Skip to main content
Didit lève 2 millions de dollars et rejoint Y Combinator (W26)
Didit
Didit
Privacy Policy
Updated May 16, 2026 · didit.me/terms/privacy-policy
Legal

Privacy Policy

Updated: May 16, 2026

On this page

Cette politique de confidentialité explique comment Didit traite les données personnelles lorsque vous visitez nos sites web, nous contactez, utilisez nos produits et services, ou complétez un flux de vérification d'identité ou de fraude alimenté par Didit.

Si vous vérifiez votre identité pour une banque, une fintech, une plateforme crypto, un marché, un employeur ou une autre organisation qui utilise Didit, cette organisation est la partie qui décide pourquoi la vérification est requise. Dans ces cas, elle est le responsable du traitement ou l'entreprise, et Didit agit en tant que son sous-traitant ou fournisseur de services. Pour le traitement spécifique à la vérification, les données biométriques et les flux en marque blanche, lisez notre Avis de confidentialité de la vérification et nos Conditions d'utilisation pour la vérification d'identité.

1. Qui sommes-nous

Selon le service et la géographie, vos données peuvent être traitées par une ou les deux entités Didit suivantes :

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelone, Espagne. Entité contractante pour les clients de l'Union européenne, du Royaume-Uni, de l'Espace économique européen, de la Suisse et de l'Amérique latine, et l'établissement qui opère le plan de données européen.
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, États-Unis. Entité contractante pour les clients des États-Unis, du Canada, de l'Asie-Pacifique, du Moyen-Orient et les clients mondiaux.

Lorsque nous disons « Didit », « nous », « notre » ou « nos », nous entendons l'entité ou les entités Didit fournissant le service applicable.

2. Portée et notre rôle

Cette politique de confidentialité s'applique lorsque vous :

  • visitez `didit.me` ou tout site web opéré par Didit ;
  • demandez des informations, une démo ou un support ;
  • créez ou gérez une relation commerciale, un compte ou une intégration Didit ;
  • postulez à un poste chez Didit ; ou
  • utilisez un flux de vérification, de prévention de la fraude, d'authentification ou de conformité opéré par ou via Didit.

Notre rôle change selon le contexte :

ContexteRôle de DiditCe que cela signifie
Visiteurs du site web, marketing, recrutement, ventes, support et relations commerciales directesResponsable du traitementDidit décide pourquoi et comment les données sont traitées pour ces interactions directes.
Flux de vérification demandés par un client DiditSous-traitant / Fournisseur de servicesLe client décide pourquoi la vérification a lieu et quelles vérifications sont activées. Didit traite les données au nom du client.
Sécurité, prévention des abus, intégrité du service, journalisation d'audit, conformité légale, formation et validation de modèles de fraude sur des données anonymisées ou pseudonymisées, et réclamations légalesResponsable du traitement indépendant pour cette finalité spécifiqueDidit peut traiter des données limitées pour sécuriser la plateforme, former et améliorer les modèles de détection de fraude et de vérification, se conformer à la loi, et établir, exercer ou défendre des réclamations légales.

Si vous êtes dans un flux de vérification en marque blanche ou sur un domaine personnalisé, la personnalisation de la marque ne signifie pas nécessairement que seule l'entreprise de la marque traite vos données. Didit peut toujours fournir la technologie de vérification sous-jacente et le traitement associé.

3. Catégories de données personnelles que nous traitons

Les catégories de données que nous traitons dépendent du service, de la configuration du flux de travail et de votre relation avec Didit. Elles peuvent inclure :

  • Identifiants et données de contact, nom, adresse e-mail, numéro de téléphone, adresse postale, date de naissance et informations d'identification similaires.
  • Données commerciales et de compte, nom de l'entreprise, informations de facturation, identifiants de compte, détails d'utilisation de l'API et enregistrements de votre relation avec Didit.
  • Données de vérification, images de documents d'identité, données extraites de documents, fichiers de preuve d'adresse, réponses aux questionnaires, entrées de filtrage de sanctions ou de listes de surveillance, et résultats de vérification.
  • Données biométriques et de vivacité, lorsque le flux de travail inclut la vérification faciale ou des contrôles similaires, selfies, images faciales, vidéos, captures de vivacité, signaux anti-usurpation et données dérivées des scans de géométrie faciale.
  • Données de l'appareil, du réseau et techniques, adresse IP, type de navigateur, système d'exploitation, langue, identifiants de l'appareil, horodatages, géolocalisation inférée des données réseau et autres télémétries de sécurité ou anti-fraude.
  • Données de communication et de support, messages, tickets de support, enregistrements d'appels, échanges d'e-mails et journaux d'opérations.
  • Données de tiers et de sources publiques, informations fournies par nos clients, partenaires d'identité ou de prévention de la fraude, autorités publiques, fournisseurs de télécommunications et sources publiquement disponibles lorsque la loi le permet.
  • Données de recrutement, CV, historique d'emploi et autres documents soumis lors de l'embauche.

Nous n'avons pas besoin de toutes les catégories listées ci-dessus pour chaque interaction. Les données exactes utilisées dépendent des services demandés et de la configuration sélectionnée par le client concerné.

4. Comment nous utilisons les données personnelles

Nous pouvons utiliser les données personnelles aux fins suivantes :

  • Pour exploiter nos sites web et services, accès au compte, livraison de produits, support client, facturation et communications.
  • Pour fournir des services d'infrastructure d'identité et de fraude, Vérification d'identité (Know Your Customer / KYC), Vérification d'entreprise (Know Your Business / KYB), Surveillance des transactions, Filtrage de portefeuilles (Know Your Transaction / KYT) et autres contrôles configurés.
  • Pour sécuriser la plateforme, prévenir les abus, détecter l'usurpation, prévenir la fraude, surveiller les activités suspectes et maintenir l'intégrité du service.
  • Pour former, évaluer et améliorer les modèles de détection de fraude et de vérification en utilisant des données anonymisées ou pseudonymisées dérivées de l'activité de vérification, lorsque la loi le permet. Voir la Section 11 pour l'option de désabonnement.
  • Pour répondre aux demandes, demandes de démo, questions de support, demandes de diligence raisonnable et communications commerciales.
  • Pour gérer le recrutement et l'embauche, examiner les candidatures et communiquer avec les candidats.
  • Pour se conformer aux obligations légales et réglementaires, tenir des registres, répondre aux demandes légales, faire respecter les contrats et effectuer des audits internes ou externes.
  • Pour établir, exercer ou défendre des réclamations légales et protéger les droits, la sécurité et la sûreté de Didit, de nos clients et des personnes concernées.

5. Bases légales du traitement

Lorsque le Règlement général sur la protection des données (RGPD), le RGPD du Royaume-Uni, la loi suisse sur la protection des données ou des lois similaires s'appliquent, Didit s'appuie sur une ou plusieurs des bases légales suivantes :

  • Exécution d'un contrat ou mesures prises à votre demande avant la conclusion d'un contrat.
  • Intérêts légitimes, sécuriser notre plateforme, soutenir les clients, prévenir la fraude, tenir des registres, former et améliorer les modèles de détection de fraude et de vérification sur des données anonymisées ou pseudonymisées, et communiquer avec les contacts commerciaux, à condition que ces intérêts ne soient pas supplantés par vos droits.
  • Consentement, y compris lorsque le consentement est requis pour les communications marketing, certains cookies ou le traitement biométrique dans une juridiction ou un flux de travail particulier.
  • Obligation légale, lorsque le traitement est requis pour se conformer à la loi applicable, à la réglementation, à une ordonnance du tribunal ou à une demande légale des autorités.
  • Établissement, exercice ou défense de réclamations légales.

Lorsque des données de catégorie spéciale ou sensibles sont traitées, y compris des données biométriques utilisées pour vous identifier de manière unique, Didit traite ces données uniquement lorsque la loi applicable le permet. Dans les flux de vérification, le client concerné est responsable de la détermination et de la documentation de la base légale principale de la vérification elle-même, y compris si un consentement explicite est requis.

6. Comment nous divulguons les données personnelles

Nous pouvons divulguer des données personnelles à :

  • Le client qui nous a demandé d'effectuer la vérification, afin que le client puisse compléter l'intégration, l'examen de la fraude, les contrôles de conformité ou les processus commerciaux connexes.
  • Les entités du groupe Didit, lorsque cela est nécessaire pour exploiter, soutenir, sécuriser ou fournir les services pertinents.
  • Les fournisseurs de services et sous-traitants, fournisseurs d'hébergement cloud, de stockage, d'infrastructure, de communications, de support, d'analyse, de prévention de la fraude, de traitement de documents, de sécurité, d'audit et de services professionnels. Une liste actuelle des sous-traitants est disponible pour les clients et les clients potentiels sous un accord de non-divulgation (NDA) signé sur demande à security@didit.me.
  • Les conseillers professionnels, avocats, auditeurs, assureurs et consultants, lorsque cela est nécessaire à des fins commerciales légitimes, de conformité ou légales.
  • Les autorités publiques, les régulateurs, les tribunaux, les forces de l'ordre ou d'autres tiers, lorsque requis par la loi, une procédure légale ou une demande gouvernementale exécutoire.
  • Les successeurs et les contreparties de transaction, si Didit est impliqué dans une fusion, une acquisition, un financement, un processus d'insolvabilité ou une vente d'actifs, sous réserve de confidentialité et de garanties légales.

Didit ne vend pas, ne loue pas, ne commercialise pas et ne tire pas profit des identifiants biométriques ou des informations biométriques.

7. Transferts internationaux

Didit peut traiter des données dans plusieurs pays. Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen, du Royaume-Uni, de la Suisse ou d'une autre juridiction soumise à des restrictions de transfert, Didit utilise des garanties appropriées lorsque cela est requis, y compris :

  • les décisions d'adéquation ;
  • les clauses contractuelles types (CCT) de la Commission européenne de 2021 et tout addendum équivalent du Royaume-Uni ou de la Suisse ;
  • les accords de transfert intra-groupe ; ou
  • un autre mécanisme de transfert légalement reconnu par la loi applicable.

8. Rétention

Didit conserve les données personnelles aussi longtemps que raisonnablement nécessaire aux fins décrites dans cette politique de confidentialité, y compris pour :

  • fournir et soutenir les services pertinents ;
  • suivre les instructions du client dans les relations de sous-traitance ;
  • se conformer aux obligations contractuelles, légales, fiscales, comptables et réglementaires ;
  • maintenir les registres de sécurité et de prévention de la fraude ;
  • résoudre les litiges ; et
  • établir, exercer ou défendre des réclamations légales.

Les périodes de rétention varient selon le service, la configuration du flux de travail, la loi applicable et le rôle de Didit dans le traitement :

  • Les données de relation commerciale sont généralement conservées pendant la durée de la relation et pendant les périodes légales de conservation des enregistrements après la résiliation.
  • Les enregistrements de support et d'audit peuvent être conservés à des fins opérationnelles, de sécurité et de conformité.
  • Les données de recrutement sont conservées pendant le processus de recrutement et toute période de suivi légale, ou plus longtemps si vous y consentez séparément.
  • Les données de vérification, la rétention par défaut est indéfinie (« illimitée »), sauf si le client configure une période plus courte. Les clients configurent la rétention par application dans la console Business entre 30 jours et 10 ans, ou déclenchent une suppression par session à tout moment via le point de terminaison de l'API `POST /v3/sessions/:session_id/delete/`. Les utilisateurs finaux peuvent également exercer leurs droits de suppression comme décrit dans la Section 9. La rétention des données biométriques est dans tous les cas soumise et plafonnée par les lois et réglementations applicables en matière de confidentialité biométrique, y compris l'article 9 du Règlement général sur la protection des données (RGPD) de l'UE, le Illinois Biometric Information Privacy Act (BIPA), le Texas Capture or Use of Biometric Identifier Act (CUBI), le Washington H.B. 1493, et toute autre loi applicable en matière de confidentialité biométrique ; lorsque cette loi prescrit une période de rétention plus courte ou une obligation de destruction antérieure, cette règle plus courte ou plus stricte prévaut sur toute période de rétention par défaut ou configurée par le client.

Lorsque les données ne sont plus nécessaires, Didit les supprime, les rédige, les anonymise, les dé-identifie ou les détruit de manière sécurisée. Pour les données biométriques et les médias de vérification, consultez l'Avis de confidentialité de la vérification.

9. Vos droits

Selon votre localisation et la loi applicable, vous pouvez avoir le droit de :

  • accéder à vos données personnelles ;
  • demander la correction de données inexactes ou incomplètes ;
  • demander la suppression ou l'effacement ;
  • demander la restriction du traitement ;
  • vous opposer à certains traitements, y compris le traitement fondé sur des intérêts légitimes (voir la Section 11 pour l'option de désabonnement à la formation de modèles et à la détection de fraude) ;
  • retirer votre consentement lorsque le traitement est basé sur le consentement ;
  • demander la portabilité des données que vous avez fournies ;
  • ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou des effets significatifs similaires, sous réserve des conditions et exceptions de l'article 22 du RGPD ; et
  • déposer une plainte auprès d'une autorité de contrôle. L'autorité de contrôle principale de Didit est l'Agence espagnole de protection des données (Agencia Española de Protección de Datos / AEPD) à `aepd.es`.

Lorsque Didit agit en tant que responsable du traitement, soumettez les demandes de confidentialité à privacy@didit.me ou dpo@didit.me.

Lorsque Didit agit en tant que sous-traitant ou fournisseur de services pour un flux de vérification client, adressez votre demande à l'organisation qui vous a demandé de vérifier. Ce client contrôle la finalité de la vérification et est le mieux placé pour répondre. Si Didit reçoit une telle demande directement, nous pouvons la transmettre au client concerné.

10. Cookies et technologies similaires

Didit utilise des cookies et des technologies similaires sur ses sites web pour la fonctionnalité, la sécurité, l'analyse et l'attribution. Lisez notre Politique de cookies pour l'inventaire complet, les contrôles de la bannière de consentement et notre position sur le Global Privacy Control (GPC) et le Do Not Track (DNT).

11. Formation de modèles anonymisés et détection de fraude, votre option de désabonnement

Didit forme, évalue et améliore ses modèles de vérification d'identité, biométriques et de détection de fraude, et opère des mesures de prévention de la fraude inter-clients, en utilisant des données anonymisées ou pseudonymisées dérivées de l'activité de vérification (par exemple : caractéristiques de documents, signaux de fraude, schémas d'attaque, échantillons d'erreurs de modèle). Didit applique l'anonymisation, la pseudonymisation, l'agrégation et les contrôles d'accès afin que les données utilisées pour la formation et la détection de fraude ne puissent pas être raisonnablement liées à un individu identifiable en dehors de l'enregistrement de vérification sous-jacent.

Ce traitement est fondé sur l'intérêt légitime de Didit à :

  • améliorer la précision et la sécurité de l'infrastructure d'identité et de fraude utilisée par tous les clients ;
  • détecter et prévenir la fraude, les attaques d'usurpation d'identité, les deepfakes et les tentatives répétées d'attaquants connus ; et
  • répondre aux attentes réglementaires concernant la performance, l'équité et la sécurité des modèles.

Option de désabonnement. Un client ou un utilisateur final peut désactiver le traitement de ses données pour la formation de modèles et la détection de fraude en :

  • supprimant l'enregistrement de vérification sous-jacent via l'API ou la console Business (la suppression retire l'enregistrement des pipelines de formation lors du prochain cycle de rafraîchissement), ou
  • envoyant un e-mail à privacy@didit.me avec l'identifiant de session ou le compte pertinent, demandant un désabonnement.

Les désabonnements s'appliquent prospectivement à partir de la date de la demande ; Didit fera également des efforts commercialement raisonnables pour purger les enregistrements éligibles des ensembles de données de formation actifs.

12. États-Unis, Addendum à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) / loi californienne sur les droits à la vie privée (CPRA)

Cette section complète la présente politique de confidentialité pour les résidents de Californie et s'applique chaque fois que Didit est une « entreprise » en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), telle que modifiée par la loi californienne sur les droits à la vie privée (CPRA). Lorsque Didit est un « fournisseur de services » ou un « contractant » pour un client Didit (une « entreprise » en vertu de la CCPA), l'avis de confidentialité du client régit le flux de vérification pertinent et Didit traite les informations personnelles en vertu de l'accord de traitement des données pertinent.

Catégories d'informations personnelles collectées au cours des 12 derniers mois (catégories CCPA) :

  • Identifiants (nom, e-mail, téléphone, adresse IP, identifiants d'appareil).
  • Dossiers clients (facturation, contact, compte).
  • Activité Internet ou réseau (navigation, interactions, télémétrie).
  • Données de géolocalisation (inférées de l'IP).
  • Données sensorielles (selfies, images faciales, vidéo de vivacité, images de documents).
  • Données professionnelles ou d'emploi (pour les candidats).
  • Informations personnelles sensibles (SPI), y compris les informations biométriques utilisées pour identifier de manière unique un consommateur, les identifiants gouvernementaux contenus dans les documents d'identité et les identifiants de connexion au compte.
  • Inférences tirées de l'une des catégories ci-dessus (scores de risque, signaux de fraude, résultats de décision).

Finalités, les finalités énumérées à la Section 4.

Vente ou partage d'informations personnelles. Didit ne vend ni ne partage (tels que ces termes sont définis en vertu de la CCPA/CPRA) d'informations personnelles, y compris les informations biométriques.

Utilisation et divulgation d'informations personnelles sensibles. Didit utilise les informations personnelles sensibles uniquement aux fins autorisées en vertu de l'article 1798.121(a) du Code civil de Californie et des règlements d'application, pour fournir et sécuriser le service de vérification, prévenir la fraude et les incidents de sécurité, se conformer aux obligations légales et à d'autres fins autorisées sans droit distinct du consommateur de limiter.

Vos droits en Californie :

  • droit de savoir quelles informations personnelles sont collectées, utilisées, divulguées et vendues/partagées ;
  • droit de supprimer les informations personnelles ;
  • droit de corriger les informations personnelles inexactes ;
  • droit de refuser la vente ou le partage (Didit ne fait ni l'un ni l'autre) ;
  • droit de limiter l'utilisation et la divulgation des informations personnelles sensibles (le traitement de Didit est déjà limité à des fins qui ne déclenchent pas ce droit) ;
  • droit à la portabilité des données ; et
  • droit à la non-discrimination pour l'exercice de l'un des droits ci-dessus.

Soumettez les demandes californiennes à privacy@didit.me. Une vérification de votre identité peut être requise avant de répondre. Les agents autorisés peuvent soumettre des demandes avec une preuve d'autorisation.

Global Privacy Control (GPC) et Do Not Track (DNT). Didit respecte les signaux Global Privacy Control basés sur le navigateur sur le site marketing comme une option de désabonnement à la vente ou au partage, même si Didit ne vend ni ne partage d'informations personnelles, les signaux GPC sont enregistrés afin qu'aucun cookie publicitaire ou analytique pouvant être interprété comme un partage ne soit défini pour ce navigateur. Didit ne répond pas actuellement aux en-têtes Do Not Track (DNT) hérités car il n'y a pas de consensus de l'industrie sur la façon de les interpréter ; le signal GPC remplace le DNT aux fins de Didit.

13. Sécurité

Didit utilise des mesures de protection administratives, techniques et organisationnelles conçues pour protéger les données personnelles contre l'accès non autorisé, la perte, l'utilisation abusive, l'altération et la destruction illégale, y compris le chiffrement au repos avec AES-256, le chiffrement en transit avec TLS 1.3, la gestion des clés dans AWS KMS, le contrôle d'accès basé sur les rôles, la séparation des environnements, la surveillance continue, la supervision des fournisseurs et les procédures de réponse aux incidents. Consultez la Politique de sécurité de l'information pour la posture complète et les certifications.

Aucune mesure de sécurité n'est parfaite. Vous devez également protéger vos propres appareils, identifiants et communications.

14. Enfants

Les sites web publics et les services commerciaux standard de Didit ne sont pas destinés aux enfants. Certains clients peuvent légalement utiliser Didit pour des vérifications liées à l'âge ou à l'identité impliquant des utilisateurs plus jeunes, mais cette utilisation doit être étayée par une base légale appropriée et les propres avis du client. Si vous pensez que des données personnelles ont été soumises à Didit sans autorisation appropriée, contactez privacy@didit.me.

15. Modifications de cette politique de confidentialité

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre pour refléter les changements légaux, techniques, opérationnels ou de produits. La date d'entrée en vigueur en haut de la politique reflète la dernière mise à jour. Les modifications importantes seront communiquées lorsque la loi l'exige.

16. Contact

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

Have questions about a specific document?

Email legal@didit.me, privacy@didit.me, or security@didit.me, or message us on WhatsApp. We route you to the right contact.

Talk to us
Demande à une IA de résumer cette page