socure qui vous a envoyé à Socure afin qu’il nous transmette la demande en tant que son prestataire de services. Nous ne pouvons pas traiter les données de nos clients professionnels sans leurs instructions écrites.

Pour exercer vos droits relatifs aux données du fournisseur de données de Socure, veuillez remplir notre Formulaire de droits en matière de données. Étant donné que les droits en matière de données changent constamment dans le monde, le formulaire énumère un grand nombre de droits relatifs aux données qui peuvent vous être accordés ou qui peuvent ne pas vous être accordés en fonction de votre pays de résidence. N’oubliez pas que nous pourrions ne pas être en mesure de répondre à votre demande si la loi ne vous accorde pas le droit que vous tentez d’exercer.

Demandes vérifiables de droits en matière de protection des données : Socure utilisera des méthodes commercialement raisonnables pour confirmer que vous avez soumis une demande vérifiable, le cas échéant ou si cela est requis. Cela signifie que nous pouvons être amenés à vous demander des informations complémentaires, à vérifier votre identité et à conserver certaines données à caractère personnel pour prouver que nous avons donné suite à votre demande.

Agent autorisé :  Lorsque la loi le permet, vous pouvez désigner un agent autorisé pour faire une demande de droits en matière de données en votre nom en utilisant le formulaire de droits en matière de données de Socure mentionné ci-dessus, sous réserve d’une vérification appropriée et d’autres exigences légales applicables.  Votre agent autorisé devra fournir des documents attestant de sa qualité d’agent autorisé à faire la demande en votre nom.  Nous pouvons également vous demander de vérifier votre identité directement auprès de nous et de confirmer la demande.

Bases légales du traitement (personnes ne résidant pas aux États-Unis)

Résidents du Canada : Vos données à caractère personnel sont traitées avec votre consentement explicite. 

Résidents du Royaume-Uni ou de l’Espace économique européen :  (a) vos données biométriques sont traitées avec votre consentement explicite ; (b) vos données relatives à votre race ou à votre origine ethnique sont traitées pour des raisons d’intérêt public importantes ; et (c) vos autres données à caractère personnel sont traitées à des fins d’intérêts légitimes tels que la prévention de la fraude. Les données à caractère personnel traitées pour évaluer et satisfaire les demandes relatives aux droits en matière de données sont traitées pour respecter une obligation légale. Lorsque Socure se base sur des intérêts légitimes, nous prenons en considération vos attentes raisonnables basées sur votre relation avec nos clients professionnels et nous établissons un équilibre avec les besoins de Socure de soutenir les demandes de nos clients professionnels pour valider les identités, évaluer les risques et prévenir, détecter, protéger ou défendre contre, ou répondre aux incidents de sécurité, au vol d’identité, à la fraude, au harcèlement, ainsi qu’aux activités malveillantes, trompeuses ou illégales.

Cadres de protection des données (Royaume-Uni, EEE, Suisse uniquement)

Socure respecte le cadre de protection des données UE-États-Unis (CPD EU-U.S.), l’extension britannique du cadre de protection des données UE-États-Unis et le cadre de protection des données Suisse-États-Unis (CPD Suisse-U.S.), tels qu’ils ont été définis par le Département du Commerce des États-Unis. Socure a certifié au Département du Commerce des États-Unis qu’elle adhère aux principes du cadre de protection des données UE-États-Unis (Principes du CPD UE-États-Unis) en ce qui concerne le traitement des données à caractère personnel reçues de l’Union européenne sur la base du CPD UE-États-Unis et du Royaume-Uni (et de Gibraltar) sur la base de l’extension britannique du CPD UE-États-Unis.  Socure a certifié au Département du Commerce des États-Unis qu’elle adhère aux principes du cadre de protection des données Suisse-États-Unis (principes du CPD Suisse-U.S.) en ce qui concerne le traitement des données à caractère personnel reçues de la Suisse en vertu du CPD Suisse-U.S. Socure est soumise aux pouvoirs d’enquête et d’exécution de la loi de la Commission fédérale du commerce.

Conformément aux cadres de protection des données, les ressortissants de l’UE, du Royaume-Uni et de la Suisse ont le droit d’obtenir notre confirmation que nous conservons ou non des données à caractère personnel les concernant aux États-Unis. Sur demande, nous vous donnerons accès aux données à caractère personnel que nous détenons à votre sujet. Vous pouvez également corriger, modifier ou supprimer les données à caractère personnel que nous détenons à votre sujet. Toute personne physique souhaitant corriger, modifier ou supprimer des données inexactes transférées aux États-Unis ou les corriger, en vertu du cadre de protection des données doit soumettre sa demande par le biais de ce formulaire. Si une suppression des données nous est demandée, nous répondrons dans un délai raisonnable. 

Nous vous proposerons un choix individuel de refus, ou de participation pour les données sensibles, avant de partager vos données avec des tiers autres que nos agents, ou avant de les utiliser à d’autres fins que celles pour lesquelles elles ont été collectées à l’origine ou autorisées par la suite. Pour demander à limiter l’utilisation et la divulgation de vos données à caractère personnel, veuillez soumettre une demande écrite via ce formulaire. 

Dans certaines situations, nous pouvons être tenus de divulguer des données à caractère personnel en réponse à des demandes légales émanant d’autorités publiques, notamment pour répondre à des exigences de sécurité nationale ou d’application de la loi. 

La responsabilité de Socure à l’égard des données à caractère personnel qu’elle reçoit aux États-Unis en vertu des cadres de protection des données et qu’elle transfère ensuite à un tiers est décrite dans les principes du cadre de protection des données. En particulier, Socure reste responsable en vertu des principes du cadre de protection des données si les agents tiers qu’elle engage pour traiter des données à caractère personnel en son nom le font d’une manière incompatible avec les principes, à moins que Socure ne prouve qu’elle n’est pas responsable du fait à l’origine du dommage.

Conformément au CPD UE-États-Unis, à l’extension britannique du CPD UE-États-Unis et aux principes du CPD Suisse-États-Unis, Socure s’engage à résoudre les plaintes relatives à votre vie privée et à la collecte ou à l’utilisation de vos données à caractère personnel transférées aux États-Unis conformément au CPD UE-États-Unis, à l’extension britannique du CPD UE-États-Unis et aux principes du CPD Suisse-États-Unis. Les personnes physiques de l’Union européenne, du Royaume-Uni et de la Suisse qui ont des questions ou des plaintes à formuler doivent contacter en premier lieu Socure à l’adresse suivante privacy@socure.com.

En outre, Socure s’est engagée à renvoyer les plaintes non résolues relatives à la protection de la vie privée dans le cadre du programme CPD UE-États-Unis à un mécanisme indépendant de résolution des litiges, Data Privacy Framework Services, géré par BBB National Programs. Si vous ne recevez pas d’accusé de réception de votre plainte rapidement, ou si votre plainte n’est pas traitée de manière satisfaisante, veuillez consulter ce site web pour plus d’informations et/ou pour déposer une plainte. Ce service vous est proposé gratuitement.

Si votre plainte concernant le CPD UE-États-Unis ne peut être résolue par les canaux susmentionnés, vous pouvez, sous certaines conditions, recourir à un arbitrage contraignant pour certaines demandes résiduelles qui n’ont pas été résolues par d’autres mécanismes de recours. Cliquez ici pour plus d’informations.

En cas de conflit entre les termes du présent Avis de Confidentialité et les principes du CPD UE-États-Unis et/ou les principes du CPD Suisse-États-Unis, les principes en question prévalent.  Pour en savoir plus sur le programme CPD UE-États-Unis, veuillez consulter ce site web. Vous pouvez vérifier la participation de Socure ici.

Comment nous contacter

Ne nous envoyez pas de documents d’identité, de selfies ou d’autres données à caractère personnel par e-mail. Si vous rencontrez des difficultés pour soumettre vos documents ou si vous avez besoin d’aide pour résoudre un problème ou comprendre le résultat d’une transaction spécifique, veuillez contacter le client professionnel de Socure qui vous a envoyé chez nous.

Pour contacter l’équipe de Socure Privacy, y compris notre délégué à la protection des données (DPD), vous pouvez envoyer un e-mail à l’adresse suivante privacy@socure.com ou appeler le 1-888-690-3709. Notre DPD est le conseiller général et directeur juridique de Socure, Aviad Levin-Gur.

Conformément à l’Article 27 du Règlement général sur la protection des données (RGPD), Socure a désigné le Bureau européen de la protection des données (EDPO) comme son représentant pour le RGPD dans l’UE. Vous pouvez contacter le Bureau européen de la protection des données pour toute question relative au RGPD : (1) en utilisant le formulaire de demande en ligne du Bureau européen de la protection des données ; ou (2) en écrivant à EDPO, Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique.

Conformément à l’Article 27 du RGPD du Royaume-Uni, Socure a désigné l’EDPO UK Ltd comme son représentant RGPD au Royaume-Uni. Vous pouvez contacter le Bureau européen de la protection des données du Royaume-Uni pour toute question relative au RGPD du Royaume-Uni : (1) en utilisant le formulaire de demande en ligne du Bureau européen de la protection des données ; ou (2) en écrivant à EDPO UK at 8 Northumberland Avenue, London WC2N 5BY, Royaume-Uni.