Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
GoCertify est un service de vérification d'identité de la gamme SheerID, exploité par SheerID Inc. depuis Portland (Oregon). Les sites e commerce intègrent un formulaire GoCertify pour accorder des remises aux étudiants, militaires, enseignants, premiers intervenants ou personnels de santé. Le flux de vérification collecte nom, date de naissance, adresse email, nom de l'établissement et, si le contrôle automatique échoue, une copie d'une pièce d'identité ou de la carte d'ayant droit, le tout traité aux États Unis.
GoCertify est un service de vérification d''identité de la gamme SheerID, exploité par SheerID Inc. depuis Portland (Oregon). Les marques et distributeurs intègrent un formulaire GoCertify (ou un iframe vers une page de vérification SheerID) sur la page panier ou produit afin d''accorder des remises réservées aux étudiants, enseignants, militaires, premiers intervenants ou personnels de santé. La personne saisit quelques identifiants, téléverse parfois une pièce justificative, et GoCertify renvoie une décision d''éligibilité plus un code de remise à usage unique.
Même lorsque l''intégration est visuellement portée par l''origine marchande, les données aboutissent sur les serveurs SheerID aux États Unis, ce qui qualifie GoCertify de sous traitant tiers au regard du RGPD et de la directive ePrivacy.
Le formulaire de vérification collecte prénom, nom, date de naissance (utilisée pour contrôler les âges des programmes étudiants), adresse email, nom de l''établissement (école, unité, hôpital, académie) et pays. Lorsque la vérification automatique échoue, la personne est invitée à téléverser un document : carte étudiante, carte militaire, badge hospitalier ou NHS, certificat d''enseignement, attestation de premier intervenant. Le document est stocké sur les serveurs SheerID et peut être examiné par un agent humain basé aux États Unis.
GoCertify dépose aussi des cookies propres et tiers (sheerid.com, gocertify.com) pour mesurer la conversion, mémoriser le statut de vérification et limiter les soumissions multiples depuis un même navigateur. Cookies et upload constituent un stockage et un traitement entrant dans le champ des articles 5(3) ePrivacy et 4(1), 9 du RGPD.
Les cookies GoCertify ne sont pas strictement nécessaires au site marchand : l''article 5(3) ePrivacy, les lignes directrices CNIL et le TDDDG allemand imposent donc un consentement préalable. La vérification s''appuie sur l''article 6(1)(b) (mesures précontractuelles pour la remise) mais, dès qu''un document est téléversé, l''article 9 du RGPD s''applique. Une carte étudiante révélant un âge inférieur à 16 ans déclenche l''article 8 sur les enfants, et une carte militaire ou hospitalière peut révéler des catégories particulières comme la santé ou l''appartenance syndicale.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bloquez l''intégration GoCertify par défaut derrière une catégorie Fonctionnel ou Vérification. N''affichez le formulaire que lorsque la personne réclame activement la remise, pour un consentement finalisé. Quand un upload est requis, présentez un consentement explicite dédié (case cochée précisant qu''une pièce d''identité sera traitée et peut révéler des catégories particulières) avant l''apparition du widget d''upload. Journalisez le consentement, mentionnez le transfert vers SheerID aux États Unis et proposez un canal de vérification manuel alternatif aux personnes qui refusent.
Tout le traitement GoCertify a lieu sur l''infrastructure SheerID aux États Unis. Le transfert relève du EU US Data Privacy Framework si SheerID est certifié, sinon des Clauses Contractuelles Types 2021. Une analyse de transfert est obligatoire car le jeu de données inclut des pièces d''identité et potentiellement des catégories particulières ; les mesures supplémentaires doivent inclure chiffrement en transit et au repos, conservation courte des documents, accès par rôles, masquage des champs non nécessaires sur la copie d''ID et un engagement contractuel de SheerID à contester les demandes disproportionnées des autorités.
Inscrivez SheerID et GoCertify dans votre registre des traitements, votre liste de sous traitants et votre registre des cookies. Mettez à jour la politique de confidentialité et la mention en checkout pour nommer SheerID, le transfert aux États Unis, les catégories de données, la durée et les droits. Configurez GoCertify pour supprimer les documents téléversés dès la décision logguée, limitez l''accès admin au tableau de bord, réalisez une AIPD avant lancement et révisez chaque année le rapport sécurité et la certification DPF de SheerID.
Les sites web utilisant GoCertify doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est requise dès que GoCertify est utilisé pour vérifier l'éligibilité à une remise visant étudiants, enseignants, militaires, premiers intervenants ou personnels de santé. Le traitement implique des pièces d'identité, peut concerner des mineurs (étudiants de moins de 16 ans), peut révéler des catégories particulières (appartenance à une profession protégée ou, indirectement, origine ou religion via le nom de l'établissement) et adresse des données à un sous traitant américain. Documentez la base légale des cookies (consentement), de la vérification elle même (consentement ou consentement explicite), les catégories de documents acceptés, la durée de conservation des fichiers téléversés, l'usage d'une décision automatisée et l'analyse de transfert vers SheerID aux États Unis.
Exemple de texte de consentement
Nous utilisons GoCertify, service de vérification d'identité exploité par SheerID Inc. (États Unis), pour confirmer votre éligibilité à cette remise. Avec votre consentement, votre nom, votre date de naissance, votre adresse email, votre établissement et, si nécessaire, la copie d'une pièce justificative seront transmis aux serveurs de SheerID aux États Unis pour examen. Vous pouvez retirer votre consentement à tout moment ; un refus signifie simplement que la remise ne pourra pas être appliquée.
Domaines tiers contactes
gocertify.comservices.sheerid.comsheerid.comoffers.sheerid.comcdn.sheerid.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| sheerid_sid | Persistent | 1 year | Identifies the verification session and links the form submission to the verification result, so the merchant can issue or revoke the gated discount code. |
| sheerid_fp | Persistent | 6 months | Device fingerprint used by GoCertify and SheerID to detect fraudulent multiple submissions from the same browser, used as a fraud signal for the eligibility check. |
| sheerid_verification_status | Persistent | 1 year | Stores the latest verification outcome and the program identifier so a returning visitor can be served the discount code without resubmitting documents. |
| gocertify_session | Session | Browser session | Temporary CSRF and session cookie set on gocertify.com while the verification form is open in the embedded iframe. |
GoCertify utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Le formulaire de vérification collecte prénom, nom, date de naissance (utilisée pour contrôler les âges des programmes étudiants), adresse email, nom de l'établissement ou de l'unité, et pays. Si la vérification automatique échoue, la personne est invitée à téléverser une pièce justificative : carte étudiante, carte militaire, badge hospitalier ou NHS, certificat d'enseignement, carte de premier intervenant. GoCertify dépose aussi des cookies sur sheerid.com et gocertify.com pour suivre la conversion, prévenir les soumissions multiples et mémoriser le statut, et journalise IP et agent utilisateur pour détecter la fraude.
Oui, à deux niveaux. Les cookies et scripts chargés par GoCertify ne sont pas strictement nécessaires au site marchand : l'article 5(3) ePrivacy, les lignes directrices CNIL et le TDDDG allemand exigent un consentement préalable. Quand le parcours demande un upload de document, l'article 9 du RGPD impose un consentement explicite pour le traitement de données pouvant révéler des catégories particulières. Bloquez l'iframe par défaut, n'affichez le formulaire que lorsque la personne réclame activement la remise et conditionnez le widget d'upload à une case de consentement explicite distincte.
Les cookies relèvent de l'article 6(1)(a) (consentement) et de l'article 5(3) ePrivacy. La vérification elle même peut s'appuyer sur l'article 6(1)(b) du RGPD comme mesure précontractuelle pour le contrat remisé. Lorsque qu'un document est téléversé, l'article 9 entre en jeu : dans la plupart des cas, seul l'article 9(2)(a) consentement explicite est mobilisable, car le contexte professionnel 9(2)(b) et l'intérêt public important 9(2)(g) ne s'appliquent pas à une promotion privée. Si le document révèle un mineur de moins de 16 ans, l'article 8 du RGPD ajoute le consentement parental.
Oui. SheerID Inc., qui exploite GoCertify, est basé à Portland (Oregon) et héberge la plateforme sur des régions AWS aux États Unis. Les identifiants et les documents téléversés sont stockés aux États Unis et peuvent être examinés par des agents humains américains. Le transfert repose sur le EU US Data Privacy Framework lorsque SheerID y est certifié, sinon sur les Clauses Contractuelles Types 2021. Une analyse de transfert est obligatoire car le jeu de données comprend des pièces d'identité et potentiellement des catégories particulières.
Oui, une AIPD est fortement recommandée et généralement obligatoire. Le traitement cumule plusieurs critères AIPD du CEPD et des listes à risque élevé CNIL et AEPD : pièces d'identité, catégories particulières potentielles, traitement éventuel de mineurs, prise de décision automatisée (score d'éligibilité) et transfert vers un pays tiers à régime de surveillance. L'AIPD doit décrire le flux vers SheerID, les catégories de documents, le rôle des contrôles automatisés, la revue humaine, la durée de conservation, les mesures supplémentaires Schrems II et les droits offerts.
Bloquez l'iframe GoCertify derrière une catégorie Fonctionnel ou Vérification dans votre CMP. N'affichez le formulaire que lorsque la personne demande explicitement la remise. Présentez une information dédiée nommant SheerID, le transfert vers les États Unis, les catégories de données, la durée et les droits. Conditionnez l'affichage du widget d'upload à une case de consentement explicite distincte. Configurez GoCertify pour supprimer le document dès la décision logguée et ne conserver que le résultat et l'horodatage.
Parmi les options de vérification basées en UE figurent ID Now (Allemagne, hébergement UE), l'instance UE d'Onfido (Irlande), Veriff (Estonie avec résidence UE), Yoti (UK avec option de résidence UE) et ID Wall (Espagne). Pour des cas plus légers, vous pouvez émettre un lot de codes étudiants ou militaires via une association partenaire dans l'EEE, ou contrôler le domaine email contre une liste d'institutions reconnues. Le gain de conformité dépend de la résidence des données, de la liste de sous traitants et de la capacité du fournisseur à traiter une pièce d'identité sur une exemption documentée de l'article 9 ou uniquement sur consentement explicite.
Ajoutez une section qui nomme SheerID Inc. et le produit GoCertify, liste les cookies déposés sur sheerid.com et gocertify.com avec leur finalité et leur durée, et précise que l'embed reste bloqué tant que le consentement n'est pas donné. La politique doit aussi décrire le flux de vérification, les catégories de données et de documents, le mécanisme de transfert (DPF ou CCT et mesures supplémentaires), la durée de conservation des uploads (idéalement le temps strict de loguer la décision), la base légale (art. 6(1)(b) et art. 9(2)(a)) et les droits d'accès, rectification, effacement et retrait.