1 – Objet
La société First-id a développé une solution permettant aux éditeurs de site web et d’applications mobiles d’avoir un référentiel unique pour chacun de leurs visiteurs, à des fins d’amélioration de l’expérience de navigation, via la personnalisation des contenus et des publicités qui vous sont affichées.
Lors de la navigation sur les sites et applications reliés à First-id, sous réserve du consentement explicite de l’internaute, First-id peut attribuer un identifiant unique généré aléatoirement et stocké dans un cookie associé au domaine de First-id. Cet identifiant est ensuite transmis aux éditeurs qui pourront l’utiliser dans leurs plateformes afin d’aider les annonceurs à mieux cibler.
Qu’est-ce qu’un “cookie” ?
Un “cookie” est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y re-connecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc.
2 – Traitement de création et transmission d’un identifiant unique
a) En quoi consiste ce traitement ?
Au moment où un visiteur vient pour la première fois sur un site relié à First-id, et une fois qu’il a consenti explicitement, son navigateur est redirigé vers le portail de First-id qui va déterminer s’il a déjà un numéro d’identification ou si il faut lui en créer un.
Le numéro va alors être transmis à l’éditeur du site consulté, qui va généralement le stocker dans un cookie et l’utiliser pour ses propres besoins de suivi de la navigation des internautes.
Cette redirection est de l’ordre de quelques millisecondes, et donc invisible pour le visiteur. Ce traitement réalisé sous la responsabilité de traitement de la société First-id a pour finalité la création et la transmission, à des éditeurs de site et d’application, d’un identifiant unique permettant de suivre votre navigation.
b) A quoi ressemble l’identifiant First-id ?
Les principales caractéristiques de l’identifiant généré par First-id sont les suivantes :
• 32 caractères randomisés, sans caractères spéciaux
• Absence de partage d’information sur l’utilisateur entre les Clients
• Anonymisation des informations collectées par les intermédiaires techniques
Exemple d’un identifiant unique First-id : aevyknye48g9rx5328jr29839655w5pg
c) Quelles sont les données personnelles traitées par First-id ?
First-id traite les catégories de données suivantes :
Au moment de la création de l’identifiant, First-id pourra tenir compte de certaines informations pour déterminer l’identité de l’internaute, si celles-ci sont envoyées par le Client :
• Adresse IP (V4 et V6) et domaine de l’éditeur depuis du site sur lequel cette information a été collectée,
• User Agent et empreintes techniques relatives au terminal utilisé comme mémoire vive, nombre de processeurs du terminal de l’utilisateur et résolution de l’écran,
• Adresses Emails hashées (uniquement si l’optin email à leur utilisation publicitaire a été obtenue) et éditeur source du mail,
• Horodatage,
• URL complète de la page depuis laquelle les données ont été collectées
• Cookies first-party,
• Mobile ID (MAID).
d) Quelles sont les données conservées par First-id ?
First-id conserve uniquement des logs techniques permettant de vérifier le bon fonctionnement de sa solution technique. Ces logs peuvent contenir :
• Adresse IP (V4 et V6) et domaine de l’éditeur depuis du site sur lequel cette information a été collectée,
• User Agent et empreintes techniques relatives au terminal utilisé comme mémoire vive, nombre de processeurs du terminal de l’utilisateur et résolution de l’écran,
• Adresses Emails hashées (uniquement si l’optin email à leur utilisation publicitaire a été obtenue) et éditeur source du mail,
• Horodatage,
• URL complète de la page depuis laquelle les données ont été collectées
• Cookies first-party,
• Mobile ID (MAID).
e) Quelles sont les durées de conservation ?
L’écosystème de la publicité en ligne et du web Analytics conserve généralement les données de navigation et les identifiants associés aux Internautes pendant une durée minimale de 13 mois. Cette durée permet par exemple dans le cas du web Analytics de disposer de statistiques couvrant une année entière + un mois afin de pouvoir estimer des tendances sur plus d’un an.
Cette durée de conservation est appliquée à l’identification de l’internaute par First-id.
La durée de conservation de chaque identifiant sur chacun des sites dépend de la durée indiquée par chacun des sites.
f) Quelle est la base légale utilisée par First-id ?
Les traitements réalisés par First-id se fondent sur le consentement de l’internaute, obtenu sur le site ou l’application de l’éditeur utilisateur de la solution First-id. Chaque site devra demander un consentement, celui-ci n’est pas global.
Dans le cas où la CMP du site se base sur le TCF, alors l’information du consentement sera contenue dans la TC String qui aura été collectée par First-id.
g) Quelles sont les finalités déclarées au TCF par First-id :
• Purpose 1 : Store and/or access information on a device
• Purpose 2 : Use limited data to select advertising
• Purpose 3 : Create profiles for personalized advertising
• Purpose 4 : Use profiles to select personalized advertising
• Purpose 7 : Mesure advertising performance
• Feature 1 : Match and combine data from other data sources
• Feature 2 : Link different devices
• Feature 3 : Identify devices based on information transmitted automatically
• Special feature 2 : Actively scan device characteristics for identification
Les catégories de données déclarées au TCF sont :
• IP addresses
• Device characteristics
• Device identifiers
• Probabilistic identifiers
• User-provided data
• Non-precise location data
• Privacy choices
h) Quels sont les cas d’usage associés à First-id ?
Cet identifiant est utilisable par les principales plateformes digitales afin de permettre de nombreux cas d’usages, les finalités effectives d’usage de l’identifiant first-id sont donc intégralement à la main de l’éditeur qui reste le seul décisionnaire. Les finalités pour lesquelles l’identifiant first-id a été conçu sont les suivantes :
• Activation publicitaire.
• Retargeting quand une marque veut communiquer auprès de ses prospects, ou exclusion quant au contraire une marque ne veut pas cibler les internautes déjà clients.
• Mesure d’audience publicitaire afin de savoir si l’on a déjà communiqué à cet Internaute ou pour attribuer le bénéfice d’une vente à une campagne publicitaire.
• Echange de données à des fins publicitaire entre différents partenaires,
• Amélioration de l’expérience utilisateur,
• Déduplication de l’audience des sites d’un groupe dans ses outils analytics.
i) A qui nous les partageons ?
Nous partageons des informations avec nos sous-traitants afin de pouvoir identifier correctement les internautes ayant consenti. La liste des sous-traitants est en paragraphe 3.
Nous partageons également des informations à nos clients, généralement des éditeurs de sites ou d’applications, ou des annonceurs publicitaires, afin qu’ils puissent vous proposer des expériences personnalisées.
j) Quels sont les droits des Internautes?
Conformément au RGPD les internautes disposent de droits :
- d’accès – Quelles données personnelles nous détenons à leur sujet, comment ont elles été traitées, ainsi que d’en demander une copie,
- de rectification – S’ils souhaitent que nous corrigions leurs données personnelles que nous détenons,
- d’effacement – S’ils souhaitent que nous supprimions leurs données personnelles que nous détenons,
- de portabilité – Afin de leur fournir une copie de leurs données personnelles que nous détenons,
- et de limitation – Limiter l’usage de leurs données personnelles que nous détenons,
en contactant le DPO de First-id aux coordonnées indiquées plus bas.
Ils pourront également retirer son consentement à tout moment de façon définitive à l’usage de cookies par First-id en se rendant sur la page https://whatismy.first-id.fr/ qui permet de gérer ses préférences vis à vis de First-id et qui permet notamment de désactiver le service de façon définitive.
S’ils ne donnent pas leur consentement à First-id lors de leur arrivée sur un site, ils ne seront pas redirigés vers le portail de First-id et aucun cookie ne sera lu ou écrit par First-id.
En cas de non-respect de ses droits par la société First-id, ils disposent du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).
3 – Exploitation de l’intégration Flex
First-id a créé l’intégration Flex, qui permet à une société partenaire de générer et d’utiliser des First-id pour ses propres clients éditeurs et annonceurs.
Cette intégration repose uniquement sur un SDK appelé sur un site(le Helper) ou sur une API pour les applications. L’identification de l’Internaute s’appuie alors sur la lecture de différents signaux pour vérifier s’ils sont associés à un identifiant déjà généré mais sans appel au Portail de First-id. Ces signaux sont listés dans le point 2c.
Cette intégration nécessite toujours la collecte du consentement de l’internaute et dans le cas d’une CMP TCF, les finalités demandées sont listées dans le point 2g.
Le Helper First-id ne s’exécute que si l’utilisateur a donné son consentement à First-id via la CMP. La plateforme technique de First-id est également en mesure de s’interfacer avec des CMPs non TCF afin de vérifier que First-id bénéficie bien du consentement de l’Internaute.
Dans le cadre d’un partenariat, la société partenaire pourra utiliser les First-id afin de faire mieux fonctionner ses propres plateformes, après en avoir obtenu l’accord de la part de ses propres clients éditeurs et annonceurs.
4 – Communications marketing
Dans le cadre d’un partenariat, First-id et la société partenaire pourront communiquer sur l’existence et l’objet de leur contrat mutuel. Par ailleurs, chaque partie pourra utiliser le nom et la marque de l’autre partie comme référence commerciale dans la promotion de ses activités.
5 – Transferts internationaux de données
First-id a recours aux sous-traitants suivants :
• Amazon Web Services, pour l’hébergement des données (AWS).
• Akamai, par l’intermédiaire d’Orange Business, pour la gestion du réseau de fourniture de contenu (CDN).
• Google, pour la gestion de la bureautique des salariés de First-id (Google Workspace).
Les trois sous-traitants de First-id sont susceptibles de réaliser des transferts hors de l’Union Européenne. First-id a signé des clauses contractuelles types de la Commission Européenne avec ces trois sociétés, qui sont par ailleurs adhérentes au Data Privacy Framework.
6 – Sécurité
Dans le cadre de ses services, First-id s’engage à prendre toutes les mesures d’ordre technique et organisationnel nécessaire pour assurer la sécurité, la confidentialité, l’intégrité, l’étanchéité, la disponibilité des données et la résilience des systèmes permettant d’y accéder.
First-id met en œuvre des mesures contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, ainsi que toute autre forme de traitement illicite.
First-id s’assure du maintien du niveau de sécurité des données conforme à l’état de l’art. A ce titre, First-id procède à des évaluations régulières du niveau de sécurité de son traitement et de celui de ses partenaires. En cas de modifications des mesures de sécurité, celles-ci ne devront en aucun cas avoir pour effet d’affaiblir le niveau de sécurité.
First-id vérifie régulièrement ses pratiques de collecte, de stockage et de traitement des informations, incluant les mesures de sécurité physique, afin de se protéger contre tout accès non autorisé aux systèmes.
First-id limite l’accès aux informations aux employés, sous-traitants et agents qui ont besoin des informations pour les traiter pour First-id, et qui sont soumis à des obligations contractuelles strictes de confidentialité.
7 – Coordonnées du DPO
Si vous avez des questions ou des suggestions concernant cette politique et nos pratiques de confidentialité, vous pouvez contacter le DPO de First-id :
- par email : dpo@first-id.fr
- par courrier :
First-id
5, avenue jean monnet
92130 Issy les Moulineaux
(Mise à jour : 07/01/2025)