Politique de protection des données personnelles
1. Préambule
La présente politique de protection des données à caractère personnel (ci-après la « Politique ») est rédigée dans le respect de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données personnelles (ci-après « RGPD »).
Oneytrust en sa qualité de responsable de traitement, s’engage à ce que la collecte et le traitement de vos données à caractère personnel soient effectués conformément à la règlementation applicable. A travers cette Politique, Oneytrust souhaite également vous informer notamment des finalités pour lesquelles vos données personnelles sont collectées et traitées ainsi que des droits dont vous disposez sur vos données et comment les exercer.
Le respect de votre vie privée ainsi que de vos libertés et droits fondamentaux est primordial pour Oneytrust. Nous nous engageons à ne pas céder vos données personnelles à des sociétés tierces à des fins commerciales. Elles ne seront pas non plus communiquées à des tiers sans votre accord, en dehors du cadre de nos obligations réglementaires et contractuelles nécessaires à la fourniture de nos services auprès de nos Partenaires.
Oneytrust affirme son attachement au respect des lois et règlements applicables en matière de protection des données personnelles et s’engage à préserver leur confidentialité, leur intégrité et leur disponibilité.
2. Quelles sont les finalités et bases légales des traitements ?
Oneytrust collecte et traite vos données personnelles pour répondre aux finalités décrites ci-après. Chaque finalité repose sur une base légale qui autorise Oneytrust à réaliser le traitement considéré.
Finalités | Base légale |
Lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet | Notre intérêt légitime (Article 6, 1, f du RGPD) |
Détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée | Notre intérêt légitime (Article 6, 1, f du RGPD) |
Fournir des informations complémentaires en vue de qualifier certaines données de la transaction (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) | Notre intérêt légitime (Article 6, 1, f du RGPD) |
Déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes |
Notre intérêt légitime Votre consentement pour le recueil des informations du terminal (Article 82 de la Loi informatique et libertés) |
Gestion des contrats et suivi de la relation avec les partenaires et prospects | L’exécution d’un contrat ou de mesures précontractuelles (Article 6, 1, b du RGPD) |
Réalisation d’opérations de prospection | Notre intérêt légitime (Article 6, 1, f du RGPD) |
Tenue de la comptabilité | Le respect d’une obligation légale (Article 6, 1, c du RGPD) |
Gestion des demandes d’exercice de droits | Le respect d’une obligation légale (Article 6, 1, c du RGPD) |
3. Quelles sont les données traitées ?
Oneytrust s’engage à collecter uniquement les données personnelles qui sont strictement nécessaires au regard des finalités décrites ci-dessus (voir « Quelles sont les finalités et bases légales des traitements ? »).
Catégories de données | Précisions |
Données d’identification | Nom, prénom, dénomination sociale, adresse postale, numéro de téléphone, adresse électronique, pièce d’identité, justificatif de domicile, numéro d’immatriculation, numéro de TVA intracommunautaire |
Informations d’ordre économique et financier | RIB, RIB sous forme hachée en cas de règlement par virement ou prélèvement, numéro d’identification de la carte bancaire (PAN) haché |
Données de connexion | Adresse IP, empreinte calculée à partir des données techniques collectées et données techniques du terminal utilisé (système d’exploitation, langue, CPU, résolution, type de navigateur et version…) |
Autres | 6 premiers chiffres de la carte bancaire, sous-éléments techniques de validation des données d’identification par corrélation (validité, identité associée, fournisseur, opérateur…) |
4. Sources et contextes de collecte des données
Dans le cadre du service de lutte contre la fraude, proposé par Oneytrust, les données sont recueillies auprès de la personne concernée par l’intermédiaire du partenaire qui a souscrit le service mais également auprès des prestataires de services de Oneytrust pour les données enrichies ; et ce, à l’occasion de la réalisation d’une opération (souscription de service, achat en ligne) sur le site web du partenaire. La non-transmission des données en rapport avec votre opération empêche la réalisation et l’analyse de l’opération.
Dans le cadre de ses relations avec ses partenaires et prospects, les données sont recueillies auprès du partenaire ou du prospect, via le formulaire de contact sur le site internet Oneytrust mais également auprès des organismes suivants :
- L’annuaire de l’enseigne (http://lannuairedelenseigne.com)
- C radar (https://www.c-radar.com)
- Events
Le formulaire de saisie prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires au traitement de la demande ou de la souscription du service demandé.
5. Les personnes concernées par les traitements
Les traitements de données personnelles mis en œuvre par Oneytrust concernent :
- les personnes physiques et morales qui réalisent des opérations sur les sites web des partenaires d’Oneytrust ;
- le personnel autorisé de Oneytrust en charge de la mise en œuvre des traitements ;
- les personnes physiques et morales prospects ou partenaires de Oneytrust ;
- les responsables légaux des entreprises prospects ou partenaires de Oneytrust ;
- les personnes physiques désignées comme contacts des entreprises prospects ou partenaires de Oneytrust.
6. Combien de temps sont conservées vos données personnelles ?
En fonction des finalités pour lesquelles elles ont été collectées, les données personnelles sont conservées pour les durées suivantes :
Finalités | Durée de conservation |
Lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet | 15 mois |
Détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée | 2 ans ou jusqu’à la régularisation de l’incident de paiement si celle-ci intervient avant l’expiration du délai de 2 ans |
Fournir des informations complémentaires en vue de qualifier certaines données de la transaction (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) | 15 jours |
Déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes | 12 mois (6 mois pour l’adresse IP, l’identifiant technique de l’empreinte et l’empreinte) |
Gestion des contrats et le suivi de la relation avec les partenaires et prospects | 10 ans à compter de la fin de la relation d’affaires pour un partenaire et 5 ans à compter du dernier contact pour un prospect |
Réalisation d’opérations de prospection | Jusqu’à l’opposition à la prospection ou 5 ans à compter du dernier contact |
Tenue de la comptabilité | 10 ans à compter de la clôture de l’exercice comptable concerné |
Gestion des demandes d’exercice de droits | 2 ans |
7. Qui a accès à vos données personnelles ?
Oneytrust est susceptible de transmettre vos données personnelles aux destinataires suivants, en fonction de leurs besoins respectifs et suivant la/les finalité(s) concernée(s).
Finalités | Destinataires |
La lutte contre la fraude à l’identité et au paiement sur les opérations réalisées à distance via le réseau internet | – Collaborateurs Oneytrust – Partenaire de Oneytrust auprès de qui la personne a réalisé l’opération – Sous-traitants et prestataires de services de Oneytrust |
Détecter des tentatives de fraudes lors de la réalisation d’opérations via le réseau internet et inscrire sur un fichier des personnes à risques, les clients qui auront commis une fraude avérée | – Collaborateurs Oneytrust – Partenaire de Oneytrust auprès de qui la personne a réalisé l’opération – Sous-traitants et prestataires de services de Oneytrust |
Fournir des informations complémentaires en vue de qualifier certaines données de la transaction (adresse électronique, téléphone, adresse postale, adresse IP, BIN 6) | – Collaborateurs Oneytrust – Partenaire de Oneytrust auprès de qui la personne a réalisé l’opération – Sous-traitants et prestataires de services de Oneytrust |
Déterminer l’identifiant machine de l’ordinateur utilisé par une personne pour naviguer sur le(s) sites(s) du partenaire, en particulier pour vérifier qu’un même ordinateur n’a pas été utilisé pour réaliser plusieurs transactions sur la base d’identités différentes | – Collaborateurs Oneytrust – Partenaire de Oneytrust auprès de qui la personne a réalisé l’opération – Sous-traitants et prestataires de services de Oneytrust |
Gestion des contrats et suivi de la relation avec les partenaires et prospects | – Collaborateurs Oneytrust – Sous-traitants et prestataires de services de Oneytrust |
Réalisation d’opérations de prospection | – Collaborateurs Oneytrust – Sous-traitants et prestataires de services de Oneytrust |
Tenue de la comptabilité | – Collaborateurs Oneytrust – Expert-comptable – Commissaire aux comptes – Sous-traitants et prestataires de services de Oneytrust |
Gestion des demandes d’exercice de droits | – Collaborateurs Oneytrust – DPO de Oneytrust – Sous-traitants, partenaires et/ou prestataire permettant le traitement de votre demande |
8. Transfert des données hors de l’Union Européenne
Nous conservons vos données personnelles dans l’Union Européenne.
Si nous étions amenés à transmettre des données à caractère personnel à des destinataires établis dans des pays non-membres de l’Union Européenne, nous nous assurons, conformément à la règlementation applicable, que le transfert intervienne vers des pays dont la législation a été reconnue comme conférant un niveau de protection adéquat par la Commission Européenne ou, à défaut, est encadré juridiquement, notamment par les clauses contractuelles types de la Commission Européenne ou des règles internes d’entreprises (BCR) qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
9. Comment sont protégées vos données personnelles ?
Notre préoccupation est de préserver la confidentialité, l’intégrité et la disponibilité de vos données à caractère personnel. Les technologies et les politiques de sécurité appliquées par Oneytrust permettent de protéger vos données à caractère personnel contre tout accès non autorisé ou toute utilisation impropre.
Oneytrust a pris des mesures de protection physiques, logiques et organisationnelles adaptées pour prévenir toute perte, mauvaise utilisation, accès ou diffusion non autorisé, altération ou destruction éventuelle de ces données personnelles. Toutefois, malgré nos efforts pour protéger vos données personnelles, Oneytrust ne peut pas garantir l’infaillibilité de cette protection en raison de risques inévitables pouvant survenir lors de la transmission de données personnelles.
Toutes les données personnelles étant confidentielles, leur accès est limité aux collaborateurs et prestataires de services de Oneytrust qui en ont besoin dans le cadre de l’exécution de leurs missions. Toutes les personnes qui ont accès aux données personnelles sont tenues par une obligation de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.
10. Quels sont vos droits concernant vos données personnelles ?
Dans le cadre des traitements de données personnelles effectués par Oneytrust, vous disposez conformément au RGPD et à la Loi Informatique et Libertés, des droits suivants :
Droit d’accès à vos données | Vous disposez du droit de prendre connaissance des données personnelles traitées par Oneytrust vous concernant et de demander qu’elles vous soient communiquées. |
Droit de rectification de vos données | Vous pouvez demander à corriger les données personnelles traitées par Oneytrust vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant. |
Droit de suppression de vos données | Sauf exceptions légales, vous pouvez demander à Oneytrust, l’effacement de vos données, si par exemple, vous estimez que le traitement de vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées. |
Droit à la portabilité de vos données | Vous pouvez demander à Oneytrust que vos données personnelles soient transmises à un autre organisme ou vous soient communiquées dans un format structuré, couramment utilisé, lisible par machine et interopérable. Ce droit ne s’applique que lorsque le traitement a pour base légale, le consentement ou l’exécution d’un contrat. |
Droit à la limitation du traitement de vos données | Vous pouvez demander à Oneytrust de suspendre le traitement de vos données personnelles que vous considérez comme inexactes ou utilisées pour un traitement illicite. |
Droit d’opposition | Vous pouvez vous opposer à ce que vos données personnelles soient utilisées pour un objectif précis, sous réserve d’exposer les raisons tenant à votre situation particulière. En cas de prospection commerciale, vous pouvez vous opposer sans motif et à tout moment au traitement de vos données personnelles. |
Droit de retirer votre consentement |
Lorsque le traitement de vos données personnelles est fondé sur votre consentement, vous avez la possibilité de retirer, à tout moment, votre consentement. Vous avez la possibilité de refuser de donner votre consentement à la collecte des données permettant de calculer l’identifiant machine de votre terminal et de continuer votre navigation. Les données du terminal ne sont pas collectées en l’absence de votre consentement et votre refus est sans incidence sur la navigation et sur la finalisation de l’opération envisagée. |
Droit de ne pas faire l’objet d’une décision entièrement automatisée | Vous avez le droit de ne pas faire l’objet d’une décision qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques vous concernant ou qui vous affecte de manière significative ; sauf si vous avez donné votre consentement explicite ou si cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat. Dans ce cas, vous avez le droit de demander une intervention humaine, d’exprimer votre point de vue et de contester la décision. |
Droit de formuler des directives post-mortem | Vous avez la possibilité de nous donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous pourrez, à tout moment, modifier ou révoquer vos directives. |
11. Comment exercer vos droits ?
Vous pouvez exercer vos droits auprès du délégué à la protection des données (DPO) :
- en lui adressant un courrier électronique à l’adresse électronique suivante : dpo[at]oneytrust.com (remplacer [at] par @ lors de l’envoi)
- en lui adressant un courrier postal à l’adresse suivante :
Délégué à la protection des données
Oneytrust
34 avenue de Flandre
59170 Croix
FRANCE
Dans un souci de confidentialité et de protection de vos données personnelles, nous sommes susceptibles de vous demander une preuve de votre identité et des informations complémentaires pour nous permettre de traiter votre demande.
Délai de réponse
Nous mettrons tout en œuvre pour répondre à votre demande dans un délai de 30 jours suivant la date de réception de votre demande. Cependant, ce délai peut être allongé pour des raisons liées à la complexité de votre demande et au nombre de demandes.
Recours auprès de la CNIL
Nous vous encourageons à adresser toute réclamation relative au traitement de vos demandes par Oneytrust en écrivant au DPO. Celui-ci fournira ses meilleurs efforts pour répondre à toute réclamation et tenter de résoudre le différend.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à votre autorité locale de protection des données personnelles ou à l’autorité de protection des données personnelles de Oneytrust, à savoir la CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.
12. Mise à jour de la politique de protection des données
La présente Politique sera actualisée autant que de besoin afin de répondre aux exigences de la réglementation applicable à la protection des données personnelles ou en fonction des besoins de Oneytrust. Nous vous invitons à la consulter régulièrement.
Date de la dernière mise à jour : le 23/08/2023