Politique de confidentialité

Pendant la phase de pré-lancement (inscriptions Insider, Pioneer, Pioneer Plus) :

Votre adresse e-mail, votre position dans la liste d'attente et votre activité de parrainage. Pour Pioneer Plus, votre adresse de livraison.

Pendant l'utilisation du produit (après le lancement) :

• UID de l'implant NFC et métadonnées de la puce. L'identifiant cryptographique lu depuis votre implant DESFire EV3 et une clé maître AES propre à la puce générée côté serveur lors du provisionnement. La clé maître AES est chiffrée au repos avec une clé dérivée d'un secret maître conservé hors de la base de données.
• Identifiants enregistrés (mots de passe). URL de sites web, noms d'utilisateur et chiffrements de mots de passe que vous choisissez de stocker. Chaque mot de passe est chiffré avec ChaCha20-Poly1305 AEAD sous une clé par-identifiant dérivée (HKDF-SHA256) de la clé d'enrobage du coffre-fort de votre puce. Sans votre puce dans le champ du lecteur, ce chiffrement ne peut pas être déchiffré, y compris par SkinID. Les mots de passe en clair ne sont jamais stockés.
• Clés privées FIDO2 / passkey. Clés privées par site pour l'authentification sans mot de passe, chiffrées avec le même schéma lié à la puce.
• Journaux d'activité. Événements d'authentification, enregistrements FIDO, sauvegardes d'identifiants et événements de contrôle d'accès. Horodatés pour votre tableau de bord de sécurité, la détection d'anomalies et l'audit (conformité LPD suisse et RGPD UE).
• Informations sur les appareils. Noms que vous attribuez aux lecteurs NFC de confiance et aux appareils connectés.

• Nous n'utilisons aucun cookie de suivi ni de publicité.
• Nous n'utilisons ni scripts d'analyse, ni pixels de suivi, ni profilage comportemental.
• Nous ne vendons ni ne transférons vos données à des tiers à des fins de marketing.
• Nous ne collectons pas de données biométriques. L'UID NFC est un identifiant cryptographique, et non une mesure biométrique.

Pour fournir notre service, nous travaillons avec les partenaires de confiance suivants dans le cadre d'accords de traitement de données :

• Infomaniak (Suisse) : hébergement des serveurs et sauvegardes, entièrement basés en Suisse.
• Stripe : traitement des paiements pour les offres payantes (soumis à la politique de confidentialité de Stripe).
• Fournisseur d'e-mails : e-mails transactionnels pour les confirmations de pré-lancement et les notifications de compte.

Tous les sous-traitants sont contractuellement tenus de protéger vos données et ne peuvent pas les utiliser à leurs propres fins. Nous ne transférons pas vos données hors de Suisse pour leur stockage.

• Chiffrement zero knowledge au repos. Chaque identifiant est chiffré avec ChaCha20-Poly1305 AEAD sous une clé par-identifiant dérivée (HKDF-SHA256) de la clé d'enrobage du coffre-fort de votre puce (32 octets). Les données associées lient chaque chiffrement à son utilisateur, son site et son identifiant, empêchant un attaquant ayant accès à la base de données d'échanger des chiffrements entre comptes. Sans votre puce dans le champ du lecteur, le chiffrement est illisible, même par SkinID.
• Chiffrement en transit. Toutes les communications utilisent HTTPS avec TLS 1.3 et HSTS preload. Aucune donnée n'est transmise sur une connexion non chiffrée.
• Sécurité des jetons. Les jetons utilisateur et les jetons de session opérateur sont stockés uniquement sous forme de hash SHA-256. Les jetons bruts ne sont jamais conservés sur le serveur. Les mots de passe opérateur sont stockés sous forme de hash PBKDF2-SHA256 selon le nombre d'itérations recommandé par OWASP.
• Isolation des données. Chaque utilisateur ne peut accéder qu'à ses propres identifiants et clés. L'isolation multi-utilisateurs est appliquée au niveau de la base de données. L'accès opérateur est régi par un contrôle d'accès basé sur les rôles à trois niveaux (support, senior, super), et les actions destructrices nécessitent l'approbation de plusieurs opérateurs.
• Protection CSRF et XSS. Cookies SameSite Strict sur les sessions opérateur, validation Origin/Referer, vérifications d'en-têtes en défense en profondeur, et politique de sécurité de contenu stricte qui empêche l'injection de scripts inline et le chargement de scripts cross-origin.
• Clés révocables. Contrairement aux données biométriques, qui ne peuvent pas être modifiées en cas de compromission, les clés cryptographiques de SkinID peuvent être révoquées et remplacées sans affecter votre identité. Une nouvelle puce peut rétablir votre compte via l'une des trois voies de récupération documentées (puce de secours, clé Shamir imprimable, ou vérification d'identité avec approbation multi-opérateurs).
• Sauvegardes chiffrées. Les sauvegardes de la base de données sont chiffrées avec l'outil age (X25519 avec ChaCha20-Poly1305) en utilisant une clé publique dont la moitié privée est conservée sur un système séparé isolé. Une fuite de sauvegarde seule n'expose pas les données clients.

Vos données sont stockées sur un serveur sécurisé hébergé par Infomaniak en Suisse. La Suisse offre une protection solide des données en vertu de la Loi fédérale révisée sur la protection des données (LPD) et est reconnue internationalement pour ses standards en matière de vie privée. SkinID est un produit suisse, soumis au droit suisse en matière de protection des données. Nous ne transférons aucune donnée en dehors de la Suisse.

Nous traitons vos données sur la base de :

• Exécution contractuelle (Art. 6.1.b RGPD / Art. 31 LPD) : pour la création et l'exploitation de votre compte SkinID.
• Intérêt légitime (Art. 6.1.f RGPD) : pour les journaux d'activité, la détection d'anomalies, les audits de sécurité et la création de sauvegardes.
• Consentement (Art. 6.1.a RGPD) : pour les inscriptions e-mail de pré-lancement.

• Identifiants et passkeys : conservés jusqu'à ce que vous les supprimiez ou que vous supprimiez votre compte.
• Profil d'autofill : conservé jusqu'à ce que vous le modifiiez ou le supprimiez, ou que vous supprimiez votre compte.
• Journaux d'activité : conservés 12 mois, puis supprimés automatiquement.
• Appareils de confiance : conservés jusqu'à ce que vous retiriez l'appareil ou supprimiez votre compte.
• Journaux serveur : conservés 30 jours (rotation automatique).
• Adresses e-mail de pré-lancement : conservées jusqu'à votre désabonnement ou jusqu'à la fin du lancement du produit.
• Comptes inactifs : les comptes sans activité d'authentification pendant 24 mois peuvent être supprimés après une période de notification (notification envoyée à l'adresse e-mail enregistrée, le cas échéant).

• Accès. Vous pouvez consulter toutes les données stockées dans le panneau de gestion à tout moment en scannant votre implant.
• Suppression. Vous pouvez supprimer des identifiants individuels, des clés FIDO, des accès partagés ou l'intégralité de votre compte.
• Exportation. Vous pouvez exporter vos identifiants au format CSV et télécharger toutes vos données (identifiants, passkeys, profil d'autofill, journaux d'activité, appareils, historique de partage) sous forme d'un unique fichier JSON depuis la section Compte.
• Portabilité. Les formats d'exportation sont standard et lisibles par machine, garantissant que vous n'êtes jamais enfermé dans SkinID.
• Révocation. Vous pouvez révoquer les jetons d'authentification et l'accès des appareils à tout moment.
• Opposition et limitation. Vous pouvez demander que nous cessions le traitement de vos données ou que nous le limitions à un simple stockage.

Si vous résidez dans l'Union européenne ou dans l'Espace économique européen, le Règlement général sur la protection des données (RGPD) s'applique au traitement de vos données personnelles, en plus du droit suisse. Au titre du RGPD, vous disposez des droits additionnels suivants :

• Droit à l'information (Art. 13-14 RGPD) : vous êtes informé de tous les traitements via la présente politique.
• Droit d'accès (Art. 15 RGPD) : vous pouvez demander une copie de toutes les données personnelles que nous détenons. Utilisez le bouton « Télécharger toutes mes données » dans la section Compte.
• Droit de rectification (Art. 16 RGPD) : vous pouvez corriger vos données à tout moment depuis le panneau de gestion.
• Droit à l'effacement (Art. 17 RGPD) : vous pouvez supprimer votre compte et toutes les données associées à tout moment.
• Droit à la portabilité (Art. 20 RGPD) : vous pouvez exporter toutes vos données dans des formats lisibles par machine (CSV, JSON).
• Droit d'opposition (Art. 21 RGPD) : vous pouvez vous opposer au traitement fondé sur l'intérêt légitime.
• Droit de plainte : vous pouvez introduire une plainte auprès de votre autorité nationale de protection des données, en complément du PFPDT suisse.

SkinID n'utilise pas de décision automatisée ni de profilage. Nous n'utilisons pas vos données à des fins marketing. Nous ne partageons pas vos données avec des tiers pour leur propre usage.

L'extension de navigateur SkinID (Chrome) et les applications natives (Mac, Windows, iPhone) ne s'activent que sur les pages contenant des formulaires de connexion ou lorsque vous initiez une authentification. Elles communiquent exclusivement avec le serveur SkinID via HTTPS. Elles ne collectent pas l'historique de navigation, ne lisent pas le contenu des pages au-delà de la détection des formulaires de connexion et ne transmettent aucune donnée à des tiers. L'application iPhone utilise Core NFC pour lire votre implant. Aucune donnée n'est transmise à Apple.

L'implant SkinID utilise une puce cryptographique NFC DESFire EV3 avec authentification mutuelle AES-128, encapsulée dans du verre biocompatible (Schott 8625). Il communique via le protocole standard ISO 14443. La lecture est entièrement passive et n'écrit ni ne modifie le stockage de l'implant au-delà de la lecture de l'UID cryptographique. L'implant ne contient aucune batterie et est alimenté passivement par le champ NFC. La compatibilité IRM peut varier selon la génération de la puce : informez toujours votre radiologue de la présence de l'implant avant tout examen IRM.

Nous pouvons mettre à jour cette politique au fil de l'évolution de SkinID. La date de « dernière mise à jour » en haut de page reflétera tout changement. L'utilisation continue de SkinID après une modification vaut acceptation de la politique mise à jour.

Pour toute question relative à la confidentialité : support@skinid.ch

Si vous estimez que vos droits en matière de protection des données n'ont pas été respectés, vous pouvez introduire une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : www.edoeb.admin.ch