Vue d’ensemble de la conformité
Microsoft Dynamics 365 Fraud Protection a été conçu dans un esprit de conformité, de confidentialité, de sécurité et de respect de la vie privée. Il ne doit être utilisé que pour prévenir la fraude et identifier les transactions de paiement valides. Microsoft offre Fraud Protection dans le cadre des conditions d’utilisation de Microsoft Online Services, lesquelles incluent de strictes conditions de protection des données.
Pour consulter les conditions d’utilisation de Microsoft Online Services, qui incluent les conditions d’utilisation spécifiques de Fraud Protection, afin de déterminer si Fraud Protection répond à vos exigences, consultez le site : https://www.microsoft.com/licensing/product-licensing/products.
Il vous appartient d’effectuer ce qui suit :
- Informer vos clients de vos pratiques de traitement des données, par exemple en divulguant les données que vous collectez et comment elles sont utilisées.
- Divulguer votre utilisation de tiers travaillant en votre nom pour traiter les données que vous collectez, y compris les prestataires du service Fraud Protection.
- Se conformer à toutes les lois et réglementations applicables à l’utilisation de Fraud Protection, y compris les lois sur la protection des données.
Commencez par la transparence
Avant de mettre en œuvre Fraud Protection, assurez-vous que les divulgations de confidentialité dans votre expérience de e-commerce décrivent comment vous utilisez les données personnelles, y compris comment elles sont utilisées pour prévenir et détecter la fraude. Tirez parti de la documentation de Fraud Protection pour répondre à vos besoins de transparence.
Répondre aux demandes des personnes concernées
Fraud Protection fournit des outils pour vous aider à répondre aux demandes de vos clients (personnes concernées). Ces outils vous permettent de supprimer et d’exporter des données de transaction des évaluations qui n’ont pas été traitées à l’aide de techniques d’attribution d’un pseudonyme dans le réseau Fraud Protection. Une fois les données transactionnelles traitées dans le réseau, elles ne peuvent pas être consultées, exportées, affichées ou supprimées. Les données transactionnelles sont définies comme toutes les données issues de la charge utile de la demande et de la réponse, ainsi que tous les attributs et enrichissements associés à une transaction. Fraud Protection peut toujours conserver des données agrégées calculées avec une contribution de la transaction.
Remarque
Le champ ID utilisateur dans la charge utile de l’API pour supprimer ou exporter les appels est obligatoire pour que Fraud Protection puisse traiter correctement les demandes de la personne concernée (DSR) correspondantes. L’ID utilisateur doit être identique à celui fourni pour la création du compte, la connexion au compte ou l’appel de l’API d’achat pour la même personne concernée. Si un ID utilisateur n’est pas fourni ou si un ID utilisateur différent de celui fourni précédemment est fourni, il sera extrêmement difficile pour Fraud Protection d’identifier la transaction et les demandes de la personne concernée seront difficiles à traiter sans des efforts d’investissement importants.
Pour plus d’informations, voir les ressources suivantes (éventuellement en anglais) :
- API Dynamics 365 Fraud Protection.
- Demandes des personnes concernées
- Protéger la vie privée des individus avec le Microsoft Cloud
Sur la page Demandes des personnes concernées, vous pouvez effectuer les tâches suivantes pour toutes les transactions :
- Identifier les transactions qui contiennent des données personnelles
- Supprimer les transactions
- Exporter les transactions
Gérer les demandes des personnes concernées
Une demande de personne concernée (DSR) est une demande de modification de données personnelles détenues par un tiers.
Gérer les demandes DSR avec Fraud Protection :
Dans la barre de navigation gauche, sélectionnez Paramètres, puis sélectionnez Demandes des personnes concernées.
Vous pouvez faire des demandes pour chaque évaluation. Pour une demande, sélectionnez l’évaluation, l’ID de la personne concernée et la valeur de l’ID de la personne concernée.
- Pour la création de compte, la connexion au compte et la protection des achats, l’ID de la personne concernée est user.userId.
- Pour plus d’informations sur les identifiants des personnes concernées pour les évaluations créées à l’aide de l’Assistant d’évaluation, consultez ID de la personne concernée.
Sélectionnez le type de demande que vous souhaitez effectuer (exporter ou supprimer), puis vérifiez et confirmez.
La table Demandes identifie les propriétés suivantes pour vos demandes. Le journal conserve les liens vers les données exportées et les informations pendant 28 jours.
- ID de demande
- Demandeur
- Horodatage
- Types de demandes (supprimer ou exporter)
- Statuts (en attente ou traitée)
- Liens vers les données exportées
API pour les demandes des personnes concernées
Fraud Protection vous permet d’honorer par programme les demandes des personnes concernées à l’aide de notre API. Vous trouverez ci-dessous le schéma de nos API consacrées au RGPD.
Charge utile de l’API RGPD. L’API RGPD est utilisée pour la Protection des comptes et la Protection des achats.
Attribut | Type | Description | Requis ? |
---|---|---|---|
SubjectID | chaîne | Prend la forme « Utilisateur:userId », où userId est un attribut de l’objet Utilisateur. | Oui |
Charge utile de l’API de demande de la personne concernée. L’API de demande de la personne concernée est utilisée pour les évaluations.
Attribut | Type | Description | Requis ? |
---|---|---|---|
AssessmentName | chaîne | Nom de l’évaluation. | Oui |
PropertyName | chaîne | Le nom de la propriété qui est l’ID de la personne concernée. Par exemple, user.id. | Oui |
PropertyValue | chaîne | La valeur de la propriété qui correspond à l’ID de la personne concernée sur laquelle vous effectuez la demande. Par exemple, user123. | Oui |
Pour plus de documentation sur cette API et les autres API de Fraud Protection, voir API Dynamics 365 Fraud Protection.
Demande de la personne concernée pour les états
Les modifications de données par le biais des demandes de la personne concernée affectent les numéros d’agrégation des états. Fraud Protection recalcule les états pour refléter les nouvelles mises à jour du statut (par exemple, les taux de rétrofacturation dans la protection des achats). Cependant, il ne conserve que des instantanés des données agrégées en dehors de cet intervalle de temps mobile. L’instantané agrégé ne contient plus de détails au niveau de la transaction ni d’informations d’identification personnelle. Par conséquent, l’instantané agrégé ne peut pas refléter l’impact de la suppression du RGPD. Par exemple, un client peut demander de supprimer toutes les transactions ducompte, y compris deux transactions du mois dernier et une transaction d’il y a cinq mois. Lorsque cette demande de suppression du RGPD est traitée dans Fraud Protection, un état mis à jour configuré pour refléter les quatre derniers mois de données pourrait n’afficher aucune transaction du mois précédent. Les états antérieurs à l’intervalle de temps précédemment défini de quatre mois ne seront pas mis à jour. Cependant, ces états n’affectent aucune action de suppression dans les données sous-jacentes.
Fair Credit Reporting Act
La Fair Credit Reporting Act (FCRA) est une loi fédérale sur la protection de la vie privée qui réglemente la divulgation et l’utilisation des informations personnelles des consommateurs pour déterminer l’admissibilité d’un consommateur à obtenir un produit ou un service ou à s’engager autrement dans une transaction. La FCRA s’applique également à l’utilisation des informations personnelles des consommateurs pour des transactions non liées au crédit, telles que l’assurance, l’emploi ou même les achats au détail, où la réputation ou les caractéristiques personnelles du consommateur sont pertinentes pour l’admissibilité.
Pourquoi la FCRA est-elle importante pour les utilisateurs de Fraud Protection ? Fraud Protection n’a pas été conçu pour analyser les caractéristiques ou le comportement des utilisateurs de cartes de crédit, qui est principalement un domaine que la FCRA protège pour les consommateurs. Fraud Protection vous informe uniquement du risque que la transaction a peut-être été effectuée par un fraudeur, et non si l’acheteur spécifique a des antécédents de fraude. Si Fraud Protection est utilisée de manière abusive pour évaluer les caractéristiques personnelles d’un acheteur donné à des fins limitées par la FCRA, cet abus pourrait entraîner de graves conséquences légales pour les utilisateurs et Microsoft. Pour cette raison, nous veillons tout particulièrement à éduquer nos clients sur les limitations d’utilisation de Fraud Protection.
Par conséquent, lors de la première exécution de Fraud Protection, des formulaires de consentement d’utilisation sont fournis aux administrateurs de clients, mais uniquement lorsqu’ils accèdent à l’application pour la première fois. Cette expérience utilisateur est présentée à l’administrateur produit, l’administrateur général, l’administrateur PSP et l’administrateur de tous les domaines.