Politique de protection des données personnelles Oneytrust

La présente politique de protection des données à caractère personnel (ci-après la « Politique ») décrit les engagements pris par Oneytrust afin de veiller au respect de vos données personnelles. A travers cette Politique, Oneytrust souhaite également vous informer de la manière dont vos données personnelles sont collectées et traitées.
Le respect de votre vie privée ainsi que de vos libertés et droits fondamentaux est primordial pour Oneytrust. Nous nous engageons à ne pas céder vos données personnelles à des sociétés tierces à des fins commerciales. Elles ne seront pas non plus communiquées à des tiers sans votre accord, en dehors du cadre de nos obligations réglementaires et contractuelles nécessaires à la fourniture de nos services auprès de nos Partenaires.
Les « données à caractère personnel » ou « données personnelles » sont définies à l’article 4 du Règlement Général sur la Protection des Données comme toute information susceptible de permettre l’identification d’une personne physique de manière directe ou indirecte. Le terme « Partenaire » utilisé dans la présente Politique fait référence au souscripteur d’un ou plusieurs services commercialisés par Oneytrust.
Oneytrust affirme son attachement au respect des lois et règlements applicables en matière de protection des données personnelles et s’engage à préserver leur sécurité, leur confidentialité et leur intégrité.

 

I. Champ d’application

La présente Politique sur la protection des données à caractère personnel s’applique aux sites web édités par Oneytrust ainsi qu’aux services développés et commercialisés par Oneytrust.
L’utilisation d’un site web édité par Oneytrust, la souscription ou l’utilisation de services développés et commercialisés par Oneytrust ou ses Partenaires suppose votre acceptation des termes de la présente Politique sur la protection des données personnelles.

 

II. Traitements mis en œuvre par Oneytrust en qualité de responsable de traitement

 

A. Le service de lutte contre la fraude

Lors de la réalisation d’une opération (souscription de service, achat en ligne) sur le site web d’un Partenaire de Oneytrust, les informations en rapport avec votre opération font l’objet d’un traitement automatisé de données par Oneytrust dans le but de renforcer le niveau de sécurité des opérations réalisées sur le site internet du Partenaire et de protéger ce dernier et ses clients contre d’éventuels phénomènes d’usurpation d’identité ou de tentative de fraude.

 

Objet du traitement de données

Finalités

Le traitement a pour objet la lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet.

Il permet à Oneytrust :

• d’analyser les données de la transaction ;
• en fonction de règles préétablies, d’affecter une évaluation (score) à chaque opération réalisée sur les plateformes partenaires ;
• de déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du Partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes ;
• de délivrer un premier niveau de confiance pendant la navigation sur le(s) site(s) du Partenaire, afin d’orienter la suite du parcours du client final en conséquence ;
• de comparer les informations de la transaction analysée aux informations présentes dans les transactions effectuées auprès des différents Partenaires de Oneytrust et de détecter ainsi les éventuelles incohérences ;
• une fois la transaction validée par le client et transmise pour analyse, de communiquer au Partenaire, un indice de confiance de la transaction sous la forme d’une note comprise entre zéro (0) et cent (100) selon le niveau de risque ainsi évaluée ;
• de détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et d’inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée ;
• de fournir des informations complémentaires en vue de qualifier certaines données de la transaction (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) ;
• en fonction de règles préétablies, de diminuer les revues manuelles en validant automatiquement les transactions qui n’ont pas pu être validées par un dispositif d’analyse automatique (score automatique) ;
• de gérer les demandes des personnes concernées.

La survenance d’un impayé au motif d’une utilisation frauduleuse d’un moyen de paiement pourra entraîner l’inscription des données en rapport avec la transaction associée à cet impayé au sein d’un fichier d’incidents de paiement mis en œuvre par Oneytrust. Une déclaration irrégulière ou une anomalie pourra également faire l’objet d’un traitement spécifique.

Base légale

La base légale du traitement est l’article 6 (1) f du règlement général sur la protection des données. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Oneytrust ; à savoir la lutte contre la fraude à l’identité et au paiement lors des transactions à distance réalisées via le réseau internet.

 

Données traitées

Les catégories de données traitées sont :

• Les données d’identification, coordonnées de facturation et de livraison, numéro de téléphone, adresse électronique, adresse IP, 6 premiers chiffres de la carte bancaire ; les données du relevé d’identité bancaire (RIB) sous forme hachées en cas de règlement par virement ou prélèvement ;
• Les données relatives aux justificatifs d’identité, bancaire et de domicile dans le cadre des vérifications complémentaires ;
• Les données relatives à la transaction ;
• Les sous-éléments techniques de validation des données d’identification par corrélation (validité, identité associée, fournisseur, opérateur…) ;
• La donnée d’identification électronique (adresse IP), empreinte calculée à partir des données techniques collectées et données techniques du terminal utilisé (système d’exploitation, langue, CPU, résolution, type de navigateur et version…).

Source des données

Les informations sont recueillies auprès du client par l’intermédiaire du Partenaire mais également auprès des prestataires de services de Oneytrust pour les données enrichies.

Caractère obligatoire du recueil des données

La non-transmission des données en rapport avec votre opération empêche la réalisation et l’analyse de votre transaction.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée. En revanche, le traitement est susceptible d’exclure, même temporairement, des coordonnées d’une personne du bénéfice d’un contrat. Pour autant, aucune décision de refus n’est prise sur la base d’un traitement automatisé. Avant toute décision de refus, des vérifications complémentaires seront effectuées auprès de la personne concernée pour lui permettre de faire valoir ses observations et de faire réexaminer sa situation. En tout état de cause, la personne concernée a le droit de demander une intervention humaine, d’exprimer son point de vue et de contester la décision.

 

Personnes concernées

Le traitement de données concerne :

• les personnes physiques et morales qui réalisent des opérations sur les sites des Partenaires d’Oneytrust ;
• le personnel autorisé de Oneytrust en charge de la mise en œuvre du traitement.

 

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• le Partenaire de Oneytrust auprès de qui le client a réalisé l’opération ;
• le personnel autorisé de Oneytrust ;
• les sous-traitants et prestataires de services de Oneytrust pour l’hébergement et la fourniture de données enrichies.

Transferts de données hors UE

En conformité avec la réglementation applicable en matière de protection des données à caractère personnel, nous pouvons être amenés à transmettre des données à caractère personnel à des destinataires établis dans des pays non-membres de l’Union Européenne. Nous nous assurons, conformément à la règlementation applicable, que le transfert intervienne vers des pays dont la législation a été reconnue comme conférant un niveau de protection adéquat par la Commission européenne ou, à défaut, est encadré par les clauses contractuelles types de la Commission Européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes et du respect des standards techniques utilisés.

Afin d’assurer que les données une fois transférées, bénéficient d’un niveau de protection adéquat, nous sélectionnons les prestations apportant toutes les garanties appropriées (adhésion au dispositif Privacy Shield, Signature des clauses contractuelles types de la Commission Européenne). C’est notamment le cas en ce qui concerne les données transmises à nos prestataires situés aux Etats-Unis pour nous permettre de fournir nos services.

Sur simple demande, nous pouvons vous fournir la liste des destinataires établis dans les pays tiers et une copie des conditions particulières convenues afin de garantir un niveau approprié de protection des données. Si vous souhaitez en faire la demande, nous vous invitons à écrire au DPO de Oneytrust dont les coordonnées figurent ci-après.

 

Durée de conservation des données

Les données seront conservées pendant une durée de 15 mois. Les données relatives aux transactions pour lesquelles des fraudes avérées ont été détectées font l’objet d’une inscription au sein d’un fichier d’incidents pendant une durée de 3 ans ou jusqu’à la régularisation de l’incident de paiement si celle-ci intervient avant l’expiration du délai de 3 ans.

 

B. La détermination d’un identifiant de votre terminal dans le cadre du service de lutte contre la fraude

En cas de souscription de cette fonctionnalité par le Partenaire, Oneytrust pourra accéder à des informations stockées dans l’équipement terminal de communication électronique que vous utilisez afin de déterminer l’identifiant machine de ce terminal et de vérifier que ce même terminal n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes. Cet identifiant machine fait l’objet d’un traitement automatisé de données par Oneytrust dans le but de renforcer le niveau de sécurité des opérations réalisées sur le site internet et de protéger le Partenaire et ses clients contre d’éventuels phénomènes d’usurpation d’identité ou de tentative de fraude.

 

Objet du traitement de données

Finalités

Le traitement a pour objet la lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet.
Il permet à Oneytrust de déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le site du Partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes.

Base légale

La base légale du traitement est l’article 6 (1) f du règlement général sur la protection des données. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Oneytrust ; à savoir la lutte contre la fraude à l’identité et au paiement lors des transactions à distance réalisées via le réseau internet.

 

Données traitées

Les catégories de données traitées sont :

• La donnée d’identification électronique (adresse IP), l’empreinte calculée à partir des données techniques collectées et données techniques du terminal utilisé (système d’exploitation, langue, CPU, résolution, type de navigateur et version…).

Source des données

Ces informations sont recueillies auprès du client par l’intermédiaire du Partenaire.

Caractère obligatoire du recueil des données

Le client a la possibilité de s’opposer à la collecte des données permettant de calculer l’identifiant machine de son terminal et de continuer sa navigation. Les données du terminal ne sont pas collectées en cas d’opposition du client et ceci est sans incidence sur la navigation et sur la finalisation de l’opération envisagée.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée. En revanche, le traitement est susceptible d’exclure, même temporairement, des données d’une personne du bénéfice d’un contrat. Pour autant, aucune décision de refus n’est prise sur la base d’un traitement automatisé. Avant toute décision de refus, des vérifications complémentaires seront effectuées auprès de la personne concernée pour lui permettre de faire valoir ses observations et de faire réexaminer sa situation. En tout état de cause, la personne concernée a le droit de demander une intervention humaine, d’exprimer son point de vue et de contester la décision.

 

Personnes concernées

Le traitement de données concerne les personnes physiques et morales qui réalisent des opérations sur le site du Partenaire de Oneytrust.

 

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
• le Partenaire de Oneytrust auprès de qui le client a réalisé l’opération ;
• le personnel autorisé de Oneytrust ;
• les sous-traitants et prestataires de services de Oneytrust pour l’hébergement et la fourniture de prestations techniques spécifiques.

Transferts de données hors UE

Aucun transfert de données hors de l’Union Européenne n’est réalisé dans le cadre de ce traitement.

 

Durée de conservation des données

Les données seront conservées pendant une durée de 12 mois (6 mois pour l’adresse IP, l’identifiant technique de l’empreinte et l’empreinte).

C. Le traitement de gestion et de suivi de la relation avec les partenaires et prospects

Les réponses au formulaire de contact présent sur le site Oneytrust font l’objet d’un traitement automatisé de données par Oneytrust dans le but de gérer votre demande et de réaliser le suivi de la relation avec ses Partenaires et prospects.

 

Objet du traitement de données

Finalités

Le traitement a pour objet la gestion et le suivi de la relation Partenaires et prospects, la réalisation d’opération de prospection.
Il permet à Oneytrust :

• de gérer les demandes de ses prospects et Partenaires ;
• de gérer les actions d’information à destination de ses Partenaires ;
• de réaliser des actions de prospection commerciale ;
• d’organiser des évènements (conférences…) ;
• de répondre aux demandes d’information, de conseil ou d’intervention ;
• de piloter ses activités (facturation, production de statistiques d’activité…).

Base légale

La base légale du traitement est l’article 6 (1) c du règlement général sur la protection des données. Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

 

Données traitées

Les catégories de données traitées sont :

• Les données d’identification ;
• Les coordonnées professionnelles.

Source des données

Les informations sont recueillies auprès du Partenaire ou du prospect mais également auprès des organismes suivants :

o L’annuaire de l’enseigne (http://lannuairedelenseigne.com)
o C radar (https://www.c-radar.com)
o Events
o Linkedin
o Google Form (formulaire de contacts) https://docs.google.com/forms/d/e/1FAIpQLSdYfMw897bWaIPiZPoPvpEgUcsJPqV3zVaJXPNAUdSebRCfLg/viewform

Caractère obligatoire du recueil des données

Le formulaire de saisie prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires au traitement de la demande ou de la souscription du service demandé.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

 

Personnes concernées

Le traitement de données concerne :

• les personnes physiques et morales prospects ou Partenaires de Oneytrust ;
• les responsables légaux des entreprises prospects ou Partenaires de Oneytrust ;
• les personnes physiques désignées comme contacts des entreprises prospects ou Partenaires de Oneytrust ;
• le personnel autorisé de Oneytrust en charge de la mise en œuvre du traitement.

 

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• le personnel autorisé de Oneytrust ;
• les sous-traitants et prestataires de services de Oneytrust pour l’hébergement et la fourniture de prestations techniques spécifiques ou l’organisation d’actions au bénéfice des Partenaires et prospects.

Transferts de données hors UE

Aucun transfert de données hors de l’Union européenne n’est réalisé dans le cadre de ce traitement.

 

Durée de conservation des données

Les données seront conservées en base active pendant une durée de 10 ans à compter de la fin de la relation d’affaires pour un Partenaire et 5 ans à compter du dernier contact pour un prospect.

 

III. Les engagements de Oneytrust en qualité de responsable de traitement

En sa qualité de responsable de traitement, Oneytrust tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection des données à caractère personnel qu’elle traite. Ainsi, Oneytrust s’engage à :

• limiter la collecte de données à celles strictement nécessaires pour délivrer ses services à ses Partenaires.
• ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.
• conserver les données à caractère personnel durant une période limitée et proportionnée ;
• ne pas transférer ces données à des tiers autres que les prestataires de services qui interviennent dans le cadre de l’exécution des services Oneytrust. Dans le cadre de ces transferts, moyennant des garanties appropriées en conformité avec la réglementation applicable en matière de protection des données à caractère personnel afin d’assurer que les données une fois transférées bénéficient d’un niveau de protection adéquat, certaines données peuvent être transférées en dehors de l’Union Européenne.
• mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.

 

IV. Les engagements de Oneytrust en qualité de sous-traitant, vis-à-vis de ses partenaires

En qualité de sous-traitant, Oneytrust s’engage notamment à :

• traiter les données à caractère personnel aux seules fins de la bonne exécution de ses services ; Oneytrust ne traitera jamais vos données à d’autres fins (marketing, etc.) ;
• ne pas transférer vos données hors UE ou hors pays reconnus par la commission européenne sans garanties appropriées en conformité avec la réglementation applicable en matière de protection des données à caractère personnel ;
• vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel ;
• mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation de vos données ;
• vous notifier dans les meilleurs délais en cas de violation de données ;
• vous assister à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de ses services.

 

V. Sécurité des données

Notre préoccupation est de préserver la qualité et l’intégrité de vos données à caractère personnel. Les technologies et les politiques de sécurité appliquées par Oneytrust permettent de protéger vos données à caractère personnel contre tout accès non autorisé ou toute utilisation impropre.

Oneytrust a pris des mesures de protection physiques, logiques et organisationnelles adaptées pour prévenir toute perte, mauvaise utilisation, accès ou diffusion non autorisé, altération ou destruction éventuelle de ces données personnelles. Toutefois, malgré nos efforts pour protéger vos données personnelles, Oneytrust ne peut pas garantir l’infaillibilité de cette protection en raison de risques inévitables pouvant survenir lors de la transmission de données personnelles.

Toutes les données personnelles étant confidentielles, leur accès est limité aux collaborateurs et prestataires de services de Oneytrust qui en ont besoin dans le cadre de l’exécution de leurs missions. Toutes les personnes qui ont accès aux données personnelles sont tenues par une obligation de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

 

VI. Cookies

Lors de la consultation de notre site oneytrust.com, des informations sont susceptibles d’être enregistrées dans des fichiers « Cookies » installés dans votre ordinateur, tablette ou téléphone mobile. Cette rubrique permet de comprendre ce qu’est un Cookie, à quoi il sert et comment on peut le paramétrer.

Qu’est-ce qu’un cookie ?

Un cookie est un fichier texte déposé dans un espace dédié du disque dur de votre terminal (ordinateur, tablette ou téléphone mobile), lors de la consultation d’un contenu ou d’une publicité. Ce fichier Cookie ne peut être lu que par son émetteur. Il permet d’identifier le terminal dans lequel il est enregistré, pendant une durée de validité limitée à 13 mois.

Cookies utilisés sur notre site internet et leurs finalités

Oneytrust utilise deux types de Cookies qui peuvent être enregistrés dans votre terminal à l’occasion d’une visite de notre site web oneytrust.com. Ces cookies sont émis par des sociétés tierces et sont soumis aux politiques de protection de la vie privée de ces tiers. Ces cookies ne sont pas indispensables à la navigation sur notre site.

– Cookie de mesure d’audience « Google Analytics »

Ce cookie est émis par Google Inc. afin de mesurer l’audience des différents contenus et rubriques de notre site en vue de les évaluer, de mieux les organiser et le cas échéant, de détecter des problèmes de navigation pour améliorer l’ergonomie de nos services.
Ce cookie ne produit que des statistiques anonymes et des volumes de fréquentation, à l’exclusion de toute information individuelle.
La durée de vie de ce cookie de mesure d’audience n’excède pas 13 mois.

– Cookie réseaux sociaux « Addthis »

Ce cookie sert à afficher les icônes des réseaux sociaux, vous permettant ainsi de partager notre site, si vous le souhaitez, sur vos réseaux ou de partager des contenus de notre site avec d’autres personnes ou de faire connaître à ces autres personnes, votre consultation ou votre opinion concernant un contenu du site.
Nous vous invitons à consulter les politiques de protection de la vie privée de ces réseaux sociaux afin de prendre connaissance des finalités d’utilisation, notamment publicitaires, des informations de navigation qu’ils peuvent recueillir grâce à ces boutons applicatifs.
Pour connaitre la politique de protection de la vie privée des réseaux sociaux concernés, nous vous invitons à cliquer sur le nom du réseau social de votre choix :

o Facebook
o Twitter
o LinkedIn

La durée de vie de ce cookie n’excède pas 13 mois.

En continuant d’utiliser le site internet en connaissance des informations détaillées ci-dessus, vous acceptez expressément l’utilisation par Oneytrust de tels cookies.

Contrôler et supprimer les cookies

Pour contrôler les cookies, la plupart des navigateurs vous permettent d’accepter ou de rejeter tous les cookies, de n’accepter que certains types de cookies ou vous posent la question chaque fois qu’un site souhaite enregistrer un cookie. Il est également facile de supprimer les cookies qui ont été enregistrés sur votre ordinateur par un navigateur.
Vous pouvez vous s’opposer à l’installation de cookies sur votre ordinateur en configurant votre navigateur Internet de la manière suivante :

Pour Internet Explorer : cliquez sur le lien
Pour Safari : cliquez sur le lien
Pour Chrome : cliquez sur le lien
Pour Firefox : cliquez sur le lien
Pour Opera : cliquez sur le lien

 

VII. Vos droits sur les données vous concernant

Vous avez le droit de demander l’accès aux données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données, du droit à la portabilité de vos données pour le traitement de gestion et de suivi de la relation avec les partenaires et prospects ; ainsi que du droit de formuler des directives post-mortem spécifiques et générales concernant la conservation, l’effacement et la communication de vos données.

Nous vous répondrons dans un délai maximum d’un (1) mois suivant la date de réception de votre demande.

Exercer ses droits

Le délégué à la protection des données (DPO) de Oneytrust est votre interlocuteur pour toute demande d’exercice de vos droits sur les traitements mis en œuvre par Oneytrust en qualité de responsable de traitement.

• Contacter le DPO par voie électronique en écrivant à dpo[at]oneytrust.com*
*(remplacer [at] par @ lors de l’envoi)

• Contacter le DPO par courrier postal
Le délégué à la protection des données
Oneytrust
34 avenue de Flandre
59170 Croix
FRANCE

Réclamation

Vous pouvez adresser toute réclamation relative au traitement de vos demandes par Oneytrust en écrivant au DPO. Celui-ci fournira ses meilleurs efforts pour répondre à toute réclamation et tenter de résoudre le différend.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à votre autorité locale de protection des données personnelles ou à l’autorité de protection des données personnelles de Oneytrust, à savoir la CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.

 

VIII. Révision et actualisation de la Politique

La présente Politique sera actualisée autant que de besoin afin de répondre aux exigences de la réglementation applicable à la protection des données ou en fonction des besoins de Oneytrust.

Date de la dernière mise à jour : le 03/07/2018