Dernière modification le 7 juillet 2021

Politique de confidentialité et de gestion des données

Le présent document décrit les traitements de données à caractère personnel opérés par Alma dans le cadre de la mise à disposition de sa solution de paiement en plusieurs fois.

1. Définitions et vocabulaire utilisé

Les définitions suivantes sont applicables à l’intégralité de la politique de confidentialité et de gestion des données :

  • « Alma » : désigne la société par actions simplifiée immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 839 100 575, dont le siège social est situé 176 avenue Charles de Gaulle à Neuilly-sur-Seine (92200).
  • « Client » : désigne toute personne physique effectuant un achat sur le site internet ou au sein du magasin d’un Vendeur.
  • « Personne Concernée » : désigne un Client, un membre d’un Vendeur ou un Visiteur.
  • « Réglementation » : désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD** ») ainsi que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa dernière version en vigueur.
  • « Site Web » : désigne le site web d’Alma accessible depuis l’adresse https://getalma.eu.
  • « Solution » : désigne la solution numérique développée par Alma et fournie aux Vendeurs qui la proposent aux Clients afin qu’ils bénéficient de services de paiement.
  • « Sous-Traitant » : désigne l’entreprise ou partenaire dont Alma utilise les services dans le cadre de la mise en place des différents traitements de données à caractère personnel décrits ci-dessous.
  • « Transaction » : désigne tout achat réalisé par un Client auprès d’un Vendeur en utilisant la Solution.
  • « Vendeur » : désigne toute personne morale vendant des biens ou des services qui met à disposition la Solution auprès de ses Clients.
  • « Visiteur » : désigne toute personne consultant ou naviguant sur le Site Web.

Sauf exigence contraire résultat du contexte, les définitions au singulier incluent le pluriel, et inversement.

2. Données à caractère personnel collectées et rôle d'Alma

2.1 Données à caractère personnel des Clients (collectées par le Vendeur)

Alma est susceptible de se voir confier par le Vendeur des données à caractère personnel des Clients qu’il a collectées directement. Dans ce cadre Alma agit en qualité de sous-traitant du Vendeur, au sens de la Règlementation, pour les données suivantes :

  • Nom et prénom.
  • Adresse électronique.
  • Adresses de livraison et de facturation.
  • Moyen de livraison (transporteur utilisé).
  • Coordonnées bancaires du Client.
  • Numéro de téléphone du Client.
  • Date et lieu de naissance du Client.
  • Contenu du panier d’achat du Client.
  • Historique des achats du Client auprès du Vendeur.

2.2 Données à caractère personnel des Visiteurs et des Clients (collectées par Alma)

Alma est susceptible de collecter directement des données à caractère personnel auprès des Visiteurs et des Clients. Dans ce cadre Alma agit en qualité de responsable de traitement, au sens de la Règlementation, pour les données suivantes :

  • Les données identifiant le Visiteur (nom, prénom, adresse email, téléphone) et l’entreprise dans laquelle il travaille (raison sociale, site internet, plateforme e-commerce utilisée).
  • Cookie identifiant le Visiteur du Site Web afin de proposer un contenu plus adapté et à des fins statistiques.
  • Les données de connexion du Client (adresse IP, données de connexion, numéro unique associé à un cookie unique, langue utilisée, user agent du navigateur, opérateur télécom ou FAI, historique et données de navigation etc.).
  • Numéro de téléphone du Client.
  • Pièce d’identité après acceptation explicite par le Client.
  • Données bancaires (historique des transactions) après acceptation explicite par le Client.

2.3 Données à caractère personnel des membres des Vendeurs

Alma collecte également les données à caractère personnel des membres des Vendeurs qui utilisent la Solution. Dans ce cadre Alma agit en qualité de responsable de traitement, au sens de la Règlementation, pour les données suivantes :

  • Les données identifiant les points de contact chez le Vendeur (nom, prénom, numéro de téléphone, email, rôle au sein de l’entreprise, données de connexion).
  • Les données permettant le KYC du Vendeur (notamment données et pièces d’identité du représentant légal du Vendeur et de ses bénéficiaires effectifs, extrait Kbis).

3. Les traitements, leurs finalités et leurs bases légales

Traitement Finalités Base légale
1. identification du Client identifier le Client lorsqu’il utilise la Solution exécution du contrat visant à permettre au Client de payer en plusieurs fois
2. paiement permettre l’exécution des opérations de paiement autorisées par le Client exécution du contrat visant à permettre au Client de payer en plusieurs fois
3. évaluation du risque évaluer le risque financier porté par Alma, notamment en cas de défaut de paiement du Client exécution du contrat visant à permettre au Client de payer en plusieurs fois
4. fraude empêcher la fraude et toutes escroqueries financières des Clients, notamment, mais pas seulement, l’utilisation de cartes bancaires volées intérêt légitime d’Alma à empêcher la fraude dans le recours à la Solution
5. recouvrement permettre l’éventuel recouvrement financier, notamment en cas de défaut de paiement du Client intérêt légitime d’Alma à recouvrer les fonds dus
6. amélioration des services améliorer continuellement, notamment via des statistiques, les outils d’Alma intérêt légitime d’Alma à exploiter des données pour améliorer la Solution
7. prospection et analyse des Visiteurs identifier les Visiteurs du Site Web notamment dans un but marketing et de mise à disposition des contenus les plus adaptés suivant l’activité des Visiteurs consentement
8. identification du Vendeur identifier le Vendeur lorsqu’il utilise la Solution exécution du contrat visant à permettre au Vendeur de proposer la Solution aux Clients
9. interactions avec le Vendeur permettre le suivi de la relation contractuelle et le développement de celle-ci exécution du contrat visant à permettre au Client de payer en plusieurs fois
10. lutte contre la fraude et le blanchiment permettre à Alma de lutter contre la fraude et le blanchiment des Vendeurs respect d’une obligation légale

4. Procédures opérationnelles de chaque traitement

Les données à caractère personnel des Personnes Concernées sont traitées par Alma de la manière suivante (en fonction du traitement) :

  • Collecte des données : Traitements n°1 à 10.
  • Stockage sécurisé des données au sein de serveurs habilités d’Alma ou de ses fournisseurs (notamment de solutions d’hébergement) : Traitements n°1 à 10.
  • Traitement automatisé des données bancaires, par les Sous-Traitants d’Alma, afin d’effectuer le paiement autorisé par le Client : Traitement n°2.
  • Traitement automatisé des données et profilage, par des algorithmes de lutte contre la fraude bancaire et des algorithmes d’évaluation de risque de fraude et de crédit : Traitements n°3, n°4 et n°6.
  • Traitement manuel des données, par des opérateurs spécialisés dans la lutte contre la fraude bancaire susceptibles d’analyser manuellement une Transaction, afin de finaliser une décision impactant le Client : Traitements n°3, n°4 et n°10.
  • Anonymisation puis traitement manuel des données, par des ingénieurs spécialisés, dans l’unique objectif d’améliorer les outils internes de lutte contre la fraude bancaire, d’évaluation du risque de défaut et d’analyse des cas de recouvrement : Traitement n°6.
  • Traitement automatique des données, par des algorithmes visant à optimiser les actions de recouvrement d’Alma : Traitement n°5.
  • Traitement manuel des données, par des Sous-Traitants spécialisés en recouvrement de créances, dans l’unique but d’analyser le dossier d’un Client et éventuellement de le contacter : Traitement n°5.
  • Traitements automatiques et statistiques afin de comprendre le profil des Visiteurs du site Web et adapter le contenu à leurs préférences : Traitement n°7.

5. Prise de décision automatisée

Dans le cadre de la gestion du risque de fraude et du recouvrement, les données à caractère personnel des Clients sont traitées par Alma via des outils de profilage. Alma met notamment en œuvre des décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant le Client de manière significative au sens de la Réglementation.

Ces décisions permettent d’identifier les Clients et les commandes pour lesquels une Transaction peut être réalisée, ce qui les rend nécessaires à la préparation et à l'exécution d’un contrat. Ces décisions sont fondées sur l’analyse de différentes variables relatives, notamment, au type de produits ou de services commandés, au profil du Client mais également sur la prise en considération de données déduites ou dérivées par Alma. Il est précisé qu’aucune donnée sensible au sens de la liste de données de catégories particulières prévue par l’article 9 du RGPD n’est prise en considération dans ces décisions prises de manière exclusivement automatisées.

Si, au regard de ces variables, le risque de fraude et d’impayés est considéré comme trop important, la Transaction ne pourra être réalisée. Concernant les décisions fondées exclusivement sur un traitement automatisé, le Client dispose du droit d'obtenir une intervention humaine, d’exprimer son point de vue auprès de la ressource qui aura été désignée pour traiter son dossier et de contester la décision automatique qui aura été opposée, en écrivant à Alma à l’adresse suivante : dpo@getalma.eu.

6. Destinataire des données à caractère personnel

Les données à caractère personnel des Personnes Concernées sont traitées en vue de la poursuite de l’ensemble des finalités précitées et sont exclusivement destinées aux services internes de gestion d’Alma ainsi que, le cas échéant, à ses Sous-Traitants (ces Sous-Traitants offrant notamment des services d’hébergement de données et de prévention de la fraude). Ces Sous-Traitants sont tenus de respecter une stricte confidentialité, d’assurer la sécurité des données auxquelles ils ont accès, de les utiliser exclusivement dans le cadre des missions qui leur sont confiées et de respecter la Réglementation.

7. La durée de conservation des données à caractère personnel

Les données à caractère personnel des Clients sont traitées par Alma à compter de leur collecte directement auprès d’eux ou à compter de leur transmission par le Vendeur. Les données à caractère personnel des Clients sont utilisées par Alma tout au long de la relation contractuelle et sont conservées pendant une durée de 5 ans, à compter de la dernière mensualité de la dernière Transaction.

Les données à caractère personnel des membres des Vendeurs sont collectées à compter de la conclusion des conditions générales de vente ou de tout contrat pour la mise à disposition de la Solution et sont conservées pendant toute la durée de la relation contractuelle. À compter de la fin de la relation avec le Vendeur, ces données à caractère personnel sont conservées pendant une durée 5 ans.

Les données à caractère personnel des Personnes Concernées sont conservées à des fins de (i) prévention de la fraude bancaire et des impayés, (ii) statistiques et d’amélioration des outils d’Alma, (iii) de prévention des contentieux, (iv) de gestion administrative des dossiers et (iv) conformité avec des obligations légales imposées à Alma.

8. Les droits des personnes concernées

La Personne Concernée bénéficie des droits prévus par la Réglementation, en particulier le droit de demander à Alma l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée ou du droit de s’opposer au traitement et du droit à la portabilité des données. Lorsque le traitement repose sur le consentement vous avez la possibilité de retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci. Ces droits peuvent être exercés en écrivant à l’adresse suivante : dpo@getalma.eu.

L’exercice des droits offerts n’est pas illimité et chacun d’eux répond à des conditions imposées par la Règlementation. À ce titre, les éléments suivants sont précisés :

  • Identité : il est nécessaire que la Personne Concernée justifie de son identité et indique l’adresse à laquelle elle souhaite être jointe.
  • Délai de réponse : les demandes sont traitées par Alma dans un délai raisonnable compte tenu de la complexité, du nombre de demandes formulées et de la Règlementation.
  • Gratuité : l’exercice des droits est en principe gratuit. Dans les cas où une demande impliquerait des coûts importants, la Personne Concernée pourrait être amenée à supporter des frais.

Ces exigences doivent être respectées, à défaut les demandes ne seront pas traitées.

Toute Personne Concernée peut contacter la CNIL si elle estime qu’Alma n’a pas respecté la Réglementation (des informations sur la saisine de la CNIL sont fournies directement sur leur site).

9. Les transferts de données

Alma limite autant que possible le choix de Sous-Traitants qui traitent des données à caractère personnel dans un pays situé en dehors de l’Union européenne. Pour autant, dans le cadre de l’accomplissement des finalités détaillées dans la présente politique de confidentialité et de gestion des données, Alma pourrait être amenée à transférer des données à caractère personnel vers des pays non-membres de l’Union européenne et n’offrant pas une protection adéquate. Le cas échéant, Alma s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel des Personnes Concernées. De plus, Alma impose aux Sous-Traitants le respect des obligations énoncées dans la Réglementation.

10. Cookies

Un « cookie » est un petit fichier informatique, un traceur, déposé et lu, par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, objet connecté à internet…).

Conformément à l’article 82 de la Loi informatique et libertés, tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable de traitement ou son représentant (i) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communication électronique ou à inscrire des information dans cet équipement et (ii) des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à la condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Alma a recours à des cookies tiers pour lesquels le consentement est demandé.

Il est également prévu que ces règles ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur (i) soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, (ii) soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

11. Délégué à la protection des données

Le délégué à la protection des données d’Alma peut être contacté à l’adresse suivante : dpo@getalma.eu.