Politique de confidentialité

Introduction

IDEMIA fournit des technologies de pointe au monde entier avec pour mission de protéger l’identité des consommateurs et des citoyens. La vie privée/confidentialité est une question essentielle pour IDEMIA et nous nous efforçons de sécuriser vos données personnelles à tout moment. La sécurité et le respect de la vie privée étant au cœur de l’identité augmentée, le moyen d’identification numérique sécurisé que nous proposons, IDEMIA a déclaré que la sécurité et le respect de la vie privée étaient des critères essentiels à la poursuite de sa mission.

Dans un monde de plus en plus numérique, les frontières et la définition de la sécurité évoluent. La stratégie de sécurité d’IDEMIA met en œuvre les meilleures normes de sécurité englobant à la fois les mondes physique et numérique, sans oublier les interconnexions entre ces mondes.

Pour répondre à nos exigences, IDEMIA s’engage à protéger les intérêts commerciaux de nos clients et les nôtres en fournissant des services complets de cybersécurité et de protection des informations.

La stratégie d’IDEMIA en matière de données personnelles est basée sur les principes de Privacy by default (Protection de la vie privée par défaut) et Privacy by design (Protection de la vie privée dès la conception).

Définitions

Aux fins du présent document, les définitions suivantes s’appliquent :

Anonymisation Le procédé technique de désidentification de données personnelles de manière à ce que les données ne puissent plus être attribuées à une personne spécifique.
Information confidentielle Toute information définie comme confidentielle par la politique de classification des informations.
Cookie Un petit fichier généré par un site web and enregistré par votre navigateur internet.
Responsable de traitement La personne/l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.
Protection des données Toutes les règles et réglementations relatives à la protection des données personnelles dans le monde.
Sous-traitant La personne ou l’entité qui traite des données personnelles pour le compte du responsable de traitement.
Personne concernée Un individu dont les données personnelles sont traitées manuellement ou automatiquement.
Accord de partage de données Accord au sein du Groupe IDEMIA, entre deux sociétés affiliées, permettant le transfert de données personnelles avec le même niveau de protection des données.
Transfert de données Toute communication, copie, accès et/ou transmission de données par réseau, ou d’un support à un autre, quel que soit le type de support, en dehors de l’Union européenne (UE), à des pays tiers ou à des organisations internationales, dans la mesure où ces données sont destinées à être traitées par le destinataire.
Employé Toute personne qui est ou était dans une relation de travail avec IDEMIA, tels que les apprentis, les stagiaires ou les travailleurs temporaires, les anciens employés et les contractants.
Entités du Groupe IDEMIA Toutes les sociétés dont IDEMIA France détient plus de la moitié du capital social, directement ou indirectement, et/ou les sociétés qu’IDEMIA France contrôle ou dirige directement ou indirectement.
Actifs d’IDEMIA Tous les actifs tangibles et intangibles que possède IDEMIA.
Donnée personnelle Toute information relative à une personne physique identifiée ou identifiable (un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique, etc.)
Violation de données personnelles Une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés à ces données accidentel ou illégal à des données personnelles transmises, stockées ou traitées d’une autre manière.
Confidentialité Toutes les informations et données relatives à la vie privée d’un individu ou d’une entité, y compris, mais sans s’y limiter, les données personnelles et les informations confidentielles, les secrets commerciaux ou toute information relative à la vie privée en général.
Traitement de données personnelles Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données personnelles ou des ensembles de données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Pseudonymisation Le traitement des données à caractère personnel de telle façon que les données ne puissent plus être attribuées à une personne concernée précise sans le recours d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
Finalité du traitement La raison du traitement de données personnelles.
Données personnelles sensibles Les données personnelles sont considérées comme sensibles lorsqu’elles révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou lorsqu’elles contiennent des données génétiques, des données biométriques, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Autorité de contrôle L’autorité nationale établie dans chaque État, pays ou zone qui est en charge de surveiller l’application des lois sur la protection des données personnelles et la vie privée.
Clauses contractuelles types Les clauses contractuelles types (CCT) publiées par IDEMIA au niveau du Groupe fondées sur les clauses de la Commission européenne ou les clauses ad hoc convenues entre les parties et autorisées par l’autorité de contrôle.
Pays tiers Tous les États qui ne sont pas membres de l’Union européenne ou de l’Espace Economique Européen ou qui ne sont pas reconnus par une décision d’adéquation de la Commission européenne comme garantissant un niveau adéquat de protection des données.
Pays de l’EEE EEE=Espace Economique Européen; États assurant une protection des données personnelles équivalente à celle du RGPD : Andorre, Argentine, Canada (uniquement les organisations commerciales), îles Féroé, Guernesey, Israël, île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Japon et Royaume-Uni.
Tiers Personne physique ou morale, autorité publique, agence ou organisme autre que la personne concernée, le responsable du traitement /le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données personnelles.

Finalité

Avec l’augmentation de l’utilisation des données personnelles et l’utilisation des nouvelles technologies, la protection de la vie privée est essentielle pour IDEMIA et, par conséquent, la politique de confidentialité du Groupe est importante en tant que référence pour le monde entier où IDEMIA a ses bureaux, ses clients et ses employés.

Cette politique de confidentialité du Groupe décrit comment les entités d’IDEMIA protègent la confidentialité et les données personnelles. Cette politique vise à garantir qu’un niveau adéquat de protection des données et de la vie privée est appliqué au sein d’IDEMIA dans le monde entier.

Champ d’application

Champ d’application matériel

Cette politique couvre toutes les questions de confidentialité et de traitement des données personnelles d’IDEMIA. Le champ d’application matériel comprend :

  • Données relatives aux ressources humaines (anciens employés, employés actuels, candidats à l’emploi, contractants)
  • Données de connexion (toute donnée relative à une connexion à une machine)
  • Données financières
  • Données de santé, y compris les données médicales, génétiques et biométriques
  • Données économiques
  • Données personnelles de tiers

Champ d’application territorial

Cette politique s’applique à toutes les entités du Groupe IDEMIA à travers le monde où IDEMIA est présent soit par son entité principale, soit par ses filiales ou ses coentreprises.
Chez IDEMIA, nous pensons que le respect des lois et règlements pertinents en matière de confidentialité est de la plus haute importance. Le Groupe IDEMIA se conforme au Règlement général sur la protection des données CE/2016/679 ( » RGPD « ) ou à toute loi et réglementation correspondante ou similaire en matière de confidentialité dans le monde entier.

Principes de protection des données personnelles

La stratégie d’IDEMIA en matière de données personnelles repose sur les principes de protection de la vie privée par défaut (privacy by default) et de protection de la vie privée dès la conception (privacy by design).

Validité légale

La base juridique du traitement effectué par IDEMIA est simple et repose sur l’intérêt légitime de notre entité. Pour les données sensibles, nous demandons toujours le consentement individuel pour le traitement des données personnelles.

Intérêt légitime

Le traitement des données est en considération des intérêts légitimes d’IDEMIA, soit pour améliorer les services de nos Clients ou la performance de nos algorithmes, soit il est démontré que le traitement est nécessaire (c’est-à-dire qu’il n’existe pas de meilleure méthode pour mesurer et évaluer la performance qui soit juste et efficace) et proportionné (c’est-à-dire que seules les données nécessaires sont traitées).

Proportionnalité

La proportionnalité exige également que les avantages du traitement de la donnée ne soient pas contrebalancés par les inconvénients d’exercer le droit, et que la mesure soit adéquate pour atteindre les objectifs. En outre, lors de l’évaluation du traitement des données personnelles, la proportionnalité exige que seules les données personnelles adéquates et pertinentes aux fins du traitement soient collectées et traitées. Ces normes sont respectées lors de l’utilisation des services d’IDEMIA. En outre, des politiques et des processus sont appliqués lors de l’utilisation des services d’IDEMIA : le traitement des données personnelles est systématiquement garanti pour être adéquat, pertinent et limité à ce qui est nécessaire aux fins pour lesquelles ces données sont traitées (c’est-à-dire la minimisation des données) ; les clients ont la possibilité d’exercer leurs droits (c’est-à-dire l’accès, la correction, l’effacement et la restriction du traitement) en effectuant, lorsque cela est autorisé, des modifications des données détenues dans les systèmes constituant les sources de données d’IDEMIA ; et les données personnelles sont protégées par des mesures de sécurité techniques et organisationnelles appropriées.

Grâce aux droits fondamentaux et aux règles de confidentialité d’IDEMIA, les salariés et les clients sont correctement informés du traitement en se référant à nos politiques appropriées de protection des données et de sécurité.

Traitement de données personnelles

Dans le cadre de notre activité, nous pouvons collecter et traiter vos données personnelles pour :

  • Permettre les vérifications d’identité
  • Permettre les paiements
  • Gérer les services bancaires
  • Fournir des services connectés ou embarqués
  • Assurer la sécurité dans les transports
  • Réaliser des enquêtes sur la satisfaction des clients
  • Se conformer à nos obligations
  • Générer des statistiques et rapports
  • Des fins de marketing avec votre consentement

Ces opérations de traitement sont justifiées par notre intérêt légitime ou avec votre consentement, pour s’assurer que vous profitiez de nos produits et services.
Enfin, sous réserve de votre consentement exprès préalable, nous pouvons également utiliser les données personnelles que vous partagez avec nous à des fins de marketing.

Conservation des données

Si vous êtes un client existant, nous conserverons vos données personnelles aussi longtemps que dure notre relation contractuelle et/ou commerciale. Nous pouvons ensuite conserver vos données personnelles dans une base de données intermédiaire pendant cinq (5) ans après les fins de notre relation contractuelle et/ou commerciale.

Si vous êtes un prospect sans relation contractuelle et/ou commerciale établie, nous ne conserverons pas vos données plus de trois (3) ans après votre dernier contact avec nous.

Si vous êtes un employé, nous conserverons vos données aussi longtemps que vous serez dans l’entreprise et pendant 10 ans après votre départ.

Partage de données

Nous pouvons partager des données personnelles au sein d’IDEMIA et également avec des tiers dans l’intérêt légitime de nos clients et partenaires.

Nous ne partageons que les données traitées à partir de la base légale contractuelle et uniquement dans le but de servir nos clients. Deux types de transfert de données existent, l’un au sein de l’UE ou du Groupe IDEMIA, l’autre en dehors de l’UE.

Transfert au sein du Groupe IDEMIA

IDEMIA étant une organisation mondiale, nous avons des entités juridiques distinctes (par exemple, des filiales nationales) dans de nombreuses régions du monde. Par conséquent, nos processus internes et notre infrastructure ont une portée et une nature internationales et traversent généralement les frontières nationales. Par conséquent, vous devez savoir que nous pouvons partager vos données personnelles avec d’autres entités au sein d’IDEMIA et les transférer dans des pays du monde où nous avons des centres de données ou exerçons d’autres activités, y compris ceux situés en dehors de l’UE. Ces transferts de données seront couverts par notre Accord de Partage de Données (APD) afin de garantir le même niveau de protection des données au sein des filiales d’IDEMIA qu’au sein du Groupe IDEMIA.

Transferts à des tiers

Nous faisons également appel à des fournisseurs et partenaires tiers avec lesquels nous pouvons partager vos données personnelles aux fins indiquées ci-dessus. Chaque fois que nous faisons appel à ces tiers, nous nous assurons qu’ils fournissent un niveau de protection adéquat des données personnelles qu’ils traitent pour notre compte. Lorsque ces tiers sont situés en dehors de l’Union européenne, nous appliquons les clauses types de l’Union européenne telles qu’adoptées par la Commission européenne dans nos accords.

Nous pouvons également partager vos données personnelles avec des tiers à des fins de marketing, uniquement avec votre consentement explicite.

Autorités judiciaires, publiques et/ou gouvernementales

Nous pouvons également être tenus – en vertu de la loi, d’une procédure judiciaire, d’un litige et/ou de demandes émanant d’autorités publiques et gouvernementales dans ou hors de votre pays de résidence – de divulguer vos données personnelles à des autorités judiciaires, publiques ou gouvernementales. Nous pouvons également divulguer vos données personnelles si nous déterminons qu’aux fins de la sécurité nationale, de l’application de la loi ou d’autres questions d’importance publique, la divulgation est nécessaire ou appropriée.

Nous pouvons également divulguer des données personnelles si nous déterminons de bonne foi que la divulgation est raisonnablement nécessaire pour protéger nos droits et exercer les recours disponibles, faire respecter nos conditions générales, enquêter sur une fraude ou protéger nos opérations ou nos utilisateurs.

Confidentialité

La confidentialité est la clé des activités d’IDEMIA. Nous tenons à la confidentialité des informations et attendons de chacun qu’il respecte un haut niveau de confidentialité.

La confidentialité ne concerne pas seulement les actifs incorporels d’IDEMIA mais s’applique également aux données personnelles.

Tous les salariés, contractants et partenaires s’engagent à respecter la confidentialité et signent un accord de confidentialité, selon la situation.

Sécurité

La sécurité et la confidentialité des données personnelles sont une priorité pour IDEMIA. Par conséquent, IDEMIA met en œuvre les mesures nécessaires conformément à sa stratégie de sécurité du Groupe publiée.

IDEMIA met en œuvre toutes les mesures physiques, techniques et organisationnelles pour sauvegarder de manière adéquate la sécurité et la confidentialité des données personnelles des personnes concernées contre tout accès non autorisé et accidentel, tout traitement illégal, toute divulgation involontaire ou illégale, toute perte, toute destruction ou dommage.

Internet en nuage (cloud)

IDEMIA s’engage à fournir les solutions d’internet en nuage les plus sécurisées à ses clients, conformément aux lois pertinentes applicables dans chaque pays.

Violation de données personnelles

Les violations de données personnelles sont gérées par notre procédure de violation de données. Si la violation signalée peut potentiellement porter atteinte aux droits et libertés d’une personne concernée de manière grave, le délégué à la protection des données notifiera l’autorité nationale compétente en matière de protection des données et, si nécessaire, informera la personne concernée.

Notification à l’autorité de contrôle

IDEMIA s’engage à notifier à l’autorité de contrôle compétente toute violation de données personnelles, dans les meilleurs délais, et si possible, dans les 72 heures après en avoir pris connaissance, sauf lorsque cette violation de données personnelles n’est pas susceptible de créer un risque pour les droits et libertés des personnes physiques.

Notification aux personnes concernées

IDEMIA s’engage à notifier aux personnes concernées toute violation des données personnelles dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions nécessaires.
Cette notification décrira, dans la mesure du possible, la nature de la violation des données personnelles et fera des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Cette notification est faite en conformité avec les recommandations de l’autorité de protection des données.
En général, IDEMIA ne notifie pas les personnes concernées lorsque :

  • Nous avons mis en œuvre des mesures de protection techniques et organisationnelles appropriées et que ces mesures ont été appliquées aux données personnelles affectées par la violation, notamment des mesures qui rendent les données personnelles incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès telles que le cryptage.
  • Nous avons pris des mesures supplémentaires pour garantir que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser.
  • Cela nécessiterait des efforts disproportionnés pour notifier les personnes concernées. Dans ce cas, il est procédé à une communication publique ou à une mesure similaire qui permet d’informer tout aussi efficacement les personnes concernées.

Sous-traitance

IDEMIA s’engage à ne contracter qu’avec des sous-traitants qui offrent des garanties suffisantes en matière de respect des règles de confidentialité. La réalisation d’un traitement par un sous-traitant doit être régie par un contrat ou un acte juridique liant le sous-traitant conformément aux règles locales de protection de la vie privée.

Droits des personnes concernées

IDEMIA s’engage à répondre aux demandes des personnes concernées sans retard excessif.
Chaque personne concernée a les droits suivants :

  • Recevoir un rapport sur ses données personnelles que nous détenons sur elle
  • Rectifier les données personnelles la concernant lorsqu’elles sont inexactes ou incomplètes
  • Effacer ses données personnelles
  • Limiter le traitement de ses données personnelles
  • S’opposer au traitement de ses données personnelles
  • Demander la portabilité de ses données conformément aux lois locales sur la protection des données
  • Ne pas faire l’objet d’une prise d’une décision individuelle automatisée, y compris le profilage

Demandes des personnes concernées

Les demandes des personnes concernées doivent être envoyées au délégué à la protection des données local, où se trouve la personne concernée. Ces demandes peuvent être adressées par courrier postal, par e-mail ou au moyen d’un formulaire disponible sur le site intranet.

Les Personnes concernées ont le droit d’obtenir, dans un délai raisonnable, la confirmation que les données personnelles les concernant sont traitées ou non. La réponse doit comprendre :

  • La finalité du traitement
  • Les catégories de données concernées
  • Les destinataires ou catégories de destinataires
  • La durée de conservation des données ou sinon les critères pour déterminer cette durée
  • L’existence d’un droit de rectification, d’effacement et de limitation du traitement de leurs données, et d’un droit d’opposition à ce traitement
  • Le droit de déposer une plainte auprès de l’autorité de contrôle
  • L’existence d’une prise de décision automatisée, y compris le profilage
  • des informations sur les garanties appropriées mises en place lorsque les données personnelles sont transférées en dehors de l’UE

La personne concernée peut également envoyer une demande au Délégué à la protection des données du Groupe à dpo@idemia.com.
Si la demande de la personne concernée est rejetée, la personne concernée a le droit de déposer une plainte.

Plaintes

Lorsque la personne concernée n’a pas été satisfaite de la réponse, elle peut déposer une plainte ou une réclamation auprès de l’autorité de protection des données ou auprès des tribunaux du lieu où elle se trouve.

Coopération avec l’entité de contrôle

IDEMIA coopérera avec l’autorité de contrôle compétente pour toute question relative à l’interprétation de cette politique et s’engagera à répondre à toute demande concernant cette politique et sa mise en œuvre dans un délai raisonnable.

Conflits de lois

IDEMIA entreprend le traitement de données personnelles conformément à la présente politique et à toute loi applicable sur la protection de la vie privée. Cette politique doit être interprétée à la lumière des lois sur la protection de la vie privée du pays dans lequel IDEMIA est établi.

En cas de conflit de lois entre les lois locales et la politique de confidentialité du Groupe IDEMIA, ce conflit doit être porté à l’attention du délégué à la protection des données du Groupe à l’adresse dpo@idemia.com, dans les meilleurs délais.

Mise en œuvre et révision de la politique

Cette politique lie toutes les entités d’IDEMIA, ses salariés, ses sous-traitants et ses partenaires. Chaque entité IDEMIA doit s’assurer que la mise en œuvre de cette politique est correctement appliquée et qu’elle est contraignante pour tous ses salariés et partenaires.
Cette politique est disponible en anglais et peut être traduite dans la langue locale selon les besoins locaux.

La présente politique de confidentialité du Groupe est un document évolutif qui peut être périodiquement mis à jour par IDEMIA.

IDEMIA
IDEMIA

Inscrivez-vous à notre newsletter

Recevez nos principales actualités et suivez les tendances de nos marchés en vous abonnant à notre newsletter.

En cliquant sur le bouton «Je m'inscris», vous confirmez que vous acceptez les conditions d'utilisation et la politique de confidentialité d'IDEMIA et que vous consentez au traitement de vos données personnelles tel que décrit.

Votre adresse e-mail sera utilisée exclusivement par IDEMIA pour vous envoyer des newsletters. Conformément à la loi, vous disposez de droits d'accès, de rectification et de suppression de vos données personnelles, ainsi que d'opposition à leur traitement, en écrivant à dpo@idemia.com.