La collecte de pièces d'identité et l'utilisation des informations biométriques font l'objet d'une attention toute particulière en vertu de diverses lois de nombreux pays. Le service de vérification d'identité de Stripe offre un levier ou un outil pouvant être utilisé dans le cadre d'un programme de conformité. Il est recommandé de demander des conseils juridiques et de conformité auprès d'une entité indépendante afin de déterminer si le service de vérification d'identité de Stripe peut être utilisé dans le cadre de votre programme de conformité. Veuillez noter que Stripe ne propose pas de méthode complète permettant de se conformer aux obligations légales telles que KYC (Know-your-customer), et n'agit pas en tant qu'agent traitant ces exigences pour votre compte.
Veuillez consulter nos bonnes pratiques avant de passer en mode production afin de vous assurer de bien expliquer la situation à vos utilisateurs et de mettre en place une intégration sécurisée. Vous pouvez également vous servir de ce modèle de FAQ afin d'expliquer à vos utilisateurs la vérification de l'identité via Stripe Identity.
Stripe Identity peut vous aider à respecter certaines de ces obligations en informant vos clients que leurs informations seront utilisées et partagées par vous et Stripe, conformément à nos politiques de confidentialité respectives, et en obtenant leur consentement avant toute utilisation de leurs informations biométriques à des fins de vérification.
Stripe enregistre une copie de la photo des clients et de leur pièce d'identité dans le Dashboard, ainsi qu'une confirmation de leur consentement (le cas échéant). Toutefois, vous pouvez devoir vous acquitter d'obligations supplémentaires en lien avec la conservation, l'utilisation et la suppression de ces données.
Consultez toujours votre conseiller juridique pour comprendre comment utiliser, conserver et supprimer ce type de données personnelles sensibles. Voici quelques exemples précis d'obligations applicables dans certaines régions, qu'il est important de garder à l'esprit :
Si un client n'accepte pas que vous utilisiez ses informations biométriques, vous pouvez être contraint de lui fournir une autre méthode d'accès à votre service, n'impliquant pas le recours à un identifiant biométrique. Consultez votre conseiller juridique pour prendre connaissance des options à votre disposition, mais sachez qu'il vous faudra peut-être lui proposer une vérification manuelle et humaine.
De plus en plus de lois sur la confidentialité interdisent aux entreprises de conserver des données personnelles plus longtemps que nécessaire à l'accomplissement de l'objectif pour lequel elles ont été obtenues ou après qu'un individu a demandé leur suppression. Par défaut, Stripe équilibre les besoins de votre entreprise à ce sujet en conservant les données dans votre Dashboard Stripe pendant 3 ans et vous offrant la possibilité de les supprimer avant ce terme si un client vous en fait la demande ou si vous n'en avez plus besoin. En ce qui concerne les données biométriques, découvrez-en davantage sur la conservation des données biométriques par Stripe.
Certains pays, notamment Singapour et l'Allemagne, considèrent les cartes d'identité comme des informations particulièrement sensibles. Vous ne pourrez pas demander une carte d'identité singapourienne sans justification suffisante, ni conserver une copie d'une carte d'identité allemande une fois la vérification initiale réalisée, sauf à obtenir le consentement exprès de son titulaire. Vérifiez les lois en vigueur pour vous assurer que votre cas d'usage est acceptable et utilisez l'endpoint d'expurgation pour supprimer les données que vous conservez sans base juridique.
Stripe ne connaît pas vos obligations juridiques. Lorsque nous agissons en tant que sous-traitant de données, nous ne pouvons pas supprimer de données en votre nom. Stripe demandera donc à vos clients de vous contacter directement pour demander la suppression de leurs informations. Si un client vous demande de supprimer ses données, vous pouvez expurger la VerificationSession, ce qui entraînera la suppression des données personnelles qu'elle contient. Ce processus peut prendre jusqu'à 4 jours. Une fois terminé, Stripe ne stockera plus les données personnelles de cette VerificationSession en tant que fournisseur de services.
Nous vous recommandons de rappeler à vos clients que Stripe est aussi un responsable indépendant du traitement de leurs données personnelles et de les inviter à contacter Stripe à l'adresse privacy@stripe.com pour demander la suppression de leurs données par Stripe.