Données personnelles – Lutte contre la fraude

Les informations en rapport avec votre opération font l’objet d’un traitement automatisé de données par Oneytrust, responsable de traitement, dans le but de renforcer le niveau de sécurité des opérations enregistrées par le partenaire et de protéger ce dernier et ses clients contre d’éventuels phénomènes d’usurpation d’identité ou de tentative de fraude.

Les transactions réalisées en ligne ou en magasin physique avec une modalité de paiement présentant un risque de fraude similaire à une opération en ligne, nécessitent qu’un niveau de confiance suffisant existe entre les contractants. Oneytrust participe à l’évaluation de ce niveau de confiance en fournissant un outil d’aide à la prise de décision. L’objectif de ce service est de s’assurer de la réalité de l’identité utilisée dans la transaction en minimisant les contrôles de façon à simplifier et accélérer la prise en compte de votre demande. Ce service peut aboutir, en cas de fraude avérée, à votre inscription sur un fichier des personnes à risques (liste de vigilance).


Vos données sont utilisées par Oneytrust exclusivement aux fins du service susvisé et pour lesquelles toutes les informations détaillées sont reprises dans le présent document. En cas de suspicion de fraude à la suite de la première étape de vérification, ces données pourront faire l’objet de vérifications complémentaires par Oneytrust, le cas échéant avec l’appui de ses prestataires, de façon à éviter, dans la mesure du possible, la mise en œuvre de contrôles supplémentaires tels que la vérification de vos justificatifs d’identité et de domicile. La fiabilité des données que vous avez transmises aux fins de l’opération pourra dans ce cadre être contrôlée par le croisement de vos données avec celles d’Oneytrust ou de ses prestataires.

Objet du traitement de données

Finalités

Le traitement mis en œuvre par Oneytrust a pour objet la lutte contre la fraude à l’identité et au paiement/remboursement sur les opérations réalisées à distance via le réseau internet ou en magasin physique avec une modalité de paiement présentant un risque de fraude similaire à une opération en ligne.
Il permet à Oneytrust :

  • d’analyser les données de l’opération ;
  • de délivrer un évaluation progressive à différentes étapes du parcours du client sur le(s) site(s) du partenaire, afin d’orienter la suite du parcours du client final en conséquence ;
  • de délivrer un premier niveau de confiance, notamment, en comparant les informations de l’opération analysée aux informations présentes dans les opérations effectuées auprès des différents partenaires de Oneytrust et de détecter ainsi les éventuelles incohérences en fonction de règles préétablies, d’affecter une évaluation (score) à chaque opération réalisée sur les plateformes partenaires ; ainsi, une fois la transaction validée par le client et transmise pour analyse, de communiquer au partenaire, un indice de confiance de la transaction sous la forme d’une note comprise entre zéro (0) et cent (100) selon le niveau de risque ainsi évaluée ;
  • de déterminer, si la personne concernée y a consenti, l'identifiant machine du terminal (ordinateur, smartphone, tablette…) utilisé par ladite personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même terminal n’a pas été utilisé pour réaliser plusieurs opérations sur la base d’identités différentes ;
  • de récupérer des informations complémentaires, auprès des prestataires d’ Oneytrust, pour enrichir et qualifier certaines données de l’opération (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) ;
  • en fonction de règles préétablies, de diminuer les revues manuelles en validant automatiquement les opérations qui n’ont pas pu être validées par un dispositif d’analyse automatique (score automatique) ;
  • de détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet ou en magasin physique avec une modalité de paiement présentant un risque de fraude similaire à une transaction en ligne et d’inscrire sur un fichier des personnes à risques (liste de vigilance), les clients qui auront commis une fraude avérée ;
  • de mener des recherches ou phases d’expérimentation afin d’améliorer et d’enrichir ses solutions pour qu’elles soient toujours plus pertinentes et adéquates et ce, afin de protéger les consommateurs en améliorant continuellement le dispositif de lutte contre la fraude ; à cette fin, les données pourront être réutilisées pour l’entraînement de modèles d’IA.

Vos données pourront faire l’objet d’une annotation (attribution d’une ou plusieurs caractéristiques) par Oneytrust afin d’identifier les catégories de données dans le jeu de données.


Toute déclaration irrégulière ou anomalie pourra entraîner l’inscription des données en rapport avec l’opération associée à cette déclaration irrégulière ou anomalie au sein d’une liste de vigilance mis en œuvre par Oneytrust.

Base légale

Article 6 (1) f du règlement général sur la protection des données.
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Oneytrust ; à savoir, la lutte contre la fraude à l’identité et au paiement lors des opérations à distance réalisées via le réseau internet ou en magasin physique avec une modalité de paiement présentant un risque de fraude similaire à une opération en ligne.


Le recueil des informations du terminal utilisé pour déterminer l’identifiant machine est une fonctionnalité du service Oneytrust qui nécessite le recueil du consentement de la personne concernée (article 82 de la loi du 6 janvier 1978 modifiée).

Données traitées

Catégories de données traitées

  • Données d’identification: civilité, nom, prénom, date de naissance, adresse électronique, adresse postale, téléphone, fax, identifiant client, NIF en fonction du pays de la transaction, justificatif d’identité ou extrait K-bis, justificatif de domicile.
  • Informations d’ordre économique et financier: numéro de la carte bancaire (PAN) haché, date de fin de validité, 6 premiers et/ou 4 derniers chiffres de la carte bancaire, IBAN, RIB, justificatif de revenu.
  • Données de connexion: adresse IP, empreinte calculée à partir des données techniques du terminal utilisé (système d’exploitation, langue, résolution, type de navigateur et version…).
  • Données relatives à la transaction: données relatives à la transaction : Mode de livraison, mode de paiement, nom du transporteur, adresse du point-retrait ou autre lieu de livraison, référence montant et devise de la transaction, date et heure de la transaction, nombre de produits achetés, liste des produits, quantité par produit, prix unitaire du produit, nombre d’achats, montant cumulé des achats, date et heure de la première et de la dernière commande.
  • Autres catégories de données: indice de confiance, sous-éléments techniques de validation des données d'identification, de l’adresse IP et du BIN6 par corrélation (validité, identité associée, fournisseur, opérateur...).

Source des données

Les informations sont recueillies auprès de la personne concernée par l’intermédiaire du partenaire mais également auprès des prestataires de Oneytrust pour les données complémentaires ainsi qu’à partir de bases accessibles au public.

Caractère obligatoire du recueil des données

La non-transmission des données en rapport avec votre opération empêche son analyse par Oneytrust. L’exécution de votre opération ne relève que de la décision du partenaire de Oneytrust.

Vous avez la possibilité de refuser de donner votre consentement à la collecte des données permettant de calculer l’identifiant machine de votre terminal et de continuer la navigation. Les données du terminal ne sont pas collectées en l’absence de votre consentement et ceci est sans incidence sur la navigation et sur la finalisation de l’opération envisagée.

Prise de décision automatisée

La solution proposée par Oneytrust à ses partenaires est un outil d’aide à la décision qui détermine un niveau de confiance lié aux opérations enregistrées par le partenaire. Le dispositif a été développé pour permettre l’intervention d’analyses manuelles si nécessaire lors de l’élaboration de l’indice de confiance basé sur le traitement automatisé des données mis en œuvre par Oneytrust . Quelle que soit la recommandation délivrée par Oneytrust, le partenaire est le seul décisionnaire de la suite à donner à l'opération. Oneytrust n’intervient pas dans la prise de décision finale du partenaire.

Le traitement mis en œuvre par Oneytrust ne prévoit pas de prise de décision de refus fondée exclusivement sur l’analyse automatisée. En cas de prise de décision de refus par le partenaire, fondée uniquement sur les recommandations d’Oneytrust, la personne concernée bénéficie auprès de Oneytrust du droit de demander une intervention humaine, de faire valoir ses observations et de demander un réexamen de sa situation pour les traitements réalisés par Oneytrust.

Personnes concernées

Le traitement de données concerne :

  • les personnes physiques et morales qui réalisent des opérations dans les points de vente physique et à distance, auprès des partenaires de Oneytrust ;
  • le personnel autorisé de Oneytrust en charge de la mise en œuvre du traitement.

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

  • le personnel autorisé de Oneytrust ;
  • le partenaire de Oneytrust auprès de qui le client a réalisé l’opération ; ce dernier reçoit notamment les résultats des traitements mis en œuvre par Oneytrust, conformément aux présentes.
  • les sous-traitants et prestataires de services de Oneytrust ; et en particulier, ceux auxquels Oneytrust adresse tout ou partie des données en vue de leur vérification, l’hébergement et la fourniture de données complémentaires. Etant entendu que ces prestataires sont contractuellement tenus de protéger les données à caractère personnel qui leur sont transmises dans ce cadre.

Transferts de données hors UE

Vos données sont stockées au sein de l’Union Européenne.

Oneytrust est susceptible de faire appel à des prestataires situés en dehors de l’Union européenne qui peuvent accéder à distance aux données pour des prestations spécifiques. Ces transferts ne pourront être réalisés qu’après que Oneytrust ait pris les mesures de sécurité appropriées, en veillant par exemple à la conclusion des clauses types définies par la Commission Européenne afin d’encadrer les flux.

Afin de déterminer l'identifiant machine du terminal utilisé pour naviguer sur le(s) sites(s) du partenaire, Oneytrust fait appel à un prestataire situé aux USA qui peut accéder à distance aux données collectées associées à votre terminal. Le transfert de données est encadré par les Clauses Contractuelles Types de la Commission Européenne ainsi que par des mesures complémentaires pour assurer une protection effective des données lors du transfert.

Sur simple demande, nous pouvons vous fournir le nom des destinataires établis hors de l’Union européenne et une copie des conditions particulières convenues afin de garantir un niveau approprié de protection des données. Si vous souhaitez en faire la demande, nous vous invitons à écrire au DPO de Oneytrust dont les coordonnées figurent ci-après.

Durée de conservation des données

Les données sont conservées pendant une durée de :

  • 37 mois ;
  • 15 mois pour les pièces justificatives et l’empreinte calculée à partir des données techniques du terminal ;
  • 6 mois pour les données de consommation.

Les données relatives aux transactions pour lesquelles des fraudes avérées ont été détectées font l’objet d’une inscription au sein d’une liste de vigilance pendant une durée de 2 ans ou jusqu’à la régularisation de l’incident de paiement si celle-ci intervient avant l’expiration du délai de 2 ans.

Les sous-éléments techniques de validation des données d’identification, de l’adresse IP et du BIN6 (validité, identité associée, fournisseur, opérateur…) seront conservés pendant une durée de 15 jours.

Vos droits sur les données vous concernant

En vertu de la Règlementation applicable, vous pouvez exercer les droits définis ci-après :

  • Droit d’accès afin d’obtenir une copie de l’ensemble des données traitées par Oneytrust ainsi que les informations relatives aux caractéristiques des traitements opérés sur vos données.
  • Droit de rectification afin de mettre à jour vos données erronées et/ou incomplètes.
  • Droit d’effacement si les données (i) ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, (ii) font l’objet d’un traitement illicite ou (iii) si vous exercez votre droit d’opposition aux traitements concernés. Cependant, ce droit ne s’applique pas lorsque la conservation de vos données est nécessaire à Oneytrust pour respecter une obligation légale ou pour l’exercice de droits en justice.
  • Droit à la limitation du traitement lorsque (i) vous contestez l’exactitude des données, (ii) vous exercez votre droit d’opposition. Oneytrust limitera le traitement de vos données pendant la durée permettant à Oneytrust d’effectuer les vérifications adéquates.
  • Droit d’opposition à ce que vos données soient utilisées par Oneytrust aux fins de ses intérêts légitimes. Oneytrust cessera alors ces traitements à moins qu’il ne justifie que ses intérêts légitimes et impérieux priment sur vos droits et libertés.
  • Droit de définir des directives générales et particulières définissant la manière dont vous entendez que soient exercés les droits ci-dessus après votre décès.

Exercer ses droits

Le délégué à la protection des données (DPO) de Oneytrust est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.

  • Contacter le DPO par voie électronique en écrivant à dpo[at]oneytrust.com* *(remplacer [at] par @ lors de l’envoi)
  • Contacter le DPO par courrier postal

Le délégué à la protection des données
Oneytrust
34 avenue de Flandre
59170 Croix
FRANCE

Réclamation

Vous pouvez adresser toute réclamation relative au traitement de vos demandes par Oneytrust en écrivant au DPO. Celui-ci fournira ses meilleurs efforts pour répondre à toute réclamation et tenter de résoudre le différend.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à votre autorité locale de protection des données personnelles ou à l’autorité de protection des données personnelles de Oneytrust, à savoir la CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.