Politique de confidentialité

La présente politique de confidentialité explique comment Startwitus Limited, opérant sous le nom de TieBack, société constituée en Angleterre (Royaume-Uni) sous le numéro d'enregistrement 16316535 et dont le siège social est situé au 3e étage, 86-90 Paul Street, Londres, Angleterre, Royaume-Uni, EC2A 4NE (« TieBack », « nous », « notre » ou « nos »), collecte, utilise, partage, stocke et protège les données à caractère personnel lorsque vous utilisez :

• le site web https://tieback.io ainsi que tous les sous-domaines, pages et portails associés ;
• la plateforme TieBack, les tableaux de bord, les API et la documentation ;
• les pages de passeport produit et les expériences d'identification des produits destinées aux consommateurs, fournies via TieBack pour nos clients professionnels ; et
• toutes les prestations d'assistance, communications et services associés.

La présente politique s'applique principalement à un modèle de services interentreprises. TieBack conclut des contrats avec des entreprises, et non avec des particuliers. Toutefois, certaines parties des Services impliquent le traitement de données à caractère personnel concernant des personnes physiques, notamment les visiteurs du site web, les utilisateurs de fonctionnalités de passeport personnalisées et les personnes qui interagissent avec les pages de passeport des produits numériques.

1. Qui sommes-nous ?

Présentation du responsable du traitement / du sous-traitant

TieBack peut agir soit en tant que :

• un responsable du traitement indépendant ; ou
• un sous-traitant (ou prestataire de services) agissant pour le compte d'un client professionnel d'TieBack,

selon le contexte.

A. Lorsque TieBack agit en tant que responsable du traitement

Nous agissons généralement en tant que responsable du traitement indépendant pour :

• notre site web public et nos formulaires de contact professionnels ;
• la gestion des comptes de nos clients professionnels et de leurs utilisateurs autorisés ;
• les achats, l'assistance, la facturation, la sécurité et les communications opérationnelles ;
• la sécurité de la plateforme, la prévention de la fraude, la détection des abus et l'analyse des services ; et
• les données limitées issues de l'analyse et de la télémétrie que nous utilisons pour protéger l'intégrité des Services et vérifier les interactions liées à l'identité des produits.

B. Lorsqu'une marque ou un client agit en tant que responsable du traitement

Lorsqu'un client professionnel d'TieBack utilise nos Services pour présenter le contenu du passeport produit, vérifier les interactions avec les produits, gérer les fonctionnalités de propriété ou gérer les flux de travail liés au cycle de vie des clients, ce client professionnel est généralement le responsable du traitement des données à caractère personnel traitées dans le cadre de ces flux de travail. Dans ces cas, TieBack agit en tant que sous-traitant ou prestataire de services pour le compte du client, sauf lorsque nous utilisons une télémétrie technique limitée à des fins de sécurité et de prévention de la fraude.

Si vous ne savez pas si TieBack ou une marque est le responsable du traitement concerné pour une interaction particulière, vous pouvez nous contacter en utilisant les coordonnées ci-dessous et nous vous aiderons à orienter votre demande.

2. Quelles données à caractère personnel collectons-nous ?

Les catégories de données à caractère personnel que nous pouvons collecter dépendent de la manière dont les Services sont utilisés.

A. Données relatives au site web et aux coordonnées de l'entreprise

Lorsque vous visitez notre site web ou que vous nous contactez, nous pouvons recueillir :

• nom ;
• adresse e-mail professionnelle ;
• le nom de l'entreprise ;
• fonction ;
• numéro de téléphone ;
• détails de la demande ;
• correspondance relative à l'assistance ou aux achats ; et
• données techniques de base telles que l'adresse IP, le type de navigateur, le type d'appareil, l'URL de référence et les horodatages d'accès.

B. Données relatives au compte de la plateforme et aux utilisateurs autorisés

Pour les organisations clientes et leurs utilisateurs autorisés, nous pouvons collecter :

• les informations de connexion au compte et les informations de profil ;
• des informations sur l'organisation et les rôles ;
• les journaux d'accès, les événements d'authentification et les événements de sécurité ;
• les demandes d'assistance et les actions administratives ; et
• des données d'utilisation relatives au fonctionnement de la plateforme.

C. Télémétrie relative à la numérisation et à la vérification du passeport produit

Lorsqu'un utilisateur consulte une page du passeport produit ou interagit avec un point de terminaison d'identité de produit, nous pouvons collecter des données techniques d'interaction telles que :

• l'adresse IP ;
• les identifiants ou empreintes numériques de l'appareil ;
• les détails du navigateur et du système d'exploitation ;
• la localisation approximative dérivée de l'adresse IP ;
• horodatages ;
• fréquence de consultation et historique des interactions ;
• les données de référence, lorsqu'elles sont disponibles ; et
• signaux de lutte contre la fraude, les abus et de vérification des produits.

Nous utilisons ces données à des fins de prévention de la fraude, de vérification de l'identité des produits, d'analyse de l'utilisation du site web/du service et de sécurité de la plateforme. Nous pouvons également mettre les données de consultation et de vérification pertinentes à la disposition du client de la marque concernée aux mêmes fins.

D. Fonctionnalités relatives à la propriété, au portefeuille et à la conservation

Lorsqu'un utilisateur choisit d'utiliser une fonctionnalité de propriété, de conserver un passeport produit ou d'enregistrer un passeport dans un portefeuille numérique ou intelligent, nous pouvons collecter des données personnelles supplémentaires telles que :

• adresse e-mail ;
• numéro de téléphone ;
• identifiants liés à l'appareil ;
• les données associées au portefeuille ou les identifiants de passe du portefeuille ;
• des informations sur le statut de propriété ou de revendication ; et
• toute autre information que l'utilisateur fournit volontairement pour activer cette fonctionnalité.

Nous stockons ces données en toute sécurité et les conservons aussi longtemps que l'utilisateur concerné conserve ce passeport ou cette association de fonctionnalité, à moins que les données ne soient supprimées plus tôt conformément à la configuration du client, aux exigences légales ou à une demande de suppression valide.

E. Données que nous recevons de nos clients professionnels

Nos clients peuvent nous fournir des données relatives aux produits, aux utilisateurs ou aux flux de travail afin que nous puissions exploiter les Services pour leur compte. Dans ces cas, le client est généralement chargé de déterminer quelles données à caractère personnel sont collectées et à quelles fins, et TieBack traite ces données pour le compte du client, sauf indication contraire.

3. Comment nous collectons les données à caractère personnel

Nous pouvons collecter des données à caractère personnel :

• directement auprès de vous lorsque vous nous contactez, demandez un accès, créez ou utilisez un compte, ou utilisez une fonctionnalité de propriété ou de portefeuille ;
• automatiquement lorsque vous utilisez notre site web, notre plateforme ou les pages de passeport de nos produits ;
• auprès de nos clients lorsqu'ils configurent et utilisent nos Services ;
• auprès des appareils et navigateurs qui interagissent avec les pages d'identité des produits ; et
• auprès de prestataires de services, d'intégrations ou de tiers lorsque la loi l'autorise et que cela est nécessaire au fonctionnement des Services.

4. Finalités du traitement et bases légales

Nous traitons les données à caractère personnel aux fins suivantes et nous nous appuyons sur une ou plusieurs bases légales en vertu de la loi britannique de 2018 sur la protection des données (GDPR) et, le cas échéant, du règlement général sur la protection des données de l'UE (GDPR) :

A. Fournir et exploiter les Services

Notamment :

• fournir l'accès à la plateforme et à la documentation ;
• la mise à disposition des pages du passeport produit ;
• la prise en charge des workflows d'identification et de vérification des produits ;
• activer les fonctionnalités de propriété, de suivi et de cycle de vie lorsqu'elles sont configurées ; et
• la gestion des comptes et l'administration des clients.

Base juridique : exécution d'un contrat ; et/ou intérêts légitimes liés à l'exploitation et à l'amélioration de nos services interentreprises.

B. Pour garantir la sécurité des Services et prévenir la fraude ou les abus

Notamment :

• la sécurité de la plateforme ;
• la limitation du débit, la détection des abus et la détection des anomalies ;
• la prévention de l'utilisation abusive des points de terminaison d'identité des produits ;
• la vérification de l'identité des produits et l'analyse anti-fraude ; et
• enquêtes sur les incidents.

Base juridique : intérêts légitimes visant à sécuriser les Services, à prévenir la fraude et à protéger nos clients, nos utilisateurs et nos systèmes.

C. Pour faciliter la vérification de l'identité des produits et les flux de travail personnalisés par le client

Notamment :

• mettre à la disposition du client de la marque concernée les données de télémétrie relatives à la numérisation et à la vérification ;
• prendre en charge les processus de prévention de la fraude, de confiance et de cycle de vie configurés par le client ;
• permettre la mise en place de flux de propriété ou de conservation configurés par le client.

Base juridique : intérêts légitimes d'TieBack . et du client concerné ; et/ou exécution d'un contrat ; et/ou consentement lorsqu'une fonctionnalité est facultative et que l'utilisateur choisit activement de fournir des informations pour l'activer.

D. Pour communiquer avec nos clients et nos prospects

Notamment :

• répondre aux demandes de renseignements ;
• gérer les achats, l'intégration et l'assistance ;
• envoyer des communications liées aux services ; et
• gérer la facturation et l'administration des comptes.

Base légale : exécution d'un contrat ; intérêts légitimes dans la gestion des relations clients ; et consentement lorsque cela est requis pour des communications marketing spécifiques.

E. Pour respecter les obligations légales

Notamment :

• répondre aux demandes légitimes ;
• conserver des archives ;
• faire valoir nos droits ; et
• se conformer aux exigences fiscales, comptables, en matière de sanctions, de contrôle des exportations ou réglementaires.

Base légale : respect d'une obligation légale ; et/ou intérêts légitimes visant à protéger nos droits et notre position juridique.

5. Comment nous partageons les données à caractère personnel

Nous ne vendons pas de données personnelles.

Nous pouvons partager des données personnelles avec :

A. Clients concernés

Lorsque des fonctionnalités de scan, de vérification, de propriété ou de cycle de vie sont utilisées pour le compte d'un client, nous pouvons partager les données pertinentes avec ce client à des fins de :

• prévenir la fraude ;
• la vérification de l'identité du produit ;
• des workflows de propriété et de cycle de vie configurés par le client ;
• le support et l'analyse opérationnelle ; et
• des fins légitimes liées à la gestion des produits et des marques.

B. Prestataires de services et sous-traitants

Y compris les prestataires de :

• hébergement et infrastructure ;
• sécurité et surveillance ;
• messagerie électronique et communications ;
• service client ;
• d'analyse ;
• livraison de portefeuilles/pass ou infrastructure associée ; et
• services professionnels.

Ces prestataires traitent les données à caractère personnel dans le cadre d'un contrat et uniquement dans la mesure nécessaire à la fourniture des services concernés.

C. Conseillers professionnels et autorités

Nous pouvons partager des données avec des avocats, des auditeurs, des assureurs, des organismes de réglementation, les forces de l'ordre, les tribunaux ou d'autres autorités lorsque cela est nécessaire pour :

• respecter la loi ;
• répondre à une procédure judiciaire ;
• établir, exercer ou défendre des droits en justice ; ou
• protéger les droits, la sûreté ou la sécurité d'TieBack, de nos clients, de nos utilisateurs ou d'autres personnes.

D. Opérations d'entreprise

Si TieBack est impliqué dans une fusion, une acquisition, un financement, une restructuration ou la cession de tout ou partie de ses activités, des données à caractère personnel peuvent être divulguées dans le cadre de cette opération, sous réserve de garanties appropriées en matière de confidentialité et de protection juridique.

6. Conservation

Nous conservons les données à caractère personnel uniquement pendant la durée nécessaire aux fins décrites dans la présente Politique, sauf si une période de conservation plus longue est requise par la loi ou nécessaire pour protéger des droits légaux.

Notre approche actuelle en matière de conservation des données est la suivante :

A. Données de télémétrie relatives à la lecture et à la vérification

Les données à caractère personnel collectées lorsqu'une personne consulte la fiche produit ou la page de vérification — y compris les données IP, les identifiants liés à l'appareil et les données de télémétrie similaires — sont conservées pendant une durée maximale de 2 ans, puis supprimées ou anonymisées de manière irréversible, sauf si :

• une période plus courte est requise par la loi ;
• une période de conservation plus longue est nécessaire pour une enquête de sécurité spécifique, un litige ou une conservation à des fins juridiques ; ou
• les instructions légitimes du client en disposent autrement lorsque l'TieBacke agit en tant que sous-traitant.

B. Données relatives à la fonctionnalité de propriété / de portefeuille

Lorsque les utilisateurs choisissent d'utiliser une fonctionnalité de propriété, de conserver un passeport ou d'enregistrer un passeport dans un portefeuille, les données personnelles associées sont conservées aussi longtemps que l'utilisateur conserve ce passeport ou cette association de fonctionnalités, sauf si :

• l'utilisateur ne les supprime pas ;
• le client concerné demande la suppression ;
• le compte ou le service est fermé ; ou
• des obligations légales de conservation s'appliquent.

C. Coordonnées professionnelles et données relatives au compte

Les données relatives aux contacts professionnels, à l'assistance, à l'intégration, aux comptes et aux contrats sont conservées aussi longtemps que cela est raisonnablement nécessaire pour gérer la relation et respecter les obligations légales, comptables, d'audit et de résolution des litiges.

D. Sauvegardes et journaux

Des copies résiduelles peuvent subsister dans les sauvegardes et les journaux pendant une période limitée, conformément à nos pratiques en matière de sauvegarde et de reprise après sinistre, après quoi elles sont supprimées ou écrasées dans le cadre de nos procédures habituelles.

7. Transferts internationaux

Nous pouvons traiter ou stocker des données à caractère personnel au Royaume-Uni, dans l'EEE ou dans d'autres pays où nous ou nos prestataires de services exerçons nos activités.

Lorsque des données à caractère personnel sont transférées en dehors du Royaume-Uni ou de l'EEE dans des circonstances nécessitant des garanties, nous nous appuyons sur des mécanismes de transfert appropriés, tels que des réglementations ou des décisions d'adéquation ; ou des clauses contractuelles types, l'accord britannique sur les transferts internationaux de données (IDTA) ou l'addendum britannique, selon le cas.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles destinées à protéger les données à caractère personnel contre toute destruction, perte, altération, divulgation ou accès accidentels ou illicites.

Ces mesures peuvent inclure, selon le cas :

• des contrôles d'accès et des autorisations basées sur le principe du moindre privilège ;
• la journalisation et la surveillance ;
• le chiffrement en transit et au repos ;
• des pratiques de développement et de déploiement sécurisées ;
• des contrôles de conservation ; et
• procédures de réponse aux incidents.

9. Vos droits

Lorsque TieBack agit en tant que responsable du traitement, les personnes concernées peuvent bénéficier de droits en vertu de la législation applicable en matière de protection des données, notamment le droit :

• être informées ; accéder à leurs données à caractère personnel ; rectifier les données inexactes ; effacer les données dans certaines circonstances ; limiter le traitement dans certaines circonstances ; s'opposer au traitement fondé sur des intérêts légitimes ; bénéficier de la portabilité des données, le cas échéant ; et retirer leur consentement, lorsque celui-ci constitue la base légale.

Si vous souhaitez exercer ces droits, contactez-nous à l'adresse [email protected].

Lorsque TieBack agit uniquement en tant que sous-traitant pour le compte d'un client de marque, vous devez normalement adresser votre demande à cette marque/ce client en tant que responsable du traitement. TieBack aidera le client à répondre lorsque cela est requis par contrat ou par la loi.

Vous avez également le droit de déposer une plainte auprès du Bureau du commissaire à l'information du Royaume-Uni (ICO) ou auprès de l'autorité de contrôle compétente de votre juridiction, le cas échéant.

10. Cookies et technologies similaires

Nous pouvons utiliser des cookies et des technologies similaires sur notre site web et nos Services. Il peut s'agir notamment :

• des cookies strictement nécessaires ; des cookies de fonctionnalité ; des cookies d'analyse ; et d'autres technologies utilisées pour sécuriser, exploiter et améliorer les Services.

Lorsque la loi l'exige, nous vous demanderons votre consentement avant de placer des cookies non essentiels ou des technologies similaires. Pour plus d'informations, veuillez consulter notre Politique en matière de cookies.

11. Enfants

Les Services sont destinés à un usage professionnel et ne s'adressent pas aux enfants. Nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants, sauf lorsque ces données sont fournies par le biais de flux de travail configurés par le client et que ce dernier est responsable de la base juridique et des notifications requises pour ce traitement.

Si vous pensez que des données à caractère personnel concernant un enfant ont été collectées de manière illicite par le biais des Services, veuillez nous contacter.

12. Liens et services tiers

Notre site web, les pages de fiches techniques de nos produits ou notre documentation peuvent contenir des liens vers des sites web, des outils ou des services tiers. Nous ne sommes pas responsables des pratiques de ces tiers en matière de confidentialité, et nous vous invitons à consulter leurs politiques de confidentialité.

13. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre afin de refléter les changements concernant :

• des Services ; de nos activités de traitement ; des exigences légales ; ou de nos opérations commerciales.

Nous publierons la version mise à jour sur le site web et mettrons à jour la date de « Dernière mise à jour ». Lorsque la loi l'exige, nous vous en informerons par un avis supplémentaire.

14. Contactez-nous

Si vous avez des questions concernant la présente politique de confidentialité ou notre traitement des données à caractère personnel, veuillez contacter :