La collecte de pièces d'identité et l'utilisation des informations biométriques font l'objet d'une attention toute particulière en vertu de diverses lois de nombreux pays. Le service de vérification de l'identité de Stripe offre une contribution ou un outil qui peut être utilisé dans le cadre d'un programme de conformité. Vous devez solliciter un avis juridique ou en matière de conformité auprès d'un conseiller indépendant pour déterminer si le service de vérification de l'identité de Stripe peut être utilisé dans le cadre de votre programme de conformité. Veuillez noter que Stripe n'offre pas une méthode complète pour se conformer aux obligations légales réglementaires telles que la connaissance du client (KYC), et que Stripe n'agit pas en qualité d'agent pour répondre à ces exigences en votre nom.
Veuillez consulter nos bonnes pratiques avant de passer en mode production afin de vous assurer de bien expliquer la situation à vos utilisateurs et de mettre en place une intégration sécurisée. Vous pouvez également vous servir de ce modèle de FAQ pour expliquer à vos utilisateurs la vérification de l'identité à l'aide de Stripe Identity.
Stripe Identity peut faciliter la mise en conformité avec certaines des obligations légales en informant vos clients que leurs informations seront utilisées et partagées par vous et Stripe, conformément à nos politiques de confidentialité respectives, et en obtenant leur consentement avant l'utilisation de leurs informations biométriques à des fins de vérification.
Stripe enregistre une copie de la photo des clients et de leur pièce d'identité dans le Dashboard, ainsi qu'une confirmation de leur consentement (le cas échéant). Toutefois, vous pouvez devoir vous acquitter d'obligations supplémentaires en lien avec la conservation, l'utilisation et la suppression de ces données.
Consultez toujours votre conseiller juridique pour comprendre comment utiliser, conserver et supprimer ce type de données personnelles sensibles. Voici quelques exemples précis d'obligations applicables dans certaines régions, qu'il est important de garder à l'esprit :
Si un client n'accepte pas que vous utilisiez ses informations biométriques, vous pouvez être contraint de lui fournir une autre méthode d'accès à votre service, n'impliquant pas le recours à un identifiant biométrique. Consultez votre conseiller juridique pour prendre connaissance des options à votre disposition, mais sachez qu'il vous faudra peut-être lui proposer une vérification manuelle et humaine.
De plus en plus de lois sur la confidentialité interdisent aux entreprises de conserver des données personnelles plus longtemps que nécessaire à l'accomplissement de l'objectif pour lequel elles ont été obtenues ou après qu'un individu a demandé leur suppression. Par défaut, Stripe concilie les besoins de votre entreprise avec ces exigences en conservant les données dans votre Dashboard Stripe pendant 3 ans et en vous donnant la possibilité de les supprimer plus tôt si le client vous le demande ou si vous n'en avez plus besoin. En ce qui concerne les données biométriques, en savoir plus sur la conservation des données biométriques par Stripe.
Certains pays, notamment Singapour et l'Allemagne, considèrent les cartes d'identité comme des informations particulièrement sensibles. Vous ne pourrez pas demander une carte d'identité singapourienne sans justification suffisante, ni conserver une copie d'une carte d'identité allemande une fois la vérification initiale réalisée, sauf à obtenir le consentement exprès de son titulaire. Vérifiez les lois en vigueur pour vous assurer que votre cas d'usage est acceptable et utilisez le point de terminaison de censure pour supprimer les données que vous conservez sans base juridique.
Stripe ne connaît pas vos obligations juridiques. Lorsque nous agissons en tant que sous-traitant de données, nous ne pouvons pas supprimer de données en votre nom. Stripe demandera donc à vos clients de vous contacter directement pour demander la suppression de leurs informations. Si un client vous demande de supprimer ses données, vous pouvez expurger la VerificationSession, ce qui entraînera la suppression des données personnelles qu'elle contient. Ce processus peut prendre jusqu'à 4 jours. Une fois terminé, Stripe ne stockera plus les données personnelles de cette VerificationSession en tant que fournisseur de services.
Nous vous recommandons de rappeler à vos clients que Stripe est aussi un responsable indépendant du traitement de leurs données personnelles et de les inviter à contacter Stripe à l'adresse privacy@stripe.com pour demander la suppression de leurs données par Stripe.