En ce moment souffle un vrai vent de panique autour de la mise en application prochaine de la RGPD. Ainsi, beaucoup d'entreprises me contactent afin de connaître les actions qu'elles doivent réaliser pour garantir leur conformité concernant les données de paiement.
Nous avons donc décidé de rédiger cet article pour clarifier la situation :
- Qu'est-ce la RGPD et en quoi est-ce une bonne nouvelle pour les entreprises ?
- Quelles sont les implications de cette réglementation sur les données de paiement (et notamment les différences avec les données marketing) ?
- Comment respecter cette directive et garantir les droits des consommateurs ?
Présentation de la RGPD
Protection dès la conception et protection par défaut
Pour synthétiser la RGPD, les principes de « protection dès la conception » et « protection par défaut » sont généralement utilisés. Cela signifie que toute tâche liée au traitement d'informations personnelles doit garantir leur protection à chaque étape. De plus, lorsqu'un produit ou service est lancé, celui-ci doit par défaut proposer les paramètres de confidentialité les plus stricts.
Il s'agit simplement du prolongement logique des règlementations déjà existantes.
Ici, le but est d'assurer la confidentialité des consommateurs : tout est question de respect.
Chez Adyen, c'est un problème qui nous tient à cœur depuis nos débuts. Nous n'avons eu de cesse de garantir la sécurité des consommateurs, et ce nouveau règlement n'aura donc qu'un impact réduit sur notre façon de travailler. D'ailleurs, cette réglementation devrait être accueillie à bras ouverts par toute entreprise soucieuse de garantir la confidentialité de ses clients.
Simplifier le commerce transfrontalier
Dans l'histoire récente, les dirigeants de l'Union européenne ont toujours été de fervents défenseurs de la protection des données personnelles de ses citoyens. Ainsi, la RGPD ne fait que standardiser les bonnes pratiques déjà en application dans divers pays. Cette réglementation a pour objectif d'assurer une protection unifiée dans tous les marchés de l'UE et de garantir légalement le droit des consommateurs à la confidentialité en matière de données.
Les entreprises sont également gagnantes, car la RGPD assure une harmonisation des directives nationales et intègre des dispositions claires. Ainsi, les transactions transfrontalières sont simplifiées : vous n'aurez plus à vous demander s'il existe des disparités entre les législations de deux pays membres.
Parallèlement, l'entrée en vigueur de la RGPD est également une très bonne nouvelle pour les entreprises extérieures à l'UE qui vendent leurs produits dans ce marché. En effet, vous pourrez identifier les points de convergence entre votre propre législation et celle de l'Union, ce qui facilitera votre activité dans la région.
RGPD : implications en matière de données de paiement
D'un point de vue juridique, peut-on dire que le traitement des données marketing et des données de paiement est en tout point similaire ? Pour faire parvenir du contenu marketing aux consommateurs, il est nécessaire de recevoir leur accord préalable : ici, les règles sont claires, nettes et précises. Cependant, lorsqu'il est question de paiements, peut-on vraiment parler d'accord ?
L'exécution du contrat
Différentes raisons peuvent justifier le traitement des données selon les dispositions de la RGPD. En matière de données de paiement, il s'agit du principe d'exécution du contrat, qui exige au client de fournir certaines informations afin de recevoir le bien/service demandé.
Ce principe d'exécution ne repose pas sur un accord continu.
Ainsi, si l'on s'appuie sur ce principe pour régir le traitement des données, on constate qu'un accord continu n'est pas requis pour utiliser les données au cours du cycle de vie du produit ou service (abonnements, garanties ou impayés). Seul bémol, ces données ne pourront pas être utilisées à toute autre fin. Cependant, cela reste bien plus simple que de prouver que vous disposez de l'accord des clients. De plus, vous n'avez pas à gérer les retraits de consentement.
Respecter les droits des consommateurs
En matière de données, la RGPD distingue trois rôles :
- La personne concernée : le consommateur (votre client)
- Le responsable du traitement des données : le commerçant (vous)
- Le sous-traitant des données : un tiers auquel le traitement des données a été délégué par le commerçant (dans ce cas, Adyen)
En tant que responsable du traitement, vous êtes en charge de la relation avec la personne concernée. Vous pouvez demander à un tiers (tel qu'Adyen) de traiter les données, cependant vous devrez définir le but (ou les objectifs) et la base légale de ce traitement.
Tous les tiers doivent ainsi respecter les conditions de l'accord conclu entre le responsable du traitement et la personne concernée. Pour vous en assurer, vous devez conclure un Accord de Traitement des Données avec chacun d'entre eux. Par exemple, l'accord proposé par Adyen est conçu pour vous protéger, il est fortement axé sur les transactions et prouve ainsi que vous respectez les directives de la RGPD (au moins en matière de paiements).
Droits de la personne concernée
Parmi les droits conférés à la personne concernée, certains éléments sont particulièrement intéressants, notamment en matière de données de paiement.
Le droit d'accès
Les individus ont le droit d'accéder à toutes les données détenues à leur sujet par une entreprise, y compris les données de paiement. Voici la question qui revient le plus souvent à ce sujet :
Que faire si un consommateur demande à consulter ses données ?
En tant que sous-traitant, nous sommes juridiquement tenus d'aider le responsable des données à fournir les informations demandées. Chez Adyen, cette procédure est un jeu d'enfant, il vous suffit de contacter notre équipe support et de fournir une référence de prestataire de services de paiement (ou PSP).
Cependant, vous devez garder à l'esprit que ce droit à l'accès est également un grand facteur de risques. En effet, il est possible que des individus malintentionnés s'en servent pour dérober les données d'autrui. Ainsi, vous devez vérifier l'identité du consommateur avec soin avant de fournir ces informations personnelles.
Le droit à l'oubli : quelles données pouvez-vous (ou non) effacer ?
Autre élément important de cette règlementation, le droit à l'oubli. Dans une contexte marketing, cela signifie que vous êtes tenu (à la demande du client) de supprimer toutes les données au sujet du consommateur et de ne plus jamais le contacter. En matière de paiements, les choses sont plus compliquées : selon le cas de figure, certaines données devront obligatoirement être conservées.
Dans certains cas, une partie des données devra être conservée.
Imaginons qu'un client ait acheté un produit muni d'une garantie. Cette dernière peut comporter une période de remboursement s'étalant parfois sur plus de 3 ans. Autre exemple, un client a souscrit à un abonnement annuel qui n'a pas été résilié : vous devrez conserver certaines données pour poursuivre la facturation.
Ainsi, il est possible qu'un client demande à bénéficier de ce droit à l'oubli en raison d'un trop grand nombre d'e-mails marketing. Votre service à la clientèle devra alors écouter les doléances du client, poser les bonnes questions et régler au mieux la situation, par exemple en lui proposant de le retirer de votre liste de publipostage.
Il est du ressort de votre entreprise d'indiquer à sa clientèle les données qui pourront être effacées et celles qui seront conservées. Mais ne vous inquiétez pas, nous sommes là pour vous aider. Nous examinerons chaque demande selon les exigences d'exécution du contrat (et des autres obligations qui nous incombent en tant qu'organisme financier) et cela dans les délais définis par le RGPD.
Comment se préparer à l'entrée en vigueur et anticiper sur le long terme ?
N'oubliez pas qu'il ne s'agit pas d'une course, mais d'un marathon : il ne suffit pas d'être prêt à la date du 25 mai, jour d'entrée en vigueur de la RGPD.
Il va sans dire que les législateurs veilleront à ce que les entreprises appliquent cette réglementation sur le long terme. Pour vous préparer à cet audit continu, voici les premières étapes que nous vous conseillons de réaliser :
Assurez-vous de conclure un Accord de traitement des données avec chacun de vos prestataires : cela est essentiel pour assurer votre conformité.
N'oubliez pas qu'il ne s'agit pas d'une course, mais d'un marathon.
Concernant le traitement des données, prêtez une attention toute particulière à vos politiques de confidentialité et à vos mentions légales.
Servez-vous de ces conseils comme d'une base sur laquelle étayer votre action. Vous devez être en mesure de prouver que vous traitez la RGPD avec tout le sérieux requis et œuvrez activement afin de respecter ces nouvelles directives.
Il est tout à fait normal que cela vous semble nébuleux, nous n'en sommes qu'aux prémices et ces directives deviendront plus claires au fil du temps : le 25 mai ne marque que le début de cette courbe d'apprentissage. De plus, il ne faut pas oublier que la mission de la RGPD est tout à fait louable. En tant que consommateur, je suis ravi de bénéficier d'une telle protection, et vos clients seront du même avis !
Si vous avez des questions au sujet du RGPD, n'hésitez pas à contacter votre Account Manager ou le service commercial pour obtenir de plus amples informations.
__________________
Peter Cooper
Fort de plus de 20 ans d'expérience en matière d'infrastructure, de sécurité, de processus et de systèmes informatiques, Peter Cooper fait figure d'expert en matière de sécurité des informations. Dans ce travail, chaque jour est différent : Il peut être question d'ingénierie de sécurité, de travaux d'analyse, de sessions de planification stratégique avec les décisionnaires, ou encore de gestion et présentation de projets visant à assurer la conformité.
Avez-vous aimé cet article ?
Pour rester à la pointe de l'actualité du secteur des paiements et de sa réglementation, abonnez-vous à notre newsletter : cliquez ici.
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.