Juridique et conformité
SkinID est soumis à la Loi fédérale révisée sur la protection des données (nLPD). Les documents suivants décrivent comment nous traitons, protégeons et gérons vos données.
1.1 Données d'identité utilisateur
- Données : UID de l'implant NFC (stocké sous forme de hash SHA-256), nom attribué par l'utilisateur, avatar
- Finalité : identification de l'utilisateur et gestion du compte
- Base juridique : exécution contractuelle
- Destinataires : aucun
- Conservation : jusqu'à la suppression du compte
- Sécurité : UID stocké sous forme de hash SHA-256, HTTPS en transit, base de données chiffrée au repos
1.2 Identifiants enregistrés
- Données : URL du site web, nom d'utilisateur, mot de passe chiffré, type (Personnel / Professionnel)
- Finalité : gestion des mots de passe et remplissage automatique
- Base juridique : exécution contractuelle
- Destinataires : aucun. Partage initié par l'utilisateur entre comptes SkinID uniquement.
- Conservation : jusqu'à la suppression de l'identifiant ou du compte
- Sécurité : ChaCha20-Poly1305 AEAD avec clés par-identifiant dérivées via HKDF-SHA256
1.3 Passkeys FIDO2
- Données : ID du relying party, ID de l'identifiant, clé privée chiffrée, clé publique, nom d'utilisateur, compteur de connexions
- Finalité : authentification sans mot de passe
- Base juridique : exécution contractuelle
- Destinataires : clé publique partagée avec le relying party lors de l'enregistrement
- Conservation : jusqu'à la suppression de la passkey ou du compte
- Sécurité : clés privées chiffrées avec le même schéma lié à la puce que les identifiants enregistrés
1.4 Profil d'autofill
- Données : nom, date de naissance, genre, e-mails, téléphones, adresses, noms d'utilisateur, entreprise, intitulé de poste
- Finalité : remplissage automatique des formulaires d'inscription
- Base juridique : exécution contractuelle
- Destinataires : aucun. Données injectées localement dans les formulaires du navigateur.
- Conservation : jusqu'à la suppression du profil ou du compte
- Sécurité : chiffrées en un seul blob AEAD avec une clé par utilisateur
1.5 Journal d'activité
- Données : type d'action, texte de détail, horodatage
- Finalité : surveillance de sécurité
- Base juridique : intérêt légitime (sécurité)
- Conservation : 12 mois
1.6 Appareils de confiance
- Données : nom de l'appareil, adresse IP, plateforme, identifiant de l'appareil, horodatages
- Finalité : gestion du bridge NFC
- Base juridique : exécution contractuelle
- Conservation : jusqu'au retrait de l'appareil ou à la suppression du compte
1.7 Jetons d'authentification
- Données : hash SHA-256 du jeton, préfixe, date de création, date de dernière utilisation
- Finalité : gestion des sessions
- Sécurité : jetons bruts jamais stockés. Seuls les hash sont conservés.
Mesures techniques et organisationnelles
- Tous les identifiants et clés chiffrés au repos avec chiffrement authentifié et clés par utilisateur
- Toutes les communications chiffrées en transit (HTTPS avec TLS 1.3 et HSTS preload)
- Isolation des données par utilisateur au niveau de la base de données
- Protection CSRF et limitation de débit
- Mots de passe opérateur stockés sous forme de hash PBKDF2-HMAC-SHA256 selon le nombre d'itérations recommandé par OWASP
- Sauvegardes chiffrées automatisées (age, X25519 avec ChaCha20-Poly1305, clé privée conservée sur un système isolé séparé)
- Serveur hébergé par Infomaniak, Suisse
- Aucun outil d'analyse tiers, aucun tracking, aucun partage de données
2.1 Définition
Une violation de données personnelles désigne tout incident de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles, de manière accidentelle ou illicite.
2.2 Détection
- Schémas d'accès serveur inhabituels
- Requêtes ou exports de base de données inattendus
- Signalements d'utilisateurs d'activités non autorisées
- Divulgations de chercheurs en sécurité
- Alertes de monitoring (pics d'échecs d'authentification, déclenchements de limitation de débit)
2.3 Évaluation (sous 24 heures)
- Quelles données ont été affectées ?
- Combien d'utilisateurs sont concernés ?
- Les données sont-elles chiffrées ? La clé maître a-t-elle été compromise ?
- La violation est-elle en cours ou contenue ?
- Quel est le risque pour les utilisateurs concernés ?
2.4 Confinement (immédiatement)
- Révoquer tous les jetons d'authentification actifs
- Rotation de la clé de chiffrement maître si compromise
- Bloquer les vecteurs d'accès non autorisés
- Mettre le serveur hors ligne si nécessaire
- Préserver les preuves
2.5 Notification au PFPDT
Dès que possible (dans les 72 heures) via databreach.edoeb.admin.ch. La notification comprend : nature de la violation, données affectées, nombre d'utilisateurs, conséquences et mesures prises.
2.6 Notification aux utilisateurs concernés
Requise si la violation présente un risque élevé pour les utilisateurs. Les utilisateurs sont notifiés via le panneau de gestion et toute information de contact disponible. La notification explique ce qui s'est passé, quelles données ont été affectées, ce que l'utilisateur doit faire et ce que SkinID a fait.
2.7 Examen post-incident
Sous 2 semaines : documenter la chronologie, identifier la cause racine, mettre en œuvre des mesures correctives, mettre à jour les procédures.
Contact
PFPDT : www.edoeb.admin.ch
Notification de violation : databreach.edoeb.admin.ch
3.1 Description
SkinID est une plateforme d'authentification suisse qui utilise un implant NFC cryptographique sous-cutané comme clé d'identité universelle. Les utilisateurs scannent leur main pour s'authentifier dans des environnements numériques et physiques.
Données traitées
- UID de l'implant NFC (hash SHA-256)
- Identifiants de sites web chiffrés (mots de passe)
- Clés privées FIDO2 chiffrées
- Profil d'autofill chiffré (nom, contacts, adresses)
- Journaux d'activité, informations sur les appareils, relations de partage
Flux de données
Implant de l'utilisateur → lecteur NFC → application / extension SkinID → HTTPS → serveur SkinID (Suisse). Aucune donnée ne circule en dehors de la Suisse. Aucune API tierce ne reçoit de données utilisateur.
3.2 Nécessité et proportionnalité
Chaque catégorie de données sert une finalité fonctionnelle spécifique (authentification, gestion des mots de passe, remplissage automatique de formulaires). Aucun e-mail, téléphone ou nom réel n'est requis pour utiliser le service principal. SkinID collecte nettement moins de données personnelles que des services comparables. La collecte des données est proportionnée.
3.3 Évaluation des risques
| Risque | Probabilité | Impact |
|---|---|---|
| Compromission du serveur (base de données seule) | Faible | Faible (données chiffrées) |
| Vol d'un jeton d'authentification | Faible | Moyen |
| Clonage de l'implant NFC (DESFire EV3) | Très faible | Moyen |
| Accès aux données d'un autre utilisateur | Très faible | Élevé |
| Perte de données | Faible | Moyen |
3.4 Mesures d'atténuation
- Chiffrement authentifié (ChaCha20-Poly1305 AEAD) avec clés par utilisateur
- Clé maître stockée séparément de la base de données
- Hashage SHA-256 des jetons
- Verrouillage automatique après inactivité
- Isolation des données par utilisateur
- Sauvegardes chiffrées automatisées
- Authentification mutuelle AES-128 (NXP DESFire EV3) sur la couche puce
3.5 Conclusion
Le traitement est nécessaire et proportionné. Les risques identifiés sont atténués par des mesures techniques et organisationnelles. Niveau de risque résiduel : FAIBLE.
Cette analyse est revue annuellement, lors de changements significatifs, ou après tout incident de sécurité. Une version plus détaillée de cette évaluation est disponible sur demande pour les examinateurs qualifiés et les partenaires.