Données personnelles – Lutte contre la fraude

Les informations en rapport avec votre opération font l’objet d’un traitement automatisé de données par Oneytrust, responsable de traitement, dans le but de renforcer le niveau de sécurité des opérations réalisées sur le site internet du partenaire et de protéger ce dernier et ses clients contre d’éventuels phénomènes d’usurpation d’identité ou de tentative de fraude.

 

OBJET DU TRAITEMENT DE DONNÉES

 

Finalités

Le traitement a pour objet la lutte contre la fraude à l’identité et au paiement le cas échéant, sur les opérations réalisées à distance via le réseau internet.
Il permet à Oneytrust :

  • d’analyser les données de l’interaction;
  • en fonction de règles préétablies, d’affecter une évaluation (score) à chaque opération réalisée sur les plateformes partenaires ;
  • de déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs interactions sur la base d’identités différentes ;
  • de délivrer un premier niveau de confiance pendant la navigation sur le(s) site(s) du partenaire, afin d’orienter la suite du parcours du client final en conséquence ;
  • de comparer les informations de l’interaction analysée aux informations présentes dans les interactions effectuées auprès des différents partenaires de Oneytrust et de détecter ainsi les éventuelles incohérences ;
  • une fois l’interaction validée par le client et transmise pour analyse, de communiquer au partenaire, un indice de confiance de l’interaction sous la forme d’une note comprise entre zéro (0) et cent (100) selon le niveau de risque ainsi évaluée ;
  • de détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et d’inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée ;
  • de fournir des informations complémentaires en vue de qualifier certaines données de l’interaction (adresse électronique, téléphone, adresse postale, adresse IP) ;
  • en fonction de règles préétablies, de diminuer les revues manuelles en validant automatiquement les interactions qui n’ont pas pu être validées par un dispositif d’analyse automatique (score automatique) ;
  • de gérer les demandes des personnes concernées.

Une déclaration irrégulière ou une anomalie pourra faire l’objet d’un traitement spécifique.

 

Base légale

Article 6 (1) f du règlement général sur la protection des données.

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Oneytrust ; à savoir la lutte contre la fraude à l’identité et au paiement le cas échéant, lors des interactions à distance réalisées via le réseau internet.

 

DONNÉES TRAITÉES

 

Catégories de données traitées

  • Données d’identification, coordonnées de facturation et de livraison, numéro de téléphone, adresse électronique, adresse IP, 6 premiers chiffres de la carte bancaire le cas échéant ; les données du relevé d’identité bancaire (RIB) sous forme hachées en cas de règlement par virement ou prélèvement ;
  • Données relatives aux justificatifs d’identité, bancaire le cas échéant et de domicile dans le cadre des vérifications complémentaires ;
  • Données relatives à l’interaction;
  • Les sous-éléments techniques de validation des données d’identification par corrélation (validité, identité associée, fournisseur, opérateur…)
  • Donnée d’identification électronique (adresse IP), empreinte calculée à partir des données techniques collectées et données techniques du terminal utilisé (système d’exploitation, langue, CPU, résolution, type de navigateur et version…).

 

Source des données

Les informations sont recueillies auprès du client par l’intermédiaire du partenaire mais également auprès des prestataires de services de Oneytrust pour les données enrichies.

 

Caractère obligatoire du recueil des données

La non-transmission des données en rapport avec votre opération empêche la réalisation et l’analyse de votre interaction.

 

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée. En revanche, le traitement est susceptible d’exclure, même temporairement, des coordonnées d’une personne du bénéfice d’un contrat. Pour autant, aucune décision de refus n’est prise sur la base d’un traitement automatisé. Avant toute décision de refus, des vérifications complémentaires seront effectuées auprès de la personne concernée pour lui permettre de faire valoir ses observations et de faire réexaminer sa situation. En tout état de cause, la personne concernée a le droit de demander une intervention humaine, d’exprimer son point de vue et de contester la décision.

 

 

PERSONNES CONCERNÉES

Le traitement de données concerne :

  • les personnes physiques et morales qui réalisent des opérations sur les sites des partenaires de Oneytrust ;
  • le personnel autorisé de Oneytrust en charge de la mise en œuvre du traitement.

 

 

DESTINATAIRES DES DONNÉES

 

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

  • le partenaire de Oneytrust auprès de qui le client a réalisé l’opération ;
  • le personnel autorisé de Oneytrust ;
  • les sous-traitants et prestataires de services de Oneytrust pour l’hébergement et la fourniture de données enrichies.

 

Transferts de données hors UE

En conformité avec la réglementation applicable en matière de protection des données à caractère personnel, nous pouvons être amenés à transmettre des données à caractère personnel à des destinataires établis dans des pays non-membres de l’Union Européenne. Nous nous assurons, conformément à la règlementation applicable, que le transfert intervienne vers des pays dont la législation a été reconnue comme conférant un niveau de protection adéquat par la Commission européenne ou, à défaut, est encadré par les clauses contractuelles types de la Commission Européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes et du respect des standards techniques utilisés.

Oneytrust est amené à transférer vos données personnelles aux sous-traitants situés aux Etats-Unis pour nous permettre de founir nos services.

Afin d’assurer la protection des données, une convention spécifique déterminant les conditions dans lesquelles les sous-traitants peuvent accéder aux données personnelles a été conclue. Cette convention reprend les clauses contractuelles types émises par la Commission Européenne et qui apportent les garanties suffisantes au transfert de données personnelles vers des sous-traitants établis hors de l’Union Européenne, telles que ces clauses sont disponibles sur le site de la CNIL : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne/.

 

 

DURÉE DE CONSERVATION DES DONNÉES

Les données seront conservées pendant une durée de 15 mois. Les données relatives aux interactions pour lesquelles des fraudes avérées ont été détectées font l’objet d’une inscription au sein d’un fichier d’incidents pendant une durée de 3 ans ou jusqu’à la régularisation de l’incident de paiement si celle-ci intervient avant l’expiration du délai de 3 ans.

 

 

VOS DROITS SUR LES DONNÉES VOUS CONCERNANT

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données et du droit de formuler des directives post-mortem spécifiques et générales concernant la conservation, l’effacement et la communication de vos données.

 

Exercer ses droits

Le délégué à la protection des données (DPO) de Oneytrust est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.

  • Contacter le DPO par voie électronique en écrivant à dpo[at]oneytrust.com*
    *(remplacer [at] par @ lors de l’envoi)
  •  Contacter le DPO par courrier postal
    Le délégué à la protection des données
    Oneytrust
    34 avenue de Flandre
    59170 Croix
    FRANCE

 

Réclamation

Vous pouvez adresser toute réclamation relative au traitement de vos demandes par Oneytrust en écrivant au DPO. Celui-ci fournira ses meilleurs efforts pour répondre à toute réclamation et tenter de résoudre le différend.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à votre autorité locale de protection des données personnelles ou à l’autorité de protection des données personnelles de Oneytrust, à savoir la CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.