DPIA · Analyse d'Impact relative à la Protection des Données (AIPD)

Version : 1.0 · Date : 2026-04-22 · Propriétaire : DPO VitaKYC · Approbateurs : CEO + CISO + Compliance Officer.

Conforme à RGPD art. 35 (Analyse d’Impact relative à la Protection des Données, AIPD) + lignes directrices G29 WP248 rev.01 + loi tunisienne n°2004-63 (INPDP).

1. Nécessité d’une DPIA

La plateforme VitaKYC traite des données personnelles sensibles à grande échelle et effectue un profilage automatisé (scoring KYC, AML risk scoring, détection indicia FATCA). L’article 35 GDPR impose une DPIA dans ce cas.

Critères déclencheurs (G29 WP248) applicables :

✅ Évaluation ou scoring (KYC risk score, AML risk score, scoring biométrique).
✅ Décision automatisée avec effet juridique significatif (auto-approval / auto-rejection KYC).
✅ Surveillance systématique (ongoing monitoring AML).
✅ Données sensibles (biométrie, documents d’identité, données fiscales).
✅ Traitement à grande échelle (cible MVP : 100 k+ vérifications/mois/tenant).
✅ Croisement de données (KYC × AML × TCR × listes externes).
✅ Personnes vulnérables (clients potentiellement non avertis de leurs droits).
✅ Utilisation innovante (biométrie faciale, liveness, NLP adverse media).
✅ Empêche l’exercice d’un droit (blocage compte sur hit sanctions).

Décision : DPIA obligatoire, à maintenir vivante et réviser à chaque évolution majeure.

2. Description des traitements

2.1 Finalités

Finalité	Base légale (art. 6)	Base additionnelle (art. 9)
Conformité LCB-FT — KYC, AML screening, monitoring	Obligation légale (art. 6.1.c) — loi 2015-26 TN, directives UE, FATF	Art. 9.2.g (intérêt public substantiel) pour données biométriques
Obligations fiscales FATCA/CRS	Obligation légale (art. 6.1.c) — IGA TN-US, CRS OECD	—
Prévention de la fraude	Intérêt légitime (art. 6.1.f)	—
Exécution du contrat (onboarding compte)	Exécution contrat (art. 6.1.b)	—
Amélioration produit (analytics anonymisés)	Intérêt légitime (art. 6.1.f)	Anonymisation effective obligatoire

2.2 Catégories de données traitées

Catégorie	Exemples	Classification
Identifiantes	Nom, prénom, DOB, national_id, TIN	P2
Documents d’identité	Passeport, CNI, permis (images)	P3
Biométriques (art. 9 GDPR)	Selfie, liveness, face match, (roadmap : voix)	P3
Financières	Comptes, IBAN, capital entreprise	P2
Fiscales	TIN, résidence fiscale, indicia US	P3
Réputationnelles	Hits sanctions / PEP / adverse media	P3
Comportementales	Logs de connexion, IP, user-agent, parcours onboarding	P2
Professionnelles	Profession, fonction (dirigeants), UBO	P2

2.3 Catégories de personnes concernées

Clients finaux des IF tenants (individus KYC, dirigeants entreprise).
Bénéficiaires effectifs (BE / UBO).
Représentants légaux des entreprises clientes.
Agents back-office des IF tenants (utilisateurs VitaKYC).

2.4 Flux de données (data flow)

2.5 Durée de conservation

Donnée	Durée	Base
Dossier KYC + pièces (pseudonymisation après 5 ans, effacement complet à 10 ans)	10 ans après clôture relation	Art. 17 bis CDPF (TN) + AMLD UE (5-10 ans)
Alertes AML + STR	10 ans	LCB-FT
Déclarations FATCA / CRS	10 ans	IRS Pub 5124 + loi TN
Logs d’audit (WORM)	10 ans	LCB-FT + ISO 27001
Logs applicatifs opérationnels	2 ans	Sécurité + diagnostic
Données anonymisées analytics	Illimitée (post-anonymisation effective)	Intérêt légitime
Sauvegardes	90 jours incrémental + 1 an full archivé	RPO/RTO

3. Mesures techniques de protection

3.1 Privacy by design

Minimisation : chaque champ est-il nécessaire pour la finalité déclarée ? Question posée à chaque revue de Form Designer.
Pseudonymisation dès que possible (identifiants hachés pour analytics).
Chiffrement AES-256 at-rest + TLS 1.3 in-transit systématique sur toutes données P2/P3.
Chiffrement par tenant (envelope encryption) — un compromis d’un tenant n’expose pas les autres.
Rétention configurable par type de donnée et par juridiction.
Anonymisation automatique à l’échéance (tokenisation irréversible des PII hors obligations de conservation).

3.2 Contrôle d’accès

RBAC + ABAC avec least privilege strict.
MFA obligatoire pour tout accès P2+.
Audit WORM immuable (hash chain SHA-256 + Ed25519) de chaque accès à une donnée personnelle.
Séparation des environnements (dev / staging / prod) avec comptes distincts.

3.3 Sécurité en profondeur

Conformément à la Politique de Sécurité de l’Information : Zero Trust, mTLS, WAF, ISO 27001, SOC 2 (cible V1).

3.4 Données biométriques (art. 9)

Traitement de données biométriques à des fins d’identifier une personne physique = donnée sensible nécessitant une base spéciale.

Base légale : art. 9.2.g GDPR (intérêt public substantiel) + obligation LCB-FT.
Biométrie des selfies : non conservée sous forme d’embedding réutilisable — seule la décision liveness + face match (score, timestamp) est persistée, l’image est chiffrée et purgée selon la rétention du dossier.
Mesure additionnelle : iBeta ISO/IEC 30107-3 niveau 2 visée pour garantir la qualité de la détection.

4. Mesures organisationnelles

Registre des traitements (art. 30 GDPR) maintenu par DPO, un enregistrement par finalité.
Clauses contractuelles DPA avec chaque tenant (VitaKYC = sous-traitant au sens GDPR art. 28) + sous-traitants ultérieurs.
Formation obligatoire annuelle pour tous les employés.
Simulations phishing trimestrielles.
Comité sécurité + privacy trimestriel.

5. Droits des personnes concernées

Tous les droits GDPR (art. 12-22) sont implémentables via le Form Designer + API privacy-svc.

Droit	Implémentation VitaKYC
Accès (art. 15)	API `POST /v1/privacy/dsar` avec action `export` → ZIP chiffré en moins de 30 jours
Rectification (art. 16)	API `PATCH /v1/privacy/subject/:id` + workflow agent
Effacement (art. 17)	API `POST /v1/privacy/dsar` avec action `erase` — pseudonymisation si obligation de conservation LCB-FT encore active
Limitation (art. 18)	Flag `processing_restricted=true` sur subject — les traitements non-essentiels s’arrêtent
Portabilité (art. 20)	Export JSON structuré des données fournies par la personne
Opposition (art. 21)	Flag `opposed=true` + arrêt des traitements sur intérêt légitime
Décision automatisée (art. 22)	Revue humaine disponible sur demande — back-office ouvre un dossier de revue

Délai de réponse : 30 jours maximum, prolongeable de 2 mois pour demandes complexes (justifié).

Point de contact DPO : dpo@vitakyc.io.

6. Transferts hors UE

Destination	Cadre	Mesures
Tunisie (RNE, BCT, DGI)	Pays tiers hors UE — pas de décision d’adéquation	Clauses contractuelles types (SCC) + mesures techniques (chiffrement E2E, minimisation) + respect loi TN 2004-63
USA IRS (via DGI pour FATCA)	IGA Model 1 : transmission indirecte	Assurée par la DGI tunisienne, hors périmètre VitaKYC
USA sous-traitants (ex. DocuSign)	Data Privacy Framework (DPF)	Vérification de l’inscription au DPF + SCC en subsidiaire
UAE / Égypte / Maroc (clients)	Hébergement tenant local	Pas de transfert EU → hors UE
Providers data AML (ComplyAdvantage UK, Dow Jones US)	SCC + DPA	Revue annuelle

7. Évaluation des risques

7.1 Matrice risques-impacts

Risque	Probabilité	Impact	Niveau résiduel	Mesures
Fuite données P2 via vulnérabilité web	Basse	Élevé	Acceptable	Pen-tests, WAF, secure SDLC, bug bounty
Accès non autorisé cross-tenant	Basse	Critique	Acceptable	RLS PostgreSQL + clé par tenant + tests automatisés multi-tenant
Compromission fournisseur AML (data leak)	Basse	Moyen	Acceptable	Chiffrement au repos chez le tiers, SCC, DPA, alternatives sourcées
Attaque biométrique masse (spoofing coordonné)	Moyenne	Moyen	Acceptable	Runbook RB-009, liveness niveau 2 → niveau 3 en V2
Destruction accidentelle données	Basse	Moyen	Acceptable	Backups chiffrés cross-région + Object Lock
Insider threat	Basse	Élevé	Acceptable	Logs WORM + séparation fonctions + break-glass tracé
Non-conformité réglementaire découverte par BCT/AMF	Basse	Élevé	Acceptable	Audit annuel + ISO 27001 + mapping conformité
Profilage abusif (art. 22)	Moyenne	Moyen	Acceptable	Revue humaine obligatoire + transparence algorithmique + droit d’opposition

7.2 Risques spécifiques VitaKYC

Faux positifs discriminatoires (biais algorithmique sur noms arabes) → datasets d’entraînement équilibrés, audits fairness trimestriels, publication des métriques FAR/FRR par population.
Erreur STR ouvrant une procédure contre un client non suspect → revue humaine obligatoire + archivage de la motivation.
Blocage erroné compte sur hit sanctions (homonymie) → seuils calibrés + procédure de dégel documentée.

8. Consultation DPO et personnes concernées

8.1 Consultation DPO

DPO consulté lors de la rédaction de cette DPIA. Avis : DPIA acceptable en l’état, sous réserve de mise à jour lors de toute évolution majeure et de révision annuelle.

8.2 Consultation des personnes concernées

Pas de consultation directe au stade MVP (difficulté opérationnelle). En revanche :

Mention d’information claire (art. 13-14) dans le parcours KYC (Form Designer → consentement + lien politique confidentialité).
Consultation sectorielle via des focus groupes prévus en V1 avec des échantillons représentatifs (banque retail TN).

9. Revue et mise à jour

Cette DPIA sera révisée :

Annuellement minimum (prochaine revue : 2027-04-22).
À toute évolution fonctionnelle majeure (ex : activation du module VideoKYC, biométrie vocale, nouveau pays).
À tout incident de sécurité avec impact personnes concernées.
À toute évolution réglementaire majeure (AMLA UE, AI Act, nouvelle loi TN).

Consultation autorité : si la DPIA conclut à un risque résiduel élevé malgré les mesures, consultation préalable à la CNIL ou INPDP (art. 36 GDPR).

10. Conclusion du DPO

Le DPO atteste que :

Les finalités, bases légales et données traitées sont proportionnées et nécessaires.
Les mesures techniques et organisationnelles sont adéquates au niveau de risque identifié.
Les droits des personnes concernées sont effectivement implémentables.
La plateforme peut être mise en production sous condition de maintenir les contrôles décrits et de respecter le plan de révision.

DPIA validée par DPO + CISO · Approbation CEO nécessaire avant mise en production.