SASURF-Europe.org – Politique de Confidentialité

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs du service SASURF Europe (ci-après « vous » ou « l’Utilisateur ») sur la manière dont l’association SASURF Europe (association loi 1901 à but non lucratif) collecte, utilise, protège et, le cas échéant, partage les données personnelles dans le cadre de son service gratuit de vérification d’identité et d’âge. SASURF Europe s’engage à respecter la vie privée des Utilisateurs et à traiter leurs données dans un esprit de confidentialité dès la conception (privacy by design) et de conformité avec le Règlement Général sur la Protection des Données (RGPD) et la législation française applicable.

1. Identité du responsable de traitement
SASURF Europe, association régie par la loi du 1er juillet 1901, dont le siège est situé à [adresse], est le responsable de traitement des données personnelles traitées via le site SASURF-Europe.org et les services associés de vérification d’identité. En tant qu’entité à but non lucratif œuvrant pour une mission d’intérêt général (la protection des mineurs en ligne et la sécurité numérique), SASURF Europe détermine les finalités et les moyens du traitement de vos données lors de l’utilisation du service. Vous pouvez contacter l’association pour toute question relative à la protection des données à l’adresse email [contact/DPO email] ou par courrier postal [adresse postale].

2. Données personnelles collectées
Dans le cadre de l’utilisation du service de vérification, SASURF Europe est susceptible de collecter et traiter les catégories de données suivantes vous concernant :

Données d’identité : informations figurant sur votre pièce d’identité officielle que vous choisissez de fournir (telles que vos nom(s) et prénom(s), date de naissance, photographie, etc.). À noter que le service est conçu pour n’extraire que le minimum nécessaire : par exemple, dans la plupart des cas, seule votre date de naissance sera utilisée pour calculer votre âge et vérifier votre majorité, sans conserver ou utiliser vos nom et prénom. De même, si votre document contient des informations sensibles (adresse, sexe, nationalité), elles ne sont ni pertinentes ni conservées pour la finalité du service.

Données biométriques (image faciale) : l’image de votre visage capturée via la caméra (selfie, éventuellement sous forme vidéo pour détection de vivacité). Cette donnée biométrique est traitée uniquement pour être comparée à la photo sur votre document d’identité afin de confirmer que vous en êtes le titulaire. SASURF Europe ne conserve pas cette image au-delà de la durée nécessaire à la comparaison (quelques secondes à quelques minutes durant le processus automatique).

Données techniques et connexes : des informations liées à la session de vérification peuvent être enregistrées, telles que l’adresse IP ou l’identifiant de l’appareil utilisé, l’heure et la date de la requête, un identifiant de session ou de transaction généré par le système, et le statut du résultat (succès/échec de la vérification). Ces données sont conservées de façon pseudonymisée (dissociées de votre identité civile) et servent principalement à des fins de sécurité, de journalisation du fonctionnement du service, ou d’établissement de statistiques anonymes d’utilisation.

Certificat de vérification (données dérivées) : si la vérification aboutit, SASURF Europe génère un certificat électronique ou un jeton attestant de l’information vérifiée (par ex. « âge > 18 ans confirmé le [date] »). Ce certificat contient un identifiant unique mais ne comprend pas votre nom ni aucune donnée directement identifiante. Il peut toutefois être lié indirectement à vous par le fait que vous le possédez (via un compte ou un code fourni). Ce certificat est conservé soit par vous (téléchargé sur votre appareil) soit, si vous en faites le choix, de manière chiffrée sur nos serveurs pour faciliter sa transmission aux sites partenaires.

En dehors de ces données, SASURF Europe ne collecte aucune autre information vous concernant via ce service. Notamment, nous ne collectons pas de données de navigation sur le Site à des fins publicitaires, pas de cookies de suivi autres que ceux nécessaires au fonctionnement du Service (voir section Cookies ci-dessous), ni de données issues de tiers.

3. Finalités du traitement
Les données personnelles que nous traitons sont utilisées uniquement pour les finalités suivantes :

Vérification d’identité et/ou de l’âge : Il s’agit de la finalité première. Nous utilisons vos données d’identité et l’image de votre visage pour vérifier que votre document est authentique et que vous remplissez la condition requise (par exemple, avoir plus de 18 ans). Ce processus aboutit à la délivrance d’un résultat (votre identité confirmée ou votre majorité prouvée).

Fourniture d’une preuve de vérification réutilisable : Si la vérification est réussie, nous établissons un certificat ou un jeton attestant du résultat, que vous pouvez utiliser pour vous authentifier auprès de sites partenaires sans avoir à leur fournir directement vos pièces d’identité. Ce certificat est émis à votre attention et géré selon vos instructions (stocké dans votre compte ou transmis à un site particulier sur votre demande explicite).

Amélioration et supervision du service : Nous pouvons analyser de manière agrégée et anonyme les données techniques et les taux de réussite/échec des vérifications afin d’améliorer nos algorithmes et d’optimiser l’expérience utilisateur. Par exemple, savoir qu’un certain type de document cause souvent des difficultés peut nous aider à adapter le processus. Ces analyses ne portent jamais sur des informations personnelles identifiantes des utilisateurs, uniquement sur des statistiques globales ou des données rendues anonymes.

Sécurité et prévention de la fraude : Les données techniques et certains logs pseudonymes sont conservés pour détecter et prévenir d’éventuelles utilisations malveillantes du service. Par exemple, nous pouvons détecter des tentatives répétées avec de fausses identités ou des attaques automatisées et prendre des mesures (blocage d’IP, amélioration des contrôles). De même, en cas d’incident de sécurité ou de suspicion d’usurpation, les journaux nous aident à comprendre ce qui s’est passé.

Respect des obligations légales : Bien que SASURF Europe ne soit pas un organisme gouvernemental, nous nous conformons aux lois applicables. Si une loi ou un règlement nous impose de conserver certaines données pendant un temps déterminé ou de les communiquer à une autorité (par exemple, dans le cadre de la lutte contre la criminalité en ligne ou sur réquisition judiciaire), nous pourrions être amenés à le faire. À ce jour, le service n’entre pas dans un cadre nécessitant un stockage réglementaire, et notre politique par défaut est de ne rien conserver d’identifiable. Néanmoins, nous mentionnons cette possibilité par souci de transparence.

Nous n’utiliserons jamais vos données pour des finalités commerciales, de marketing ou non liées à la mission d’intérêt général du service. En particulier, vos informations ne seront pas utilisées pour vous profiler à des fins publicitaires, ni vendues ou louées à des annonceurs.

4. Base légale du traitement
Plusieurs bases légales du RGPD peuvent s’appliquer aux traitements effectués par SASURF Europe :

Consentement (Article 6(1)(a) RGPD) : En entamant la procédure de vérification et en nous fournissant vos documents, vous consentez explicitement à ce que nous traitions vos données pour vérifier votre identité/âge. Ce consentement est libre et volontaire ; si vous refusez de le donner ou le retirez, vous pouvez interrompre la procédure à tout moment. Notez que sans ce traitement, nous ne pourrons pas émettre de certificat et le site partenaire pourrait vous refuser l’accès. Vous avez la possibilité de retirer votre consentement après coup en demandant la suppression de vos données (voir section sur vos droits), sachant que cela n’affectera pas la légalité du traitement déjà intervenu.

Intérêt légitime (Article 6(1)(f) RGPD) : SASURF Europe, en tant qu’association visant la protection des mineurs et la sécurité numérique, considère avoir un intérêt légitime à traiter certaines données de manière très limitée pour garantir le fonctionnement sécurisé du service et délivrer des attestations fiables. Cet intérêt légitime recoupe l’intérêt général de protection des mineurs reconnu par les autorités. Nous veillons dans ce cas à ce que votre intérêt et vos droits en matière de vie privée priment toujours sur notre intérêt. Concrètement, l’intérêt légitime pourrait être invoqué pour conserver temporairement un identifiant de vérification ou un log technique nécessaire à la prévention de fraudes, par exemple.

Mission d’intérêt public (Article 6(1)(e) RGPD) : Bien que SASURF Europe ne soit pas une autorité publique, son activité s’inscrit dans le prolongement d’objectifs d’intérêt général (protection de l’enfance en ligne, mise en œuvre de standards de confiance sur Internet). Dans la mesure où cela serait reconnu ou applicable, certains traitements pourraient être couverts par l’exécution d’une mission d’intérêt public dont est investie l’association, par exemple si elle participe à un programme officiellement encouragé par une autorité. Ce fondement, s’il s’applique, se ferait toujours dans le respect des lois nationales.

Obligation légale (Article 6(1)(c) RGPD) : À titre subsidiaire, si nous devions conserver ou communiquer des données pour nous conformer à la loi (par exemple suite à une décision de l’ARCOM ou une nouvelle réglementation imposant la conservation d’une preuve de vérification pendant une durée déterminée), nous le ferions sur cette base légale. Nous mettrions alors à jour la présente politique en ce sens.

Dans tous les cas, nous cherchons à minimiser l’impact sur votre vie privée. Par exemple, même avec votre consentement, nous mettons en œuvre des techniques d’anonymisation qui font que bien souvent, aucune donnée personnelle n’est réellement stockée après la vérification, rendant la question du fondement juridique largement théorique puisque les données n’existent plus en tant que telles.

5. Durée de conservation des données
SASURF Europe s’applique une règle stricte : aucune donnée personnelle nominative n’est conservée de façon permanente dans le cadre de ce service. Les durées de conservation se déclinent comme suit :

Données brutes du document d’identité : La copie de votre pièce d’identité (image) et les données extraites de celle-ci (nom, prénom, date de naissance, etc.) ne sont conservées que le temps de la vérification. Une fois l’authenticité vérifiée et les informations nécessaires extraites (par ex. la confirmation que la date de naissance prouve la majorité), les copies et données détaillées sont supprimées immédiatement. SASURF Europe ne crée pas de fichier nominatif des utilisateurs avec ces informations.

Image/selfie facial(e) : De la même manière, votre selfie vidéo/photo utilisé pour la comparaison biométrique est conservé uniquement pendant le traitement en cours. Dès que la correspondance visage-document est effectuée (réussie ou non), l’image est supprimée. Nous n’enregistrons pas de base de données de visages.

Certificat de vérification : Le certificat attestant du résultat peut être conservé plus longtemps, mais sous forme anonymisée ou chiffrée. Si vous créez un compte et stockez votre certificat chez nous pour un usage ultérieur, celui-ci reste chiffré de sorte que nous ne pouvons pas en lire le contenu (double clé cryptographique, voir section Sécurité). Si vous n’avez pas de compte, aucun certificat n’est stocké au-delà de la session de vérification, sauf éventuellement dans votre navigateur (stockage local) ou transmis au site partenaire en temps réel. Un certificat a généralement une durée de validité limitée (par ex. 24 heures ou un usage unique) après quoi il devient inutilisable.

Logs techniques : Nous conservons certains journaux techniques (sans données identifiantes) pour une durée pouvant aller de quelques jours à quelques mois, selon leur pertinence, afin d’assurer la sécurité et le suivi du service. Par exemple, une trace horodatée qu’un utilisateur anonyme a été vérifié majeur tel jour peut être conservée quelques jours pour éviter d’avoir à revérifier s’il revient dans ce laps de temps, ou pour audit interne. Passé ce délai, les logs sont purgés ou archivés sous forme entièrement anonymisée pour de l’analyse statistique.

Données de compte : Si vous avez créé un compte utilisateur sur notre plateforme (email, téléphone, etc.), ces données d’inscription sont conservées tant que vous maintenez votre compte actif. Vous pouvez demander la suppression de votre compte à tout moment, ce qui entraîne l’effacement de vos données de contact et des éventuels certificats associés. En l’absence de demande, un compte inactif (non utilisé) pourrait être supprimé après une longue période (par ex. 2 ans) par mesure de nettoyage, après vous en avoir informé à l’adresse de contact fournie.

En résumé, sauf demande contraire de votre part ou exigence légale, vos données d’identité personnelles ne subsistent pas chez nous au-delà de la fin du processus de vérification, à l’exception d’éléments complètement pseudonymisés (certificats chiffrés, logs sans noms).

6. Destinataires des données
SASURF Europe traite vos données en interne au sein de l’association. L’accès aux données non anonymisées est strictement limité aux systèmes automatisés. En principe, aucun membre du personnel de SASURF Europe n’accède à vos données personnelles (documents, photos) sous forme lisible. L’accès humain, s’il se produisait, serait exceptionnel et uniquement dans deux cas : (a) si vous sollicitez explicitement une assistance nécessitant de vérifier manuellement un élément (ce qui en général n’est pas proposé), ou (b) en cas d’obligation légale ou de réquisition par une autorité, comme mentionné précédemment.

Les destinataires externes possibles de certaines données sont :

Vous-même : Vous recevez le certificat ou le résultat de votre vérification, pour votre usage propre. On peut considérer que vous redevenez maître de vos données à ce stade. Par exemple, si le service vous délivre un QR code attestant de votre majorité, ce QR code vous appartient et il contient en lui-même la preuve (sous forme chiffrée) que vous êtes majeur, sans révéler votre identité.

Sites partenaires où vous utilisez le certificat : Lorsque vous décidez d’utiliser votre attestation sur un site tiers (par exemple un site pour adultes qui demande la preuve de majorité), ce site partenaire recevra le strict minimum d’information. Selon le mode d’intégration technique, soit il reçoit directement un message de notre système confirmant « vérification d’âge réussie pour l’utilisateur » (sans informations nominatives), soit c’est vous qui fournirez un code/QR qu’ils vont vérifier via une requête chez nous. Dans les deux cas, le partenaire n’obtiendra aucune donnée personnelle comme votre nom ou votre document d’identité ; il saura seulement que les critères requis sont remplis (ou non). SASURF Europe peut voir le partenaire auquel vous transmettez un certificat (lorsque la transmission passe par notre système), mais cela se limite à un identifiant de service, pas à des données vous concernant.

Sous-traitants techniques : SASURF Europe peut s’appuyer sur des prestataires pour opérer son infrastructure (hébergeur en France, fournisseur de solution de reconnaissance de document, etc.). Ceux-ci peuvent être amenés à traiter techniquement les données pour notre compte, par exemple le centre de données qui stocke temporairement les fichiers, ou l’API de comparaison faciale que nous utilisons. Nous sélectionnons ces sous-traitants avec soin et les soumettons à des obligations contractuelles strictes de confidentialité et de sécurité, conformément à l’article 28 du RGPD. Ils n’ont pas le droit d’utiliser vos données pour autre chose que fournir le service demandé, et n’y accèdent que dans la mesure du nécessaire.

Autorités publiques : En cas de demande légale valide (par exemple, une ordonnance judiciaire), nous pourrions être amenés à divulguer certaines données aux autorités (par exemple, les logs conservés ou des éléments techniques). Étant donné notre politique de ne pas conserver de données identifiantes, il est peu probable que nous ayons grand-chose à remettre hormis des informations très limitées (ex : preuve qu’une vérification « oui » ou « non » a eu lieu pour un certain jeton à une date donnée). Si la loi nous le permet, nous vous en informerions par transparence et nous informerions également la CNIL le cas échéant.

En dehors de ces cas, SASURF Europe ne communique ni ne transfère vos données à quiconque. Notamment, aucune donnée personnelle ne sort de l’Union Européenne : nos serveurs sont en France et même nos éventuels prestataires (ex : solution de vérification) sont choisis de préférence dans l’UE ou soumis aux clauses appropriées en cas de transfert inévitable (nous évitons au maximum de tels transferts).

7. Sécurité des données et anonymisation
SASURF Europe met en œuvre un ensemble de mesures de sécurité robustes pour protéger vos données durant la (courte) durée où nous les traitons :

Chiffrement de bout en bout : Dès que vous envoyez votre document et vos photos via notre interface, ceux-ci sont chiffrés pendant le transit (HTTPS) et lors du stockage temporaire sur nos serveurs. Nous utilisons des protocoles de chiffrement standards éprouvés (TLS 1.3, AES-256, etc.). Surtout, le service a été conçu autour d’une architecture à double clé cryptographique : une partie de la clé de chiffrement/déchiffrement est dérivée de vos interactions (par ex., un secret lié à votre session ou compte utilisateur), et l’autre est gérée côté serveur. Ainsi, les données que nous stockons partiellement (comme l’image de votre document pendant l’analyse ou un certificat chiffré) ne peuvent être déchiffrées qu’en combinant ces deux éléments. Concrètement, cela signifie que même en cas de compromission de nos bases de données, les informations volées resteraient inexploitables sans votre part du secret.

Hébergement sécurisé en France : Nos serveurs sont situés en France dans des centres d’hébergement hautement sécurisés (accès restreint, surveillance, redondance électrique et réseau). Les prestataires d’hébergement sont conformes aux normes de sécurité (certifiés ISO 27001 ou équivalent). Aucune donnée n’est hébergée sur des plateformes cloud hors UE sans chiffrement garantissant un niveau de protection conforme.

Stockage distribué et redondant : Pour éviter toute perte de données critiques (comme la preuve qu’une vérification a eu lieu), nous utilisons des mécanismes de sauvegarde distribuée. Par exemple, une empreinte cryptographique (hash) de votre certificat peut être stockée sur un réseau distribué de type IPFS. Cette empreinte ne révèle rien sur vous mais permet, en la combinant avec vos propres informations, de reconstituer la preuve de vérification si nécessaire, même en cas de panne de nos serveurs principaux. Ce système assure une disponibilité sans nous contraindre à stocker vos données personnelles en clair sur un serveur central.

Anonymisation par conception : La structure du service fait que, dès que c’est possible, les liens avec votre identité sont supprimés. Après la vérification initiale, toute donnée potentiellement nominative (nom, photo) est effacée, et nous ne travaillons plus qu’avec des tokens anonymes. Si nous conservons des statistiques, elles sont entièrement anonymes (par exemple, « X vérifications réussies tel jour, Y échecs » sans aucune référence individuelle). De même, si nous utilisons vos résultats pour vous éviter de revérifier immédiatement, c’est via un identifiant technique qui ne contient pas vos infos personnelles.

Absence d’intervention humaine : Nous l’avons mentionné, mais c’est un aspect de sécurité aussi : aucun employé ou membre de l’association n’ouvre ou ne regarde vos documents ou selfies durant la procédure. Tout est vérifié par des logiciels. Cela élimine le risque d’erreur humaine ou de curiosité mal intentionnée. Vos données sensibles ne sont jamais vues par l’œil humain, ce qui est une garantie forte de confidentialité.

Tests réguliers : Nous soumettons notre plateforme à des audits de sécurité et des tests (tests d’intrusion, vérifications de conformité RGPD) périodiquement. Nos algorithmes de reconnaissance sont également évalués pour s’assurer qu’ils fonctionnent correctement et sans biais. En outre, nous suivons de près les recommandations des autorités (telles que la CNIL) en matière de vérification d’âge et ajustons nos méthodes pour rester exemplaires en matière de vie privée.

En cas de détection d’une faille de sécurité ou d’un incident impactant vos données (ce qui est peu probable vu la faible conservation), nous nous engageons à le notifier aux autorités compétentes (CNIL) dans les délais légaux et, si possible, à vous en informer si vous êtes concerné et que nous pouvons vous contacter (par exemple via votre compte ou via le site partenaire). Comme beaucoup de données sont anonymisées, il peut d’ailleurs arriver qu’aucune personne ne soit « identifiable » dans une fuite hypothétique, ce qui limite la portée d’un incident.

8. Vos droits
En tant qu’Utilisateur du service de SASURF Europe et personne dont les données peuvent être traitées, vous disposez de droits garantis par le RGPD :

Droit d’accès : Vous pouvez nous demander si nous détenons des données personnelles vous concernant, et le cas échéant, de vous en fournir une copie intelligible. Notez que, du fait de notre politique de non-conservation, il est probable qu’après coup nous n’ayons plus grand-chose, hormis d’éventuels identifiants techniques. Nous pourrons alors surtout vous confirmer que votre vérification a été réalisée et qu’aucune donnée nominative n’est stockée chez nous.

Droit de rectification : Étant donné que nous ne conservons pas vos données d’identité, ce droit s’exerce plutôt au moment de la vérification (si vous constatez une erreur dans les données extraites par exemple, vous pouvez recommencer en fournissant un document correct). Après coup, il n’y a pas de « profil » à rectifier chez nous. Si vous avez un compte (email, etc.), vous pouvez rectifier ces informations dans les paramètres du compte ou en nous contactant.

Droit à l’effacement : Vous pouvez demander la suppression des données personnelles vous concernant. Nous répondrons favorablement à toute demande, et en pratique, bien souvent vos données auront déjà été effacées automatiquement. Nous pourrons par exemple supprimer un compte utilisateur et ses informations de contact si vous le souhaitez. Si par extraordinaire il restait des données identifiantes (par exemple, un scan de document conservé par erreur suite à un bug), nous les effacerions immédiatement à votre demande (et de nous-mêmes dès la découverte).

Droit à la limitation du traitement : Ce droit peut être invoqué si vous contestez l’exactitude des données ou la légitimité d’un traitement et que vous voulez en suspendre l’usage. Dans notre contexte, les traitements étant très brefs, ce droit s’appliquerait difficilement. Si vous souhaitiez en user, cela reviendrait à ne pas utiliser (ou interrompre) le service le temps de votre contestation. Nous sommes bien sûr ouverts au dialogue si vous avez des préoccupations sur la manière dont vos données sont traitées.

Droit d’opposition : Vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, à tout traitement de vos données que nous ferions sur la base de notre intérêt légitime ou d’une mission d’intérêt public. Si une telle situation se présente (par exemple, vous contestez le fait que l’on conserve un identifiant technique associé à votre vérification), nous examinerons votre demande et y donnerons suite sauf raison impérieuse de ne pas le faire. Concernant les traitements basés sur votre consentement, le retrait de consentement est l’équivalent de ce droit (voir plus haut).

Droit à la portabilité : Ce droit s’applique aux données que vous nous avez fournies directement et traitées automatiquement sur base de consentement ou contrat. Dans le cas du service, il pourrait s’appliquer à, disons, votre date de naissance fournie et le résultat de vérification. Toutefois, comme nous ne conservons pas ces éléments nominativement, nous n’avons pas vraiment de « dossier » portable à vous remettre. L’idée de portabilité ici serait peut-être de vous remettre votre certificat de vérification (ce que nous faisons déjà puisqu’il est à votre disposition). Quoi qu’il en soit, si vous souhaitez récupérer sous format standard des données vous concernant qui seraient encore chez nous, nous ferons de notre mieux pour vous les fournir.

Directives post-mortem : En France, vous avez le droit de définir des directives sur le sort de vos données après votre décès. Étant donné la nature éphémère de nos traitements, cela n’est pas réellement pertinent (nous n’avons pas de compte de réseau social ou de base nominative à gérer post-mortem), mais vous pouvez nous faire part de directives et nous les respecterons le cas échéant.

Droit de ne pas être soumis à une décision individuelle automatisée : Le service SASURF Europe implique un traitement automatisé (vérification d’identité automatique) qui aboutit à une décision (vous permettre ou non d’obtenir un certificat et donc potentiellement d’accéder à un site tiers). Ce type de décision pourrait être considéré comme vous affectant significativement (par ex., vous empêcher d’accéder à un contenu si la décision est négative). Sachez que ce traitement automatisé est basé sur votre consentement explicite en utilisant le service. Néanmoins, vous avez le droit de demander qu’une intervention humaine soit effectuée, de donner votre point de vue, ou de contester la décision automatique si vous pensez qu’elle est erronée. En pratique, cela signifie que si vous estimez qu’une erreur du système vous a injustement classé comme « non vérifié » alors que vous êtes majeur ou que votre document est valide, vous pouvez nous contacter ou contacter le site concerné pour signaler le problème. Nous ne pouvons pas garantir de pouvoir « passer outre » le résultat automatique (puisque nous ne stockons pas les données pour revérifier manuellement), mais nous prendrons en compte votre retour, pour éventuellement vous proposer une seconde tentative guidée, et nous améliorerons notre algorithme si un cas d’erreur est avéré. En tout état de cause, aucune décision juridique ou administrative n’est prise à votre égard via notre service ; il s’agit uniquement d’une mesure conditionnant l’accès à un site tiers que vous souhaitez consulter.

Pour exercer vos droits, vous pouvez nous contacter à [email contact/DPO]. Nous vous répondrons dans les meilleurs délais et en tout état de cause dans le délai d’un mois prévu par le RGPD (prolongeable à deux mois si nécessaire, en vous tenant informé). Aucune somme d’argent ne vous sera demandée pour l’exercice de vos droits (sauf demande manifestement infondée ou excessive, auquel cas nous pourrions refuser ou exiger des frais raisonnables, mais c’est peu probable ici).

Enfin, si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle de votre pays. En France, il s’agit de la CNIL (www.cnil.fr). SASURF Europe s’engage à coopérer avec la CNIL en cas de contrôle ou de plainte, et à suivre ses recommandations.

9. Protection des mineurs et données relatives aux mineurs
SASURF Europe a pour vocation de protéger les mineurs en ligne, non de collecter leurs données. Le service est calibré pour éviter le plus possible d’avoir à traiter les informations personnelles de mineurs :

Si l’Utilisateur est mineur et tente d’utiliser le service pour un contenu exigeant la majorité, le système détectera son âge insuffisant (via la date de naissance) et mettra fin à la procédure. Dans un tel cas, aucune attestation n’est délivrée et les données fournies (document, etc.) sont immédiatement supprimées comme pour toute vérification échouée. Nous ne conservons pas de liste de « mineurs » s’étant présentés, simplement l’échec de vérification est logué sans indication nominative.

Nous décourageons les mineurs de moins de 15 ans d’utiliser le service de leur propre initiative, car légalement ils ne peuvent consentir seuls. Si malgré cela un enfant de moins de 15 ans tentait le processus, nous n’aurions pas de moyen technique de le distinguer a priori, mais le résultat aboutirait probablement à un échec (puisqu’il n’a pas l’âge requis pour les contenus en question). Les données seraient alors traitées puis effacées comme pour tout échec, et aucune exploitation n’en serait faite.

SASURF Europe ne cède aucune information à des tiers concernant des mineurs. Les seuls échanges sont ceux initiés par l’Utilisateur lui-même (ou son parent) envers un site tiers pour prouver son âge, et ces échanges ne comportent pas de données personnelles identifiantes.

Si un parent ou tuteur découvre que son enfant mineur a tenté d’utiliser notre service et souhaite s’assurer que ses données ont été effacées, il peut nous contacter. Étant donnée la suppression quasi immédiate, nous pourrons généralement confirmer qu’aucune donnée n’est détenue. Nous pouvons également bloquer techniquement une tentative répétée d’un mineur identifié (par exemple, si un même enfant s’obstine, ce qui se traduirait par l’usage répété d’un même document, nous pourrions marquer l’empreinte de ce document pour ne plus le traiter et le signaler comme mineur, sans conserver d’autres infos).

Dans l’éventualité où SASURF Europe proposerait à l’avenir un service spécifique pour les mineurs (par exemple, une preuve qu’un enfant a moins d’un certain âge pour accéder à des espaces jeunesse), cela ferait l’objet de conditions et d’informations spécifiques, avec l’implication nécessaire des parents. Ce n’est pas le cas actuellement.

Notre Politique vise donc une protection renforcée des mineurs : tout est conçu pour vérifier l’âge sans exploiter les données des mineurs, en leur évitant d’exposer inutilement leur identité. Un mineur qui ne peut être vérifié sera simplement bloqué, sans qu’aucune base de données de mineurs ne soit constituée.

10. Cookies et traceurs
Le service SASURF Europe utilise peu de cookies ou traceurs, uniquement ceux nécessaires à son fonctionnement sécurisé. Concrètement, lors de votre utilisation, nous pourrions déposer :

Un cookie de session ou équivalent, pour vous identifier de manière éphémère durant la procédure (afin de lier vos étapes entre elles).

Des cookies d’authentification si vous vous connectez à un compte (pour maintenir la session ouverte).

Éventuellement, un stockage local dans votre navigateur contenant votre certificat chiffré, pour vous éviter de le re-télécharger ultérieurement.

Ces éléments ne contiennent pas de données publicitaires ni de profilage. Nous n’utilisons pas de cookies tiers (pas de Google Analytics ou autre) sur l’interface de vérification, afin de préserver au maximum votre confidentialité.

Nous affichons néanmoins une information claire sur l’utilisation de ces cookies techniques lors de votre arrivée sur le Site. Votre poursuite de navigation vaut accord pour leur utilisation lorsqu’ils sont nécessaires ; pour d’éventuels cookies non essentiels (ex : un cookie de confort optionnel), nous solliciterions votre consentement. Vous pouvez paramétrer votre navigateur pour bloquer les cookies, mais cela pourrait empêcher le fonctionnement du service de vérification (par ex., si le cookie de session est bloqué, nous ne pourrons pas enchaîner correctement les étapes de la procédure).

11. Modifications de cette Politique
La présente Politique de Confidentialité pourra être amenée à évoluer en fonction des changements du Service ou des retours d’expérience, ainsi qu’en cas d’évolutions législatives ou réglementaires. En cas de modification substantielle affectant la manière dont vos données sont traitées, SASURF Europe s’engage à vous en informer par les moyens appropriés, par exemple via une notification sur le Site ou un e-mail si nous disposons de vos coordonnées (compte utilisateur). Nous vous invitons à consulter régulièrement cette page pour rester informé de nos pratiques de confidentialité.

En tout état de cause, nous ne réduirons pas vos droits sans votre consentement. Si vous continuez à utiliser le Service après l’entrée en vigueur des mises à jour, cela vaudra acceptation de la nouvelle version de la Politique.

12. Contact
Pour toute question, demande d’exercice de droits ou réclamation relative à vos données personnelles dans le cadre du service SASURF Europe, vous pouvez contacter :

Par e-mail : [adresse du DPO ou de contact privacy]
Par courrier : [adresse postale de l’association]
Via le formulaire : un formulaire de contact est disponible sur notre Site.

Nous sommes une association dédiée à une utilisation éthique des données et nous traiterons votre demande avec sérieux. En cas de doute sur votre identité lors d’une demande, nous pourrions vous demander un justificatif (par exemple, si vous sollicitez la communication de données, nous devons nous assurer que nous les remettons à la bonne personne).

Merci d’utiliser le service SASURF Europe en toute confiance. Nous mettons tout en œuvre pour que votre expérience soit à la fois sécurisée, privée et utile pour un Internet plus sûr.