Politique de confidentialité étendue RGPD

Date d'entrée en vigueur : 2026-05-30
Dernière mise à jour : 2026-05-30

1. Responsable du Traitement

EBIS Next Generation ID Limited est le responsable du traitement des données personnelles traitées via ses sites web et services de plateforme, notamment ebisbank.com, portal.ebisbank.com et ebisbaid.ebisbank.com. Adresse : [Adresse Sociale], Royaume-Uni. Contact : support@ebisbank.com. Enregistrés auprès de l'ICO au Royaume-Uni conformément au UK GDPR et au Data Protection Act 2018.

2. Bases Juridiques du Traitement (Art. 6 UK GDPR / RGPD)

• Exécution du contrat (Art. 6(1)(b)) — pour fournir les services souscrits.
• Obligation légale (Art. 6(1)(c)) — vérification KYC/AML, registres fiscaux, conformité au droit britannique.
• Consentement (Art. 6(1)(a)) — communications marketing, cookies optionnels, données spéciales. Le consentement peut être retiré à tout moment.
• Intérêts légitimes (Art. 6(1)(f)) — sécurité de la plateforme, prévention des fraudes, modération VIC, analyse produit, prospection de leads d'affaires.

3. Catégories de Données

Données d'identité (nom, date de naissance, nationalité, numéro de document — pour EBIS AID) ; données de contact ; données techniques (IP anonymisé, sessions) ; données financières via Stripe ; données d'identité numérique (EBIS ID, niveau, wallet, EBU) ; données de documents IDSign (fichiers, signatures, hachages d'audit, PDFs signés) ; données de communication Commeety (publications, messages Deal Room, rapports d'infraction, journaux VIC) ; données comportementales (UTM, utilisation des fonctionnalités).

Nous ne traitons pas de données génomiques ou biométriques brutes. Aucune donnée de catégorie spéciale (Art. 9 RGPD) n'est traitée sauf consentement explicite pour la vérification d'identité.

4. Droits des Personnes Concernées (Arts. 15–22 UK GDPR / RGPD)

Droit d'accès, rectification, effacement (note : les pistes d'audit IDSign font l'objet d'une conservation légale de 7 ans), limitation, portabilité, opposition, retrait du consentement, droits relatifs aux décisions automatisées. Pour les exercer : support@ebisbank.com — réponse sous 30 jours. Vous pouvez également saisir l'ICO (ico.org.uk) ou votre autorité de contrôle nationale.

5. Sous-traitants et Sous-sous-traitants

• Stripe, Inc. — Paiements et KYC. États-Unis. Clauses Contractuelles Types (CCT). ✅ DPA en vigueur.
• Supabase, Inc. — Base de données et authentification. AWS London (eu-west-2), Royaume-Uni. ✅ DPA signé par EBIS (30/05/2026) — contresignature Supabase en attente.
• WHUK (Webhosting UK Co. Ltd) — Hébergement cPanel. Royaume-Uni. ✅ DPA envoyé — contresignature en attente.
• Anthropic, PBC — API Claude pour VIC AI. États-Unis. CCT. Messages transmis comme requêtes anonymes.
• LiveKit, Inc. — Infrastructure WebRTC pour eVIDence. États-Unis/mondial. CCT.
• VM6 Networks Ltd — Hébergement VPS pour daemons et proxy. Royaume-Uni.

6. Transferts Internationaux

Infrastructure principale au Royaume-Uni (Supabase AWS London ✅, WHUK ✅, VM6 ✅). Transferts vers les États-Unis (Stripe, Anthropic, LiveKit) protégés par CCT/IDTA. Aucun transfert vers des pays sans décision d'adéquation ou garanties appropriées.

7. Décisions Automatisées et Profilage

EBIS n'effectue pas de décisions entièrement automatisées ayant des effets juridiques (Art. 22 RGPD). Processus automatisés sans effets juridiques directs : modération VIC (avec possibilité d'appel et révision humaine) ; scoring des leads ; accès conditionné au niveau EBIS AID (avec vérification humaine des documents).

8. Mesures de Sécurité (Art. 32 RGPD)

HTTPS/TLS sur tous les domaines ; Row-Level Security (RLS) sur Supabase ; restrictions au niveau des colonnes (vue profiles_public — champs sensibles exclus : recovery_phrase_hash, stripe_customer_id, wallet_address, sovereign_login_email, web2id_email, phone, address) ; hachage des mots de passe, OTP et tokens ; séparation des clés de rôle ; DPA avec tous les sous-traitants ; surveillance automatisée ; audits de sécurité réguliers. En cas de violation, nous notifierons l'ICO dans les 72 heures et les personnes concernées sans délai (Art. 33–34 UK GDPR).

9. Durées de Conservation

Données de compte actif : durée + 2 ans. Pistes d'audit IDSign et PDFs signés : 7 ans. Registres de paiement : 7 ans. Documents KYC/KYB : selon réglementation AML. Journaux de modération VIC : 12 mois. Métadonnées eVIDence : 24 mois.

10. Contact et Autorité de Contrôle

support@ebisbank.com — EBIS Next Generation ID Limited, [Adresse Sociale], Royaume-Uni.
Vous avez le droit de déposer une plainte auprès de l'ICO (ico.org.uk) ou de l'autorité de protection des données compétente dans votre pays.