Verifiables publie deux politiques complémentaires : une politique d'entreprise couvrant nos activités générales, et une politique applicative détaillant le traitement des données par nos services.
1. Objet
La présente politique de confidentialité décrit les engagements pris par la société Renaissance SAS (ci-après « Verifiables », « nous », « notre ») en matière de protection des données à caractère personnel, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (ci-après « RGPD ») et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
Cette politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par Verifiables dans le cadre de ses activités, à savoir :
•les traitements réalisés en tant que responsable de traitement, pour ses besoins propres (gestion commerciale, relation client, recrutement, site internet) ;
•les traitements réalisés en tant que sous-traitant pour le compte de ses clients, dans le cadre de la fourniture de ses services de confiance numérique.
La politique de confidentialité spécifique aux applications et services Verifiables (vérification, émission, API, ...) fait l'objet d'un document dédié.
2. Qui sommes-nous
Verifiables est une société française spécialisée dans l'identité numérique et les documents vérifiables. Nous développons une infrastructure de confiance conforme au cadre européen eIDAS 2 et au règlement relatif au Portefeuille Européen d'Identité Numérique (EUDI Wallet).
Nos services incluent :
•une infrastructure de vérification d'attestations électroniques (OID4VP), en ligne et par proximité (ISO 18013-7 et OID4VP) ;
•un service de vérification de documents sécurisés incluant la vérification cryptographique, l'extraction par scan et la comparaison OCR ;
•une infrastructure d'émission d'attestations électroniques d'attributs (EAA), conforme aux standards OID4VCI, SD-JWT et mdoc/mDL (ISO 18013) ;
•des API et SDK à destination des entreprises pour l'intégration de services d'émission et de vérification.
•Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
•Responsable de traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
•Sous-traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement.
•Traitement : toute opération appliquée à des données à caractère personnel (collecte, enregistrement, conservation, consultation, communication, effacement, etc.).
•Violation de données : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel.
•Client : une personne morale en relation contractuelle avec Verifiables.
•Attestation électronique : un document numérique vérifiable cryptographiquement, au sens du règlement eIDAS 2 (EAA, QEAA, PID).
4. Traitements réalisés en tant que responsable de traitement
4.1 Finalités et bases légales
Finalité
Catégories de données
Base légale
Durée de conservation
Gestion de la relation commerciale
Nom, prénom, email, téléphone, fonction, société des contacts clients et prospects
Exécution du contrat / Intérêt légitime (prospection B2B)
Durée de la relation contractuelle + 3 ans
Gestion des contrats clients
Données d'identification, données de facturation, historique contractuel
Exécution du contrat / Obligation légale (comptabilité)
Durée du contrat + 5 ans (obligation comptable)
Recrutement
CV, lettre de motivation, données d'identification des candidats
Consentement / Intérêt légitime
2 ans à compter du dernier contact
Gestion des ressources humaines
Données d'identification, données contractuelles, données administratives des collaborateurs
Exécution du contrat de travail / Obligation légale
Durée du contrat + durées légales applicables
Site internet et communication
Données de navigation (via cookies), adresse email (newsletter)
Consentement
Données de navigation : 13 mois ; Newsletter : jusqu'au retrait du consentement
Support et assistance client
Nom, email, contenu des échanges
Exécution du contrat
Durée de la relation + 1 an
Sécurité et prévention de la fraude
Journaux d'accès, adresses IP
Intérêt légitime
1 an
4.2 Principes appliqués
Verifiables applique les principes suivants à l'ensemble de ses traitements :
•Minimisation : nous ne collectons que les données strictement nécessaires à chaque finalité.
•Limitation de la conservation : les données sont conservées uniquement pendant la durée nécessaire, puis supprimées ou anonymisées.
•Exactitude : nous mettons en œuvre des moyens permettant la mise à jour des données.
•Transparence : les personnes concernées sont informées des traitements qui les concernent.
5. Traitements réalisés en tant que sous-traitant
Dans le cadre de la fourniture de ses services de confiance numérique, Verifiables agit en tant que sous-traitant au sens de l'article 28 du RGPD pour le compte de ses clients (responsables de traitement).
5.1 Nos engagements en tant que sous-traitant
Verifiables s'engage à :
•traiter les données à caractère personnel uniquement sur instruction documentée du client responsable de traitement ;
•garantir la confidentialité des données et veiller à ce que ses collaborateurs soient soumis à une obligation de confidentialité ;
•mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (cf. section 7) ;
•ne pas recruter de sous-traitant ultérieur sans l'autorisation écrite préalable du client ;
•assister le client dans le traitement des demandes d'exercice de droits des personnes concernées et, le cas échéant, dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD) ;
•notifier le client sans délai en cas de violation de données à caractère personnel ;
•se soumettre aux audits de conformité réalisés ou mandatés par le client ;
•supprimer ou restituer toutes les données à caractère personnel à la fin de la prestation, selon le choix du client.
5.2 Registre des traitements
Conformément à l'article 30 du RGPD, Verifiables tient un registre des catégories d'activités de traitement effectuées pour le compte de ses clients. Ce registre est disponible sur demande auprès de notre point de contact (cf. section 13).
6. Destinataires des données
Les données à caractère personnel peuvent être communiquées aux catégories de destinataires suivantes :
•Personnel habilité de Verifiables, dans la limite de leurs attributions ;
•Sous-traitants techniques fournissant des services essentiels au fonctionnement de notre infrastructure (hébergement, supervision, support), soumis à des engagements contractuels stricts ;
•Autorités compétentes, lorsque la communication est requise par la loi ou dans le cadre d'une procédure judiciaire ;
•Partenaires, dans le cas de traitements nécessitant une coopération avec des tiers de confiance (ex. : fournisseurs de KYC), sous réserve de garanties appropriées.
Verifiables s'engage à ne partager les données qu'avec des destinataires présentant des garanties suffisantes de protection des données.
La liste de nos sous-traitants est disponible sur demande (cf. section 13).
7. Sécurité des données
La sécurité des données est au cœur de notre activité de service de confiance numérique. Verifiables met en œuvre des mesures de sécurité techniques et organisationnelles conformes à l'état de l'art, notamment :
•Chiffrement des données en transit (TLS 1.2+) et au repos ;
•Contrôle d'accès strict selon le principe du moindre privilège, avec authentification multifactorielle (Passkey/WebAuthn) ;
•Cloisonnement des environnements (développement, test, production) ;
•Supervision continue de l'infrastructure et détection d'intrusion ;
•Sauvegardes chiffrées et redondées, hébergées en Union Européenne ;
•Tests d'intrusion réguliers réalisés par des tiers indépendants ;
•Sensibilisation continue des collaborateurs à la sécurité de l'information ;
•Gestion des clés cryptographiques conforme aux exigences de l'écosystème eIDAS 2.
Notre politique de sécurité du système d'information (PSSI) est fondée sur les normes ISO 27001 et ETSI EN 319 401.
8. Transferts de données hors UE
Les données à caractère personnel sont hébergées et traitées au sein de l'Union Européenne.
9. Violation de données
En cas de violation de données à caractère personnel, Verifiables s'engage à :
•détecter l'incident dans les meilleurs délais grâce à ses outils de supervision ;
•contenir l'incident et mettre en œuvre des mesures correctives immédiates ;
•évaluer les risques pour les droits et libertés des personnes concernées ;
•notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation, lorsqu'elle est susceptible d'engendrer un risque pour les personnes ;
•informer les personnes concernées sans délai lorsque la violation est susceptible d'engendrer un risque élevé ;
•notifier les clients concernés sans délai lorsque Verifiables agit en tant que sous-traitant ;
•documenter l'incident (faits, effets, mesures correctives) conformément aux exigences du RGPD.
10. Conservation des données
Les durées de conservation sont détaillées dans le tableau de la section 4.1 pour les traitements réalisés en tant que responsable de traitement.
Pour les traitements réalisés en tant que sous-traitant, les durées de conservation sont déterminées par le client responsable de traitement et précisées dans le contrat de sous-traitance.
À l'issue des durées de conservation, les données sont :
•supprimées de manière sécurisée, ou
•anonymisées de manière irréversible.
11. Droits des personnes
Conformément au RGPD, toute personne dont les données sont traitées par Verifiables en tant que responsable de traitement dispose des droits suivants :
•Droit d'accès (art. 15) : obtenir la confirmation du traitement et une copie des données ;
•Droit de rectification (art. 16) : demander la correction de données inexactes ou incomplètes ;
•Droit à l'effacement (art. 17) : demander la suppression des données, sous réserve des obligations légales de conservation ;
•Droit à la limitation (art. 18) : demander la limitation du traitement dans certains cas ;
•Droit à la portabilité (art. 20) : recevoir les données dans un format structuré et couramment utilisé ;
•Droit d'opposition (art. 21) : s'opposer au traitement fondé sur l'intérêt légitime ;
•Droit de retrait du consentement : retirer à tout moment le consentement donné, sans affecter la licéité du traitement antérieur.
Pour exercer ces droits, contactez-nous à l'adresse indiquée en section 13.
Verifiables s'engage à répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes.
En cas de désaccord sur le traitement de votre demande, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
12. Cookies
Notre site internet utilise des cookies.
•Cookies essentiels : nécessaires au fonctionnement du site, ils ne requièrent pas votre consentement.
Aucun cookie publicitaire n'est utilisé par Verifiables.
13. Contact
Pour toute question relative à cette politique ou pour exercer vos droits :
Cette politique est révisée au moins une fois par an ou lors de tout changement significatif dans nos traitements de données. La date de dernière mise à jour est indiquée en en-tête du document.
1. Introduction
La présente politique de confidentialité décrit comment Renaissance SAS (ci-après « Verifiables », « nous », « notre ») collecte, utilise, stocke et protège les données à caractère personnel dans le cadre de l'utilisation de ses applications et services, à savoir :
•le Verifier Verifiables (application de vérification d'attestations électroniques et de documents sécurisés) ;
•le Issuer Verifiables (application d'émission d'attestations électroniques et de documents sécurisés) ;
•l'API Verifiables (interface de programmation pour l'intégration de services d'émission et de vérification) ;
•le service de vérification de documents (vérification de documents sécurisés par code-barres) ;
•le tableau de bord d'administration Verifiables.
Cette politique s'adresse aux utilisateurs finaux de nos applications et aux clients qui intègrent nos services via API.
Elle complète la politique de confidentialité de l'entreprise Verifiables, qui couvre les traitements liés à la relation commerciale et aux activités internes.
2. Architecture et principes fondamentaux
2.1 Identité décentralisée et documents vérifiables
Nos applications s'inscrivent dans le paradigme de l'identité souveraine et de la vérification cryptographique de documents. Cela signifie que :
•Vérification sans intermédiaire : la vérification d'une attestation électronique ou d'un document sécurisé ne nécessite pas de contacter l'émetteur, préservant ainsi la vie privée du porteur.
•Divulgation sélective : les technologies que nous implémentons (SD-JWT, ISO 18013) permettent de ne révéler que les attributs strictement nécessaires lors d'une vérification.
•Vérification cryptographique : l'authenticité et l'intégrité des documents sont garanties par des signatures numériques vérifiables, sans nécessiter de base de données centrale.
2.2 Privacy by Design
La protection de la vie privée est intégrée dès la conception de nos applications :
•Minimisation des données : nous ne collectons que les données strictement nécessaires au fonctionnement du service.
•Non-conservation par défaut : les données présentées lors d'une vérification ne sont pas conservées, sauf configuration explicite du client.
•Chiffrement systématique : les échanges de données entre les différents acteurs sont chiffrés.
•Pas de traçabilité : Verifiables n'a pas de visibilité sur le détail des vérifications effectuées par ses clients auprès de porteurs de documents.
3. Données traitées par service
3.1 Verifier Verifiables
Le verifier permet aux clients de Verifiables de vérifier des attestations électroniques et des documents sécurisés via plusieurs canaux.
Vérification à distance (OID4VP)
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Données d'attestation présentées
Attributs sélectivement divulgués par le porteur lors d'une vérification
Mémoire vive (non persistées par défaut)
Durée de la session de vérification
Journaux de vérification
Résultat (valide/invalide), horodatage, type de document
Serveurs Verifiables (UE)
Configurable par le client, sans limite par défaut
Configuration du verifier
Paramètres de vérification définis par le client (attributs requis, émetteurs de confiance)
Serveurs Verifiables (UE)
Durée du contrat
Vérification par proximité (BLE/NFC)
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Données d'attestation présentées
Attributs échangés via le protocole ISO 18013-5
Mémoire vive de l'appareil du vérificateur
Durée de la session
Journaux de vérification
Résultat, horodatage
Serveurs Verifiables (UE)
Configurable par le client, sans limite par défaut
Point important : par défaut, les données présentées lors d'une vérification ne sont pas conservées par Verifiables. Si un client configure une rétention des données vérifiées, il en est responsable de traitement et doit en informer ses propres utilisateurs. À noter que selon les protocoles déployés par Verifiables, l'intention de rétention est manifestée lors de la requête d'un document par le verifier et affichée clairement dans l'interface du wallet de l'utilisateur. Chaque présentation de document suppose le consentement explicite et sélectif de l'utilisateur.
3.2 Issuer Verifiables
L'issuer permet aux clients de Verifiables d'émettre des attestations électroniques vérifiables (EAA) à destination de portefeuilles numériques, via le protocole OID4VCI.
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Données source pour émission
Attributs fournis par le client responsable de traitement pour construire l'attestation (identité, attributs, etc.)
Serveurs Verifiables (UE), chiffré
Durée nécessaire à l'émission, puis supprimées sauf obligation légale
Attestations émises
Attestations signées au format SD-JWT ou mdoc/mDL (ISO 18013)
Transmises au portefeuille du destinataire — non conservées par Verifiables après émission
Non applicable
Certificats de signature
Certificats et clés utilisés pour signer les attestations au nom du client
Serveurs Verifiables (UE), protégés par chiffrement matériel
Durée du contrat
Journaux d'émission
Horodatage, type d'attestation, identifiant du client (aucune donnée personnelle du destinataire)
Serveurs Verifiables (UE)
Configurable par le client, sans limite par défaut
Configuration de l'issuer
Schémas d'attestation, templates, métadonnées de l'émetteur
Serveurs Verifiables (UE)
Durée du contrat
Point important : Verifiables agit en tant que sous-traitant technique pour le compte du client qui initie l'émission. Le client est responsable de traitement pour les données personnelles contenues dans les attestations. Verifiables ne conserve pas le contenu des attestations après leur transmission au portefeuille du destinataire.
3.3 Service de vérification de documents (VDS)
Le service permet la vérification de documents sécurisés français (factures, justificatifs de domicile, documents d'identité, etc.) porteurs d'un code-barres de type VDS conforme à la spécification ANTS/AFNOR/ISO.
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Contenu du code
Données encodées dans le code-barres (identité, adresse, ou autres attributs selon le type de document)
Mémoire vive (non persistées par défaut)
Durée du traitement de la requête
Image du document (scan/comparaison)
Image transmise pour extraction OCR et comparaison avec le contenu du code
Mémoire vive uniquement — aucun stockage sur disque
Durée du traitement de la requête
Résultat de la vérification
Validité de la signature, intégrité des données, résultat de comparaison OCR
Serveurs Verifiables (UE)
Configurable par le client, 90 jours par défaut
Journaux d'appel
Horodatage, type de document, code de réponse (aucune donnée personnelle du document)
Serveurs Verifiables (UE)
Configurable par le client, sans limite par défaut
Garanties spécifiques au service de vérification de documents :
•Les images de documents transmises pour scan ou comparaison sont traitées exclusivement en mémoire vive et ne sont jamais stockées sur disque ni dans une base de données.
•Les données personnelles contenues dans le code cryptographié (nom, adresse, etc.) ne sont pas conservées au-delà de la durée nécessaire au traitement de la requête.
•La vérification cryptographique est réalisée en s'appuyant sur les certificats publiés par l'ANTS (Agence Nationale des Titres Sécurisés), la norme ISO et le standard de liste de confiance ETSI (TSL).
•Aucune copie des documents vérifiés n'est conservée par Verifiables.
3.4 API et SDK Verifiables
L'API et le SDK permettent aux clients d'intégrer les services d'émission (OID4VCI) et de vérification (OID4VP, documents, proximité) dans leurs propres applications.
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Clés d'API secrètes
Identifiants d'authentification serveur du client, utilisés pour les opérations privilégiées
Serveurs Verifiables (UE), chiffré
Durée du contrat
Clés d'API publiables
Identifiants côté client (SDK, applications front-end), restreints par domaine ou application — ne permettent pas d'accéder aux données sensibles ni d'effectuer d'opérations privilégiées
Serveurs Verifiables (UE)
Durée du contrat
Données transmises pour vérification
Documents ou codes soumis à vérification
Mémoire vive (non persistées par défaut)
Durée du traitement de la requête
Journaux d'appels API
Endpoint appelé, horodatage, code de réponse, adresse IP
Serveurs Verifiables (UE)
1 an
Statistiques d'usage
Volumes d'émission et de vérification, agrégés et anonymisés
Serveurs Verifiables (UE)
Durée du contrat
Distinction clés secrètes / clés publiables : Verifiables distingue deux types de clés d'API. Les clés secrètes sont réservées aux communications serveur-à-serveur et ne doivent jamais être exposées côté client. Les clés publiables sont conçues pour être intégrées dans le SDK et les applications front-end ; elles sont restreintes par domaine d'origine et ne donnent accès qu'aux opérations de vérification côté client, sans pouvoir accéder aux données sensibles, aux configurations, ni aux opérations d'administration.
3.5 Tableau de bord d'administration
Catégorie de données
Description
Lieu de stockage
Durée de conservation
Compte administrateur
Identifiant, Passkey WebAuthn
Serveurs Verifiables (UE)
Durée du contrat
Journaux d'administration
Actions réalisées, horodatage, adresse IP
Serveurs Verifiables (UE)
1 an
Configuration
Templates d'attestations, sources de données, clés d'API, émetteurs de confiance
Serveurs Verifiables (UE)
Durée du contrat
4. Bases légales des traitements
Traitement
Base légale
Émission d'attestations (issuer)
Exécution du contrat
Vérification d'attestations (OID4VP, proximité)
Exécution du contrat / Intérêt légitime du vérificateur
Vérification de documents sécurisés
Exécution du contrat
Hébergement de certificats et clés de signature
Exécution du contrat
Journaux de connexion et de sécurité
Obligation légale / Intérêt légitime (sécurité)
Statistiques d'usage agrégées
Intérêt légitime (amélioration du service)
Authentification des administrateurs (WebAuthn)
Exécution du contrat
5. Sécurité des données applicatives
5.1 Protection des données au repos
•Les données persistées sur nos serveurs sont chiffrées au repos (aes-xts-plain64).
•Les sauvegardes sont chiffrées et stockées dans l'Union Européenne.
•Les clés d'API et secrets sont stockés de manière sécurisée et ne sont jamais exposés en clair.
5.2 Protection des données en transit
•Toutes les communications utilisent TLS 1.2 au minimum.
•Les échanges de proximité (BLE/NFC) utilisent les protocoles de sécurité définis par la norme ISO 18013-5 (mDL).
•Les protocoles d'échange d'attestations (OID4VP, OID4VCI) incluent des mécanismes de sécurité cryptographiques (nonces, signatures, chiffrement des réponses).
5.3 Protection des certificats et clés de signature
Les protocoles OID4VP, OID4VCI et ISO 18013 nécessitent l'utilisation de certificats et de clés cryptographiques pour signer les attestations, les requêtes de vérification et les réponses protocolaires.
•Les clés privées de signature sont hébergées en France et protégées par des mécanismes de chiffrement matériel et logiciel combinés.
•L'accès aux clés est strictement limité aux opérations cryptographiques automatisées ; aucun opérateur humain n'a accès aux clés en clair.
•Les clés sont soumises à des politiques de rotation et de révocation.
•Les certificats publics correspondants sont exposés via des endpoints conformes aux standards (JWKS, metadata issuer/verifier) pour permettre la vérification par les tiers.
5.4 Authentification
•Tableau de bord : authentification multifactorielle par Passkey (WebAuthn).
•API : authentification par clés API secrètes avec rotation possible.
•SDK : authentification par clés publiables, restreintes par domaine d'origine, ne permettant que les opérations de vérification côté client.
•Vérification cryptographique : les chaînes de confiance (certificats, listes TSL ETSI) sont vérifiées à chaque opération.
5.5 Séparation des environnements
Les environnements de développement, de test et de production sont strictement séparés. Les environnements de développement et de test utilisent des données fictives.
6. Transferts de données
6.1 Lors d'une vérification à distance
Lorsqu'un porteur présente une attestation à un vérificateur (via le protocole OID4VP), le transfert s'effectue entre le portefeuille du porteur et l'infrastructure de vérification. Seuls les attributs sélectionnés par le porteur sont transmis.
6.2 Lors d'une vérification de document
Les données sont transmises par le client via l'API (image du document ou contenu du code-barres), traitées en mémoire, et le résultat est renvoyé au client. Aucune donnée du document n'est conservée.
6.3 Lors de l'émission d'une attestation
Lorsqu'un client émet une attestation via le protocole OID4VCI, les données fournies par le client sont utilisées pour construire l'attestation signée, qui est transmise au portefeuille du destinataire. Les données sources ne sont pas conservées au-delà de la durée d'émission.
6.4 Hébergement
L'ensemble des données traitées par nos serveurs est hébergé dans l'Union Européenne. Aucun transfert hors UE n'est effectué.
7. Destinataires des données
Dans le cadre du fonctionnement de ses applications et services, les données traitées par Verifiables peuvent être accessibles aux catégories de destinataires suivantes :
•Personnel habilité de Verifiables : collaborateurs ayant besoin d'accéder aux données pour l'exploitation, la maintenance et le support des services, dans la limite de leurs attributions et sous obligation de confidentialité.
•Sous-traitants techniques : prestataires fournissant des services essentiels au fonctionnement de l'infrastructure (hébergement, stockage, calcul), soumis à des engagements contractuels stricts conformes à l'article 28 du RGPD (cf. section 8).
•Autorités compétentes : autorités judiciaires, administratives ou de régulation, lorsque la communication des données est requise par la loi ou dans le cadre d'une procédure judiciaire.
•Clients (responsables de traitement) : les clients de Verifiables accèdent aux résultats de vérification et aux journaux de leurs propres opérations via l'API et le tableau de bord.
•Tiers vérificateurs : lors d'une présentation d'attestation (OID4VP ou proximité), le vérificateur désigné par le porteur reçoit les attributs sélectivement divulgués. Ce transfert est initié par le porteur et requiert son consentement explicite.
Verifiables s'engage à ne partager les données qu'avec des destinataires présentant des garanties suffisantes de protection des données et à garantir la confidentialité tout au long de la chaîne de traitement.
8. Droits des personnes
8.1 Pour les utilisateurs finaux (porteurs de documents)
Les personnes dont les données sont contenues dans des documents vérifiés disposent des droits prévus par le RGPD. Toutefois, dans la majorité des cas, Verifiables n'est pas responsable de traitement pour ces données :
•Lors d'une vérification, Verifiables agit en tant que sous-traitant technique pour le compte du client qui a initié la vérification. Les demandes d'exercice de droits doivent être adressées au client concerné.
•Les données de vérification de document et OID4VP ne sont pas conservées par défaut, ce qui limite le périmètre d'exercice des droits.
8.2 Pour les clients et administrateurs
Les clients et administrateurs disposent de l'ensemble des droits prévus par le RGPD pour les données les concernant directement (compte, journaux, configuration) :
•Droit d'accès (art. 15) ;
•Droit de rectification (art. 16) ;
•Droit à l'effacement (art. 17) ;
•Droit à la limitation (art. 18) ;
•Droit à la portabilité (art. 20) ;
•Droit d'opposition (art. 21).
Pour exercer ces droits, contactez-nous à l'adresse indiquée en section 11.
Délai de réponse : un mois, extensible à trois mois en cas de complexité.
En cas de désaccord, vous pouvez saisir la CNIL : www.cnil.fr.
9. Sous-traitants techniques
Verifiables fait appel aux sous-traitants techniques suivants pour le fonctionnement de ses services :
Sous-traitant
Finalité
Localisation des données
Scaleway SAS (Paris, France)
Hébergement de l'infrastructure serveur, stockage, services de calcul
Union Européenne (France)
Chaque sous-traitant est soumis à un contrat de sous-traitance conforme à l'article 28 du RGPD. La liste à jour est disponible sur demande (cf. section 11).
10. Modifications de cette politique
Cette politique est révisée au moins une fois par an ou lors de toute évolution significative de nos applications ou traitements.
Les clients sont informés des modifications substantielles par email ou via le tableau de bord.
La date de dernière mise à jour est indiquée en en-tête du document.
11. Contact
Pour toute question relative à cette politique ou pour exercer vos droits :
