Politique de confidentialité et gestion des données

Le présent document décrit les différents traitements de données personnelles opérés par Alma dans le cadre le la mise à disposition de sa solution de paiement en plusieurs fois et la publication de son site Web https://getalma.eu/.

Les définitions suivantes sont utilisées dans la suite de ce document :

• Client : le client final effectuant un achat via la solution de paiement Alma auprès d’un site ou magasin propriété du Vendeur
• Site Web : le site Web marketing d’Alma à l’adresse https://getalma.eu/
• Sous-Traitant : entreprise dont Alma utilise les services dans le cadre de la mise en place des différents traitements de données personnelles décrits ci-dessous
• Transaction : achat par le Client auprès du Vendeur, via la solution de paiement Alma
• Vendeur : toute personne morale vendant des biens ou des services ayant souscrit auprès d’Alma l’utilisation de son service de paiement
• Visiteur : personne consultant le Site Web

Traitement et finalités

Afin de permettre le fonctionnement de la solution de paiement fractionné, Alma est amenée à effectuer les traitements suivants :

• T1 : traitements permettant d’identifier le Client
• T2 : traitements permettant l'exécution d’opérations de paiement, telles qu’autorisées par le Client
• T3 : traitements permettant d’évaluer le risque financier porté par Alma, notamment en cas de défaut de paiement du Client
• T4 : traitement permettant d’empêcher la fraude bancaire et toutes escroqueries financières, et notamment mais pas seulement l’utilisation de cartes bancaires volées
• T5 : traitements permettant l’éventuel recouvrement financier, notamment en cas de défaut de paiement du Client
• T6 : traitements, notamment statistiques, permettant à Alma d’améliorer continuellement ses outils dont les traitements sont fixés ci-dessus

Afin de permettre le bon fonctionnement du Site Web, Alma est amenée à effectuer les traitements suivants :

• T7 : traitements permettant d’identifier les visiteurs du site Web notamment dans un but marketing et de mise à disposition des contenus les plus adaptés suivant l’activité des visiteurs
• T8 : traitements permettant via le Site Web de créer un compte Vendeur

Données collectées

Alma est susceptible de collecter auprès du Vendeur les données personnelles du Client impliquées dans ces traitements suivantes :

• Nom et prénom
• Adresse électronique
• Adresse de livraison et de facturation
• Moyen de livraison (transporteur utilisé)
• Coordonnées bancaires du Client
• Numéro de téléphone du Client
• Date de naissance du Client
• Contenu du panier d’achat du Client
• Historique des achats du Client auprès du Vendeur

Le Vendeur agit alors en tant que Sous-Traitant dans ces traitements de données personnelles, sur instructions d’Alma agissant comme Responsable du Traitement. Ces données sont collectées par le Vendeur et transmises à Alma lorsque le Client demande à utiliser la solution de paiement Alma.

Alma est susceptible de collecter les données suivantes, directement auprès du Client, toujours dans le cadre des mêmes traitements :

• Les données identifiant le Visiteur (nom, prénom, adresse email, téléphone) et l’entreprise dans laquelle il travaille (raison sociale, site web, plateforme e-commerce utilisée)
• Cookie identifiant le Visiteur du Site Web afin de proposer un contenu plus adapté et à des fins statistiques
• Les données de connexion du Client (adresse IP, données de connexion, numéro unique associé à un cookie unique, langue utilisée, user agent du navigateur, opérateur télécom ou FAI, historique et données de navigation etc.)
• Vérification du numéro de téléphone par exemple via l’envoi par SMS d’un code à usage unique
• Pièce d’identité après acceptation explicite par le Client
• Données bancaires (historique des transactions) après acceptation explicite par le Client

Alma agit comme Responsable du Traitement et collecte ces données directement via ses pages de paiement (hébergées sur le sous domaine pay.getalma.eu) et son Site Web. Les données sont collectées de manière automatisée (cookies, données de connexion) ou avec intervention et donc consentement du Client (données rentrées dans des formulaires, pièce d’identité, données bancaires).

L’acceptation par le Client de la collecte, du stockage et de l’utilisation de ces données constitue une condition essentielle pour la mise à disposition du service de paiement Alma, étant donné l’ensemble des risques de fraude et d’impayés auquel Alma doit faire face.

L’acceptation par le Visiteur de la collecte, du stockage et de l’utilisation de ces données se fait soit par consentement explicite (bandeau en bas du Site Web) soit par mise à disposition directement par le Visiteur, et donc consentement.

Procédures opérationnelles de chaque traitement

Ces données seront traitées par Alma de la manière suivante (en fonction du traitement) :

• Collecte des données : T1 à T8
• Stockage sécurisé des données au sein de serveurs habilités d’Alma ou de ses fournisseurs (notamment de solutions d’hébergement) : T1 à T8
• Traitement automatisé des données bancaires, par les Sous-Traitants et Responsables de Traitement d’Alma, afin d’effectuer le paiement autorisé par le Client : T2
• Traitement automatisé des données, par des algorithmes de lutte contre la fraude bancaire et des algorithmes d’évaluation de risque de fraude et de crédit : T3, T4 et T6
• Traitement manuel des données, par des opérateurs spécialisés dans la lutte contre la fraude bancaire susceptibles d’analyser manuellement une transaction, afin de finaliser une décision impactant le Client : T3 et T4
• Anonymisation puis traitement manuel des données, par des ingénieurs spécialisés, dans l’unique objectif d’améliorer les outils internes de lutte contre la fraude bancaire, d’évaluation du risque de défaut et d’analyse des cas de recouvrement : T6
• Traitement automatique des données, par des algorithmes visant à optimiser les actions de recouvrement d’Alma : T5
• Traitement manuel des données, par des Sous-Traitants spécialisés en recouvrement de créances, dans l’unique but d’analyser le dossier d’un Client et éventuellement de le contacter : T5
• Traitement automatiques et statistiques afin de comprendre le profil des Visiteurs du site Web et adapter le contenu à leurs préférences : T7 et T8

Durée de conservation des données

L’ensemble des données précitées est conservé pour une durée de 5 ans à des fins :

• De prévention de la fraude bancaire et des impayés
• Statistiques et d’étude scientifique (amélioration des outils d’Alma)
• De prévention des contentieux
• De gestion administrative des dossiers
• Légales (notamment pour les données bancaires, dont la durée de conservation ne peut être moins de 13 mois)

Contexte légal

La base juridique permettant chacun des traitement précités est décrite ci-dessous :

• T1 et T2 : exécution du contrat visant à permettre au Client de payer en plusieurs fois une commande effectuée auprès du Vendeur
• T1, T3 à T6 : intérêt légitime de la marque : comme décrit au sein du considérant 47 du RGPD, Alma informe le Client de l’utilisation de ses données, et des traitements auxquels il peut s’attendre. Le Client pourra consulter l’ensemble de ces informations, via un lien présent sur la page de paiement
• T7, T8 : décision du Visiteur de mettre ou non ces données à disposition d’Alma

Par ailleurs, conformément aux obligations légales (notamment article L561-12 du Code Monétaire et Financier), Alma met en œuvre des traitements des données du Client ayant pour finalité la lutte contre le blanchiment de capitaux, contre le financement du terrorisme et contre la fraude en vertu de quoi ces données doivent être conservées durant cinq années, à compter de la demande d’octroi de la facilité de paiement.

Partage des données traitées

Les données demandées au Client et traitées sont nécessaires à la poursuite de l’ensemble des finalités précitées et sont destinées exclusivement aux services internes de gestion d’Alma ainsi que, le cas échéant, à ses Sous-Traitants.

Alma et ses Sous-Traitants ne commercialisent pas, de quelque manière que ce soit, les données concernant le Vendeur ou le Client.

Alma, en tant que Responsable de Traitement, s’assure que l’ensemble de ses Sous-Traitants respectent les réglementations en vigueur, et notamment le RGPD. Dans ce même cadre, ces données pourront être communiquées par Alma à certains partenaires spécialisés dans les services financiers, la lutte contre la fraude bancaire, l’optimisation du risque de défaut de paiement, la lutte contre le financement du terrorisme et le blanchiment, la détection des Personnalités Politiquement Exposées et des personnes (physiques ou morales) apparaissant sur les listes de sanction, le recouvrement financier, la gestion de créances, l’assurance aux paiements.

Décision automatisée

Dans le cadre de la gestion préventive du risque et du recouvrement, les données personnelles du Client sont traitées par Alma via des outils de profilage. Alma met notamment en œuvre des décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant le Client de manière significative. Ces décisions permettent d’identifier les Clients et les commandes pour lesquels une Transaction peut être réalisée et sont donc nécessaires à l’accord et à l'exécution de cette Transaction. Ces décisions sont fondées sur l’analyse de différentes variables relatives notamment au type de produits ou de services commandés ainsi qu’au profil du Client. Si, au regard de ces variables, le risque de fraude et d’impayés est considéré comme trop important, la Transaction ne pourra être réalisée. Concernant les décisions automatisées, le Client dispose du droit d'obtenir une intervention humaine, d’exprimer son point de vue auprès de la ressource qui aura été désignée pour traiter son dossier et de contester la décision automatique qui aura été opposée.

Droits du Client

Conformément à la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite informatique et liberté telle que modifiée, notamment, par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et au règlement européen n° 2016/679/UE du 27 avril 2016, le Client bénéficie d’un droit d’accès, de rectification, de portabilité et d’effacement de ses données ou encore de limitation des traitements afférents. Il peut également, pour des motifs légitimes, s’opposer au traitement des données le concernant. Alma peut ne pas faire droit à cette demande, en tout ou partie, dès lors que celle-ci s’avère incompatible avec son obligation de conservation ou de traitement des données en vertu d’une disposition légale (notamment lutte anti blanchiment d’argent), justifiée par l’exécution d’obligations contractuelles ou par la lutte contre la fraude et les impayés. Pour exercer tout ou partie de ces droits, le Client peut contacter le délégué à la protection des données d’Alma à l’adresse dpo@getalma.eu.