Politique de Confidentialité et Conditions Générales d’Utilisation

Introduction

La présente Politique de Confidentialité et les Conditions Générales d’Utilisation (CGU) expliquent en détail comment SotaBoost collecte, utilise, et protège vos données à caractère personnel, ainsi que les conditions dans lesquelles vous accédez et utilisez notre plateforme de vérification d’identité SotaID. Ces informations concernent spécifiquement la plateforme de vérification d’identité SotaID et s'appliquent à toute interaction que vous avez avec nos services.

Lorsque vous effectuez une vérification d'identité via notre plateforme, vous êtes tenus de lire attentivement et d’accepter à la fois la Politique de Confidentialité et les CGU. Cela signifie que vous reconnaissez avoir compris et accepté l’ensemble des conditions et des dispositions qui y sont décrites.

SotaBoost peut, à tout moment et sans préavis, adapter ou modifier ces documents afin de les mettre en conformité avec les évolutions légales ou technologiques. En cas de modifications, SotaBoost s’efforcera de vous en informer, soit par une notification directe, soit par d'autres moyens techniques lorsque cela est possible. Il est donc recommandé de consulter fréquemment ces documents, en prêtant attention à la date de dernière mise à jour indiquée au bas de la page.

Dans le cas où les modifications impacteraient la manière dont nous traitons vos données à caractère personnel (notamment si elles sont basées sur votre consentement), SotaBoost sollicitera à nouveau votre accord avant de poursuivre les traitements concernés.

Chapitre I : Politique de confidentialité

Par la présente Politique de Confidentialité, SotaBoost vous informe des traitements de données à caractère personnel effectués via le site. Nous traitons vos données à caractère personnel lorsque nous effectuons la vérification de votre identité.

1. Responsable de traitement

Le responsable du traitement est la société SotaBoost SAS (Société par Actions Simplifiée) au capital de 1500 euros, immatriculée au Registre du Commerce et des Sociétés de la ville de Nantes sous le n° 985 026 426. Son siège social est situé 12 rue des Merisiers 44860 Saint-Aignan Grand-lieu. À ce titre, SotaBoost est responsable de la collecte, de la gestion et de la protection de vos données à caractère personnel, conformément aux lois européennes et locales applicables en matière de protection des données, notamment le Règlement Général sur la Protection des Données (RGPD) et l’Act addictionnel A/SA.1/01/10 dans l’espace CEDEAO.

2. Les activités de traitement de SotaBoost

La plateforme de vérification d’identité nommée SotaID procède pour le compte de SotaBoost à une activité de traitement décrite ci-après : la vérification de l’identité.

Ce traitement des données s’inscrit dans un cadre légal et contractuel et vise à garantir que les personnes utilisant les services de nos clients sont bien celles qu’elles prétendent être.

Finalité du traitement

La finalité principale de ce traitement est de permettre aux utilisateurs d'accéder aux services de nos clients, en vérifiant leur identité de manière fiable. Les données collectées peuvent également être exploitées à des fins de recherche ou d'amélioration de la qualité du service offert.

Type de données collectées

Dans le cadre de cette vérification d’identité, différentes catégories de données à caractère personnel sont collectées :

  • Données d’identification : telles que votre adresse email.
  • Données de connexion : incluent des informations sur votre connexion internet comme votre adresse IP, le type de réseau utilisé (3G, 4G, 5G, Wi-Fi), l’horodatage, ainsi que des informations techniques concernant votre appareil (type de navigateur, système d'exploitation, etc.).
  • Données d'état civil : lors du processus de vérification, votre document d’identité est filmé, ce qui génère plusieurs images du document et de l’environnement autour. De ces images, des informations spécifiques sont extraites, telles que :
    • Le type de document (carte d'identité, passeport, certificat d’identification personnelle, etc.)
    • Votre genre
    • Votre nom, prénoms, date de naissance, ville de naissance, nationalité
    • Le numéro d'immatriculation du document
    • La date d'émission et la date d'expiration
    • Une photo de votre visage
    • Signature, et autres éléments distinctifs.
  • Données biométriques : durant la vérification, des images de votre visage sont capturées afin de vérifier votre identité. Ces images sont de haute qualité et sont générées à partir des vidéos de votre visage prises pendant le processus.

Lorsque nous effectuons des contrôles biométriques, nous ne stockons pas les scans faciaux extraits une fois le contrôle terminé. Lorsqu'un client nous a demandé de fournir un service d'authentification, le client peut demander à SotaBoost de stocker une image de référence choisie par le client pour chaque utilisateur concerné. (Cette image est conservée conformément aux périodes de conservation définies par le client et sous réserve des périodes de conservation maximales spécifiées par SotaBoost ou dans les lois applicables.) Lorsqu'il est demandé à SotaBoost d'authentifier un utilisateur, nous générons deux scans faciaux l'un utilisant une nouvelle image de l'utilisateur et l'autre utilisant l'image de référence que nous avons stockée. Si les deux images correspondent, l'authentification est confirmée.

Base légale

La collecte et l’utilisation de vos données à caractère personnel reposent sur plusieurs bases légales :

  • Le contrat entre SotaBoost et le client (l’entité qui requiert la vérification de votre identité) justifie le traitement de l’ensemble des données.
  • Concernant les images vidéo de votre visage, votre consentement explicite est requis et constitue la base légale supplémentaire permettant leur traitement.

Ainsi, sans la communication de ces données, SotaBoost ne serait pas en mesure d’effectuer la vérification de votre identité pour le compte de ses clients.

Rapports SotaID et prise de décision automatisée

Une fois que nous avons vérifié une identité ou effectué un contrôle, nous partageons les résultats avec le client dans un rapport (« Rapport SotaID »).

Chaque rapport SotaBoost contient un résultat global « SUCCES » ou « ECHEC » :

  • Si nous sommes en mesure de vérifier l'identité d'un utilisateur et que les vérifications demandées ne montrent pas de signes de fraude ou d'autres anomalies, nous informons le client que les vérifications sont claires.
  • Si nous ne sommes pas en mesure de vérifier l'identité d'un utilisateur, ou si l'utilisateur n'est pas en mesure de passer tous les contrôles demandés ou si les contrôles montrent des signes de fraude ou d'autres anomalies, nous renvoyons un résultat ECHEC.
  • Si nous renvoyons un résultat ECHEC, nous fournirons également une description détaillée des raisons pour lesquelles. Les raisons sont générées à partir des différents modèles d'apprentissage automatique et/ou des processus humains utilisés pour vérifier une identité ou effectuer une vérification.

Les rapports SotaID contiennent uniquement les éléments vérifiés, des recommandations et les raisons qui les sous-tendent. Il appartient ensuite au client de décider de la manière de procéder avec un utilisateur en fonction du contenu du rapport SotaID, mais également en fonction des autres informations dont il dispose (y compris des informations supplémentaires dont il peut disposer ou qu'il décide de demander à ses utilisateurs).

En fournissant à nos clients ces rapports SotaID détaillés, notre objectif est de permettre à nos clients de prendre des décisions éclairées concernant leurs utilisateurs et de fournir de l'aide aux utilisateurs qui ont des difficultés à passer le processus de contrôle SotaID.

Durée de conservation

Vous trouverez ici nos principes de conservation des données, c'est-à-dire la durée pendant laquelle nous conservons les données à caractère personnel.

Pour déterminer la période de conservation appropriée, nous prenons en compte la quantité, la nature et la sensibilité des données à caractère personnel ainsi que les finalités pour lesquelles nous les traitons. Nous devons également tenir compte des périodes pendant lesquelles nous pouvons avoir besoin de conserver des données à caractère personnel afin de respecter nos obligations légales ou de traiter des plaintes ou des requêtes et de protéger nos droits légaux en cas de réclamation.

  • Nous conserverons vos données à caractère personnel aussi longtemps que nécessaire pour réaliser les finalités pour lesquelles nous les avons initialement collectées et à d'autres fins commerciales expliquées dans la présente politique de confidentialité ou aussi longtemps que la loi l'exige ou conformément à la loi, ou aux fins énoncées dans la présente politique de confidentialité.
  • Nous conservons les données des Utilisateurs finaux pendant la période définie dans le Contrat (nous pouvons avoir convenu de périodes de conservation des données différentes avec le Client) ou aussi longtemps que nécessaire pour l'établissement, l'exercice ou la défense de réclamations légales des Utilisateurs finaux, des Clients ou de nous-mêmes, ou à des fins de lutte contre la fraude. Pour plus d'informations sur la période de conservation des données, vous devez lire la déclaration de confidentialité qui vous a été fournie par le Client.
  • Nous pouvons stocker vos données à caractère personnel pendant une période plus longue que la durée du contrat si nous avons une base légale pour le faire, par exemple si vous nous avez donné votre consentement pour utiliser vos données à caractère personnel pour le développement de nos services ou si nous avons évalué que nous avons une base légale pour le faire, par exemple, sous forme pseudonymisée ou aux fins du journal de l'historique du service.

Après l'expiration de la période de stockage des données à caractère personnel, nous anonymiserons ou effacerons définitivement vos données à caractère personnel. Veuillez noter que SotaBoost traite, conserve et utilise les informations agrégées ou dépersonnalisées uniquement de manière dépersonnalisée et ne tentera pas de ré-identifier ces informations, sauf si la loi le permet.

Spécifiquement pour l'application de démonstration de SotaID et sur le test du flux de session de la plateforme SotaID,

  • Le flux de session de l'application de démonstration et du site Web de SotaID permet de tester et d'expérimenter le flux de vérification de SotaID en tant qu'utilisateur final. Le flux fournit l'expérience que les utilisateurs finaux obtiendront lorsque le client de SotaID sera intégré à SotaID.
  • Lorsque vous testez le flux de vérification dans l'application de démonstration ou sur notre site Web, SotaBoost traitera vos données comme mentionnées dans la présente politique. Les données à caractère personnel traitées dans le but de présenter notre démonstration de flux de vérification seront conservées jusqu'à 1 jour.

Données à caractère personnel des enfants

Notre application est ouverte aux utilisateurs majeurs. Nous ne traitons pas les données à caractère personnel des enfants (c'est-à-dire des personnes de moins de 16 ans* ; *selon la juridiction) à condition que la loi locale nous y autorise. Le responsable du traitement des données doit prendre des mesures pour garantir qu'il existe une base juridique pour un tel traitement (par exemple, le consentement d'un tuteur de cet enfant). Si nous apprenons que nous avons collecté les données à caractère personnel d'un enfant sans le consentement du tuteur, nous prendrons des mesures pour supprimer les informations dès que possible.

Partage de vos données

SotaBoost communique vos données à caractère personnel aux tiers suivants :

  • au client que vous sollicitez et qui a mandaté contractuellement SotaBoost pour fournir le service de vérification d’identité,
  • aux collaborateurs de SotaBoost habilités, à des fins de vérification manuelle, d’investigation, de recherche et à l’amélioration du service. SotaBoost s’est assuré de la conformité avec les réglementations européennes et locales RGPD et l’Acte Additionnel A/SA.1/01/10 relatif à la protection des données à caractère personnel des traitements réalisés par ses sous-traitants. SotaBoost a mis en place les mesures nécessaires au regard de la sensibilité des données traitées, pour garantir leur sécurité et éviter, notamment, leur divulgation à des tiers non autorisés.

3. Sécurité des données

Dans la mesure du possible, nous pseudonymisons, dépersonnalisons et/ou agrégeons les informations personnelles afin de protéger la confidentialité et de minimiser les risques de sécurité. Les données pseudonymisées sont celles que nous remplaçons, transformons ou supprimons afin qu'elles ne permettent plus d'identifier une personne sans informations supplémentaires. SotaBoost prend également des mesures administratives, physiques, techniques et organisationnelles appropriées conçues pour aider à protéger les informations qu'elle détient contre la perte, le vol, l'utilisation abusive et l'accès, la divulgation, l'altération et la destruction non autorisés.

Pour plus d’information, vous pouvez nous contacter à l’adresse : dpo@sotaboost.com.

Pour protéger vos données, SotaBoost a mis en place une infrastructure sécurisée. Nous appliquons entre autres les mesures de sécurité suivantes :

  • Encryptions vos données lors du transfert vers les serveurs de SotaBoost
  • Encryptions vos données lors du stockage dans les serveurs de SotaBoost

4. Avenir des données en cas de fusion/acquisition ou de fusion/absorption de SotaBoost

En cas de fusion/acquisition ou de fusion/absorption, SotaBoost informera le responsable de traitement préalablement à l’opération et à la transmission de vos données à caractère personnel la nouvelle entité. Cela veut dire que SotaBoost informe simplement mais ne vous redemandera pas une nouvelle fois votre consentement.

5. Vos droits

Vous disposez de droits sur les données à caractère personnel qui vous concernent et traitées par SotaBoost. Ainsi, vous avez le droit :

  • de retirer votre consentement à tout moment si vous avez déjà donné votre consentement à un traitement de vos données à caractère personnel.
  • de vous opposer au traitement de vos données si le traitement est effectué sur une base juridique autre que le consentement. Or cas de prospection commerciale, vous devrez toutefois préciser les raisons de votre demande “tenant à votre situation particulière”
  • d’accéder à vos données. Vous avez le droit de savoir quelles données sont traitées et d’en obtenir une copie.
  • d’obtenir la rectification de données vous concernant erronées ou incomplètes. Vous avez le droit d’obtenir l'exactitude de vos Données et de demander qu'elles soient mises à jour ou corrigées.
  • de limiter le traitement de vos données. Dans ce cas, SotaBoost traitera ces données uniquement pour les stocker. Vous avez le droit d’obtenir la limitation de vos données détenues par SotaBoost si :
    • vous contestez l'exactitude des informations (exercice du droit de rectification) concomitamment à votre demande de limitation
    • le traitement est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de l’utilisation des données
    • vous vous êtes opposé au traitement (exercice du droit d’opposition) et vous exercez votre droit à la limitation pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée
    • ou SotaBoost n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l'exercice ou la défense de droits en justice.
  • de faire effacer vos données à caractère personnel. Vous avez le droit d'obtenir l'effacement de vos données détenues par SotaBoost si
    • ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou sont traitées d’une autre manière
    • vous avez retiré votre consentement sur lequel se fondait le traitement et il n’existe pas d’autres fondements juridiques à ce traitement
    • vous vous opposez ou êtes opposé au traitement de ces données et il n’existe pas de motif légitime impérieux pour le traitement
    • les données ont fait l’objet d’un traitement illicite
    • les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’UE ou de l’État-membre auquel SotaBoost est soumis
    • ou les données concernent un enfant de moins de 14 ans
  • à la portabilité de vos données. Vous avez le droit de récupérer vos données dans un format compréhensible par machine pour ensuite les stocker vous-même ou les transférer à un tiers. Cette disposition s’applique, sous réserve que les données soient traitées par des moyens automatisés et que le traitement repose sur votre consentement, sur un contrat auquel vous êtes partie ou sur des obligations précontractuelles.
  • de déposer plainte auprès de l’Autorité de contrôle compétente en matière de données à caractère personnel.

6. Demandes du gouvernement et des forces de l'ordre

Si vous êtes un organisme gouvernemental ou chargé de l'application de la loi qui souhaite demander des informations personnelles ou confidentielles liées à une vérification que nous avons pu effectuer sur un utilisateur particulier, veuillez contacter le client pour le compte duquel la vérification a été effectuée. Étant donné que nous fournissons nos services d'identité au nom de nos clients, nous ne sommes pas en mesure de divulguer des informations liées à une vérification spécifique, sauf si le client concerné nous demande de le faire ou si nous sommes soumis à une obligation légale (telle qu'une ordonnance d'un tribunal ou un pouvoir statutaire imposant la divulgation) de le faire. Si vous souhaitez demander la divulgation d'informations pour lesquelles il existe une telle obligation légale, veuillez nous contacter à l'adresse dpo@sotaboost.com en fournissant des détails clairs sur l'obligation légale dans votre message.

7. Nous contacter

Vous avez le droit d'accéder, de rectifier, d'opposer, de limiter le traitement et l'effacement de vos données à caractère personnel. Pour exercer ces droits ou poser des questions sur la protection de vos données, veuillez nous contacter à l'adresse suivante : dpo@sotaboost.com ou SotaBoost 12 rue des Merisiers 44860 Saint-Aignan-Grandlieu, FRANCE.

L’exercice de vos droits est subordonné à la production d’un titre d’identité que vous devez joindre à votre demande.

Si, après nous avoir contactés, vous estimez que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL. En cas de réclamation, vous disposez d’un droit de saisir la CNIL.

Par ailleurs vous trouverez des informations concernant vos droits et la protection des données à caractère personnel sur le site de la Commission Nationale Informatique et Libertés (www.cnil.fr).

Chapitre II : Conditions Générales d’Utilisation

Les présentes conditions Générales d’Utilisation CGUs’appliquent aux utilisateurs personnes physiques (ci-après « vous ») accédant ou utilisant la plateforme de vérification d’identité en ligne (ci-après SotaID sur ordinateur ou mobile ou tablette exploitée par la société par action simplifiée SotaBoost (ci-après « SotaBoost »), au capital de 1500 euros, immatriculée au Registre du Commerce et des Sociétés de la ville de Nantes sous le n° 985 026 426. Son siège social est situé 12 rue des Merisiers 44860 Saint-Aignan-Grandlieu.

L’hébergeur de la présente Plateforme est :

OVH SAS au capital de 10 174 560 €
Adresse: 2 rue Kellermann 59100 Roubaix FRANCE
RCS : Lille Métropole
SIRET : 424 761 419 00045

Les relations entre vous et la plateforme SotaID sont exclusivement régies par les présentes Conditions Générales d’Utilisation. SotaBoost se réserve la possibilité de les adapter ou de les modifier à tout moment sans préavis auprès de vous. Vous serez prévenu des modifications par tout moyen et votre consentement sera renouvelé après chaque modification. La version des Conditions Générales d’Utilisation qui s’applique à vous est celle figurant sur la plateforme, mobile ou non, au moment de la vérification de votre identité et après recueil de votre consentement.

1. Disponibilité de la plateforme

SotaBoost s'efforce d'assurer la disponibilité de la Plateforme 24 heures sur 24 et 7 jours sur 7. Cependant, SotaBoost ne pourra être tenue pour responsable en cas d'indisponibilité pour des raisons d'actualisation et de maintenance de la plateforme ou d’indisponibilité des serveurs.

2. Service de vérification d’identité en ligne

SotaBoost fournit aux clients (entreprises, organismes ou agences/institutions gouvernementales) une solution de vérification d’identité en ligne basée sur des technologies d’intelligence artificielle appliquée au secteur de l’identitaire utilisant principalement la biométrie.

Les clients de SotaBoost incluent des acteurs de référence dans les secteurs bancaires et assurantiels, des entités gouvernementales, des établissements de monnaie électronique, des plateformes de paiement, des fournisseurs de transport avec chauffeur, ainsi que d’autres plateformes en ligne. SotaBoost les aide à lutter contre la fraude et à respecter les exigences légales applicables, telles que celles prévues par le code monétaire et financier ou le droit du travail.

Dans le cadre de la vérification de votre identité pour le compte de ses clients, SotaBoost collecte des images ou vidéos de vos documents d’identité et de votre visage. Ce processus permet à SotaBoost de garantir que :

  • vous présentez un document d’identité authentique (et non une photocopie falsifiable) ;
  • vous êtes bien la personne à qui appartient le document d’identité présenté.
    Le processus de vérification d’identité de SotaBoost repose à la fois sur des algorithmes développés par son équipe technique et sur des revues manuelles réalisées par des experts qualifiés. Cette combinaison permet d’offrir aux clients de SotaBoost un service fiable tout en améliorant constamment les algorithmes utilisés.
    Une fois la vérification d’identité effectuée, SotaBoost transmet à son client un rapport détaillant les éléments vérifiés. Sur la base de ce rapport, le client décide de poursuivre ou non l’établissement d’une relation avec vous.

3. Droits de propriété intellectuelle

SotaBoost collecte des vidéos de vos documents d’identité et de votre visage dans le cadre de ses services. SotaBoost ne peut être tenue responsable des contenus enregistrés par la plateforme. Vous vous engagez à ne pas violer les droits à l'image de tiers ni à utiliser des contenus protégés par des droits d'auteur ne vous appartenant pas lors de l’utilisation de la plateforme.

De manière générale, vous garantissez que les contenus transmis à SotaBoost ne violent aucun droit de propriété intellectuelle détenu par un tiers. Vous êtes seul responsable des contenus, images ou autres informations que vous soumettez à SotaBoost, ainsi qu’au client de SotaBoost, lors de l'utilisation de la plateforme SotaID.

SotaBoost ne pourra en aucun cas être tenue responsable si les vidéos ou autres contenus que vous transmettez violent des droits d'auteur, des droits de marques ou portent atteinte à un tiers de quelque manière que ce soit.

Vous vous engagez à ne pas utiliser la plateforme SotaID pour des fins contraires à l’ordre public, aux bonnes mœurs, ou susceptibles de porter atteinte aux droits des tiers.

En cas de réclamation ou d'action judiciaire de la part de tiers liée à votre utilisation de la plateforme SotaID, vous vous engagez à indemniser SotaBoost pour toutes les conséquences financières qui en découlent.

SotaBoost se réserve le droit d’exclure tout utilisateur ne respectant pas les présentes Conditions Générales d’Utilisation, en désactivant ou supprimant leur compte et les données associées.

Tous les droits d'auteur, marques, dessins et modèles relatifs aux éléments de la plateforme SotaID, ainsi que l’architecture et la présentation de la plateforme, y compris les codes logiciels, sont la propriété exclusive de SotaBoost ou de ses concédants. En conséquence, vous n’êtes pas autorisé à copier, modifier, altérer, publier, diffuser, distribuer, vendre ou transférer tout ou partie des éléments de la plateforme.

4. Consultation de la plateforme

La consultation de la plateforme de vérification d’identité SotaID n’est pas libre. Elle est subordonnée à la souscription de l’offre de vérification d’identité en ligne par le client de SotaBoost. Ce dernier vous propose d’utiliser la Plateforme SotaID pour que vous puissiez accéder par la suite à son propre service.

5. Informations fournies par l’Utilisateur

Vous certifiez l’exactitude des informations nécessaires à la vérification de votre identité. Vous êtes seul responsable de toute erreur ou omission.

Il vous est interdit d’utiliser de fausses informations ou d’utiliser les informations de tiers.

La Plateforme SotaID vérifie l’exactitude des informations que vous nous fournissez avant de les envoyer au client. Les informations fournies permettent d’établir si la vérification d’identité est validée, incomplète ou refusée.

En cas de contestation du résultat de la vérification d‘identité effectué par SotaBoost, l’Utilisateur doit contacter dans les plus brefs délais le client de SotaBoost qui a mis à disposition le lien de vérification d’identité.

6. Traitement des données à caractère personnel et politique de confidentialité

Pour le traitement de vos données à caractère personnel, merci de vous référer au chapitre I - Politique de confidentialité plus haut.

7. En cas de litige

Les relations entre SotaBoost et vous sont régies par le droit français.

8. Nous contacter

Par courrier

SotaBoost
12 rue des Merisiers
44860 Saint-Aignan-Grandlieu
(France)

Par courriel

serviceclients@sotaboost.com
dpo@sotaboost.com

- Date d'entrée en vigueur : 17 juillet 2024

- Dernière mise à jour : 02 septembre 2024