Aide
Français Deutsch English (AU) English (CA) English (GB) English (NZ) English (US) Español

Did this answer your question?

Thank you, your ticket has been marked as resolved!

If you have any further questions, please reply via your recent email from us or alternatively submit a new request to our Support team here.

Dismiss

Sorry we couldn't solve your issue here! Your original request has been received and we'll get back to you as soon as possible.

Dismiss

Articles dans cette section

Chat with us

Can't find what
you're looking for?

GoBot can help you answer your
questions, but first we need to
know how you use GoCardless.

GoCardless et le RGPD

Sommaire :

  1. Qu'est-ce que le RGPD ?
  2. GoCardless est-il en conformité avec le RGPD ?
  3. GoCardless est-il certifié en matière de protection des données ?
  4. Le RGPD exige des contrôles de sécurité efficaces. Comment GoCardless satisfait-il à cette exigence ?
  5. Quelles sont les données personnelles traitées par GoCardless ?
  6. Comment utilisez-vous les données que vous collectez ?
  7. Où traitez-vous les données collectées ?
  8. Quelles mesures sont prises par GoCardless pour mettre en œuvre la décision relative au bouclier de protection des données ?
  9. Pendant combien de temps GoCardless conserve-t-il les données personnelles ?
  10. Pouvez-vous répondre aux demandes des personnes concernées d'exercer leurs droits ?
  11. Mon entreprise utilise GoCardless pour collecter des paiements. Comment m'assurer que je suis en conformité avec le RGPD ?
  12. GoCardless a-t-il désigné un représentant RGPD que je peux contacter ?

Notre position en tant que contrôleur de données :

  1. Pourquoi GoCardless est-il contrôleur des informations personnelles des clients finaux ?
  2. Quelles sont les conséquences pour moi en tant que marchand qui utilise GoCardless ?
  3. Quelles sont les conséquences pour moi en tant que partenaire qui propose une intégration avec GoCardless ?
  4. Quelles sont les conséquences pour moi lorsque je paie un marchand par l'intermédiaire de GoCardless ?
  5. Comment puis-je obtenir une copie de votre accord sur le traitement des données (DPA) ?

 

1. Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est la législation européenne qui réglemente la protection des données. Il s'applique à travers l'Europe, et a également été adopté par la législation britannique afin de rester en vigueur au Royaume-Uni même après le Brexit. Il est destiné à uniformiser les normes de protection des données dans les pays membres de l'Union européenne et au Royaume-Uni post-Brexit. 

Des données personnelles sont générées par tous les individus dans le cadre d'une utilisation toujours plus intensive des services et des technologies. Le RGPD accorde des droits à la protection de la vie privée des personnes concernées (dans les pays de l'Union européenne et de l'EEE), et impose des obligations aux organisations qui traitent les informations personnelles de ces personnes, quel que soit le lieu où elles sont implantées.

Il offre aux citoyens de l'Union européenne et du Royaume-Uni le contrôle de leurs données personnelles, en apportant plus de transparence sur la manière dont les données sont utilisées et en s'assurant que les organisations qui gèrent les données personnelles les traitent de manière appropriée.

2. GoCardless est-il en conformité avec le RGPD ?

Alors que le Règlement général sur la protection des données (RGPD) est entré en vigueur, nous nous réjouissons de l'occasion qui nous est offerte de renforcer notre engagement dans les domaines de la confidentialité et de la sécurité des données. En 2017 et 2018, nous avons mené une étude approfondie et mis à jour nos politiques, accords, processus, produits et systèmes pour assurer notre conformité avec le RGPD et continuer de traiter la protection des données de manière prioritaire. Nous avons mis en place un programme mondial de protection de la vie privée qui garantit le respect des normes les plus strictes de la législation sur la protection de la vie privée partout où nous opérons. Nous nous engageons également à aider nos clients finaux à s'acquitter de leurs obligations en vertu de la législation. Vous trouverez des informations plus détaillées sur les mesures que nous avons prises dans notre blogue en cliquant ici.

3. GoCardless est-il certifié en matière de protection des données ?

Oui. GoCardless est enregistré auprès du bureau du commissaire à l’information britannique sous le numéro ZA024862.

4. Le RGPD exige des contrôles de sécurité efficaces. Comment GoCardless satisfait-il à cette exigence ?

GoCardless est certifié ISO27001 depuis septembre 2016, et nous sommes régulièrement audités par une tierce partie indépendante pour garantir sa conformité à la certification. Pour satisfaire aux normes ISO27001, nous révisons et améliorons constamment notre programme de gestion de la sécurité, qui inclut :

  • une approche formelle de la gestion des risques de sécurité, supervisée dans le cadre de notre programme de gestion des risques d'entreprise
  • une équipe spécialisée dans l'ingénierie de la sécurité, y compris la sécurité des applications et les opérations de sécurité 
  • une formation sur la sécurité obligatoire pour tous les employés
  • des stratégies de mot de passe sécurisées
  • des procédures de sécurité dans le développement des produits et le contrôle des modifications
  • des protocoles de classification des informations et de gestion des documents
  • des contrôles d’accès basés sur les besoins spécifiques et vérifiés régulièrement
  • des protocoles de résilience des centres de données et de continuité de l'activité
  • des protocoles de sécurité pour les bases de données et les sauvegardes
  • la sécurité physique de nos environnements de travail
  • le cryptage et la gestion des clés
  • des protocoles formels d'intervention en cas d'incident

5. Quelles sont les données personnelles traitées par GoCardless ?

En tant que contrôleur des données personnelles des payeurs et marchands qui utilisent les services GoCardless, nous respectons notre obligation légale d'indiquer de manière précise, complète et claire les données personnelles que nous utilisons. Vous pouvez lire la politique de confidentialité de GoCardless en cliquant ici, et consulter notre blogue à ce sujet pour plus d'informations.

6. Comment utilisez-vous les données que vous collectez ?

Nous traitons les données personnelles pour fournir le service GoCardless à nos marchands. Nous utilisons également les données personnelles que nous détenons pour améliorer le service GoCardless, pour fournir un service d'assistance, pour prévenir toute fraude et blanchiment d'argent et à d'autres fins similaires. Nous ne communiquons pas les données personnelles à des tiers pour leurs propres fins indépendantes, comme la publicité ou d'autres fins sans relation avec les services GoCardless.

Vous trouverez des informations complémentaires sur la manière dont GoCardless utilise les données personnelles dans notre politique de confidentialité.

7. Où traitez-vous les données que vous collectez ?

GoCardless fait appel à différents services et prestataires pour fournir des services de traitement des paiements à ses marchands.

Nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). GoCardless utilise des prestataires sélectionnés avec soin pour effectuer des tâches spécifiques pouvant entraîner le transfert de données en dehors de l'EEE. Pour en savoir plus sur nos fournisseurs de matériel et leur emplacement, consultez la Politique de confidentialité mondiale de GoCardless.

Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD. Nous procédons à un contrôle préalable des fournisseurs, dans le cadre duquel nous recherchons un mécanisme tel qu'un constat d'adéquation de la Commission européenne ou des règles d'entreprise contraignantes. Lorsqu'elles sont nécessaires, nous concluons les clauses contractuelles types de l'Union européenne pour régir le transfert.

Nous nous engageons à le faire dans la section intitulée « Protection des données » de nos contrats de marchand GoCardless.

8. Quelles mesures sont prises par GoCardless pour mettre en œuvre la décision relative au bouclier de protection des données ?

En juillet 2020, la Cour européenne de justice a invalidé le Bouclier de protection des données, l'un des instruments juridiques qui rendaient licites les transferts de données vers les États-Unis. 

En tant que société européenne, GoCardless n'a jamais détenu de certification Privacy Shield (Bouclier de protection des données). Cependant, nous avons conscience que nombre de nos fournisseurs s'appuient sur cette certification pour nous fournir des services à partir des États-Unis. Nous dressons un inventaire de ces fournisseurs et nous mettons en place un mécanisme de transfert dans le cadre de notre obligation de diligence à l'égard des fournisseurs. Nous suivons de près les recommandations de nos autorités de protection des données et de la Commission européenne, et nous apporterons les changements nécessaires pour que nos fournisseurs puissent continuer à appuyer nos services.

9. Pendant combien de temps GoCardless conserve-t-il les données personnelles ?

GoCardless utilise un programme de conservation et suppression des données officiel, conforme au RGPD. Ce programme inclut une norme documentée de conservation et suppression des données, avec une période de conservation définie pour chaque catégorie de données en notre possession fondée sur :

  • la relation dans le cadre de laquelle nous avons obtenu les données et le type de personne concernée,
  • la catégorie de données, et
  • le but documenté du traitement (y compris les exigences légales et réglementaires et les exigences du programme de paiement en matière de conservation des données).

Nous appliquons nos protocoles de conservation des données dans l'ensemble de l'entreprise et nous effectuons un suivi de la conformité.

Les périodes de conservation réelles varient. Par exemple, nous sommes tenus de conserver les données personnelles des individus pour lesquels nous effectuons des contrôles dans le cadre de la lutte contre le blanchiment d'argent (directeurs d'entreprises qui s'inscrivent pour utiliser nos services, par exemple) pendant un certain nombre d'années conformément aux règles contre le blanchiment d'argent dans les pays dans lesquels nous sommes implantés. Nous devons conserver les données relatives aux transactions de paiement afin de pouvoir traiter les rejets de paiement/demandes d'indemnisation dans les systèmes de paiement qui régissent nos services (prélèvement au Royaume-Uni, par exemple).

10. Pouvez-vous répondre aux demandes émises par les personnes concernées d'exercer leurs droits ?

Nous répondons aux demandes des personnes concernées et nous essayons de rendre ce processus aussi simple que possible. Nous disposons d'un portail en ligne que vous pouvez utiliser pour envoyer votre demande en cliquant ici.

Si vous estimez que les données que nous détenons sont incorrectes ou incomplètes, veuillez envoyer un e-mail à l'adresse info@gocardless.com avec la mention « Confidentialité » dans l'objet, qui expose les détails de votre demande. Nous vous répondrons dans les plus brefs délais.

11. Mon entreprise utilise GoCardless pour prélever des paiements. Comment m'assurer que je suis en conformité avec le RGPD ?

En tant que marchand, vous êtes également un contrôleur des données personnelles de vos clients finaux. Cela signifie que vous devez vous assurer que vous avez des raisons valables de traiter les données personnelles de vos clients finaux et que vous prenez toutes les mesures nécessaires pour respecter la nouvelle législation.

GoCardless étant un contrôleur de données indépendant, nous assumons la responsabilité directe de respecter la législation relative au traitement des données. Vous pouvez nous aider à clarifier notre rôle dans les services fournis en ajoutant notre nom et notre politique de confidentialité sur vos pages de paiement. Vous trouverez des indications sur la manière de garantir que nous remplissons nos obligations en matière de transparence dans notre guide sur les pages de paiement.

12. GoCardless a-t-il désigné un représentant RGPD que je peux contacter ?

GoCardless a nommé un responsable officiel de la protection des données pour assurer notre conformité à la législation. Vous pouvez adresser toute question au responsable de la protection des données concernant notre approche de la confidentialité et de la protection des données, en envoyant un e-mail à l'adresse help@gocardless.com avec la mention « Confidentialité » dans l'objet.

 

Notre position en tant que contrôleur de données

1. Pourquoi GoCardless est-il contrôleur des informations personnelles des clients finaux ?

La loi sur la protection des données considère les entreprises qui traitent des données personnelles comme des contrôleurs de données et des responsables du traitement de données. En vertu de la loi sur la protection des données, la plupart des entreprises qui agissent en tant que fournisseurs auprès d'autres entreprises seront considérées comme responsables du traitement de données. Il existe toutefois des exceptions, qui s’appliquent habituellement dans le cas des entreprises qui fournissent des services à d’autres entreprises dans des secteurs fortement réglementés, tels que les paiements.

Dans le cadre de notre préparation au RGPD, nous avons procédé à un examen approfondi de nos activités de traitement et nous sommes parvenus à la conclusion que nous devons agir en tant que contrôleur de données en vertu de la loi et non en tant que responsable du traitement des données. Cette décision est fondée sur :

Lorsque nous collectons et traitons les données personnelles des individus qui achètent vos services ou marchandises par le biais de paiements gérés par GoCardless, nous sommes soumis à des exigences, règles, lois et réglementations que nous devons respecter, ainsi qu'à des processus qui permettent à nos services de paiement de fonctionner de manière plus efficace, avec les protocoles appropriés pour contrôler les risques de fraude et autres (dans la terminologie de la loi, nous déterminons les « objectifs et moyens »). Par exemple, nous déterminons la période de conservation des données des clients finaux conformément aux exigences des règles du programme de paiement.

Vous trouverez des informations complémentaires sur notre position et sur les conséquences pour nos marchands et leurs clients finaux dans notre blogue.

2. Quelles sont les conséquences pour moi en tant que marchand qui utilise GoCardless ?

La position de GoCardless en tant que contrôleur de données représente un avantage pour nos marchands. GoCardless assume une responsabilité directe en ce qui concerne les obligations légales relatives au traitement des données personnelles pour nos services de paiement. Vos clients finaux ont un lien juridique direct avec GoCardless à l'égard de notre utilisation de leurs données personnelles. Cela signifie qu'ils peuvent exercer certains droits envers nous directement.

Afin de pouvoir remplir nos obligations respectives en vertu de la loi, nous vous demandons d'inclure un lien vers notre politique de confidentialité au moment de la collecte des données ou sur les autres interfaces disponibles.

Si vous avez des questions relatives à cette exigence, contactez-nous à l'adresse help@gocardless.com.

3. Quelles sont les conséquences pour moi en tant que partenaire qui propose une intégration avec GoCardless ?

En tant que partenaire, vous êtes également un marchand GoCardless et avez conclu un contrat de services de paiement ou contrat de marchand GoCardless en plus du contrat d'intégration partenaire, de sorte que les points mentionnés dans la section 2 ci-dessus vous concernent.

Conformément aux conditions énoncées dans le contrat d'intégration partenaire GoCardless, et selon les modalités du contrat de marchand connecté que les marchands GoCardless acceptent avant de se connecter à votre système, vous devez mettre en place un contrat avec chaque marchand qui utilise votre service incluant les conditions appropriées relatives à la protection des données. Lorsqu'un marchand active votre intégration, il nous autorise à partager les données personnelles des clients finaux avec vous en sa qualité de contrôleur de données, et vous devez protéger ces données et apporter des garanties suffisantes. Notre statut de contrôleur ne change rien, ces accords doivent déjà être en place !

Nos marchands doivent s'assurer que leurs clients finaux peuvent accéder à tout moment à notre politique de confidentialité. Les pages de paiement mises à leur disposition doivent inclure un lien vers cette politique. Nos conditions mises à jour pour le RGPD énoncent cette exigence et permettent à GoCardless de vérifier que vous avez inclus notre politique de confidentialité.

4. Quelles sont les conséquences pour moi lorsque je paye un marchand par l'intermédiaire de GoCardless ?

GoCardless est le prestataire de service de paiement d'une société à qui vous versez des paiements de façon récurrente. Nous sommes une organisation soumise à la réglementation FCA, et nous nous efforçons de fournir le meilleur service de prélèvement disponible.

Après un examen approfondi conformément au Règlement général sur la protection des données, nous avons clarifié notre position de contrôleur de données pour les personnes qui payent des entreprises par l'intermédiaire de GoCardless. Les raisons de cette clarification sont décrites dans notre blogue récent et notre politique de confidentialité définit comment, pourquoi et quand nous utilisons vos données personnelles.

Le RGPD impose des règles strictes quant aux motifs pour lesquels nous pouvons utiliser vos données, comment nous devons les protéger et ce que nous devons faire en cas de problème. Nous sommes par ailleurs tenus de respecter la réglementation des services financiers, qui intègre également les données et la sécurité. Soyez donc assuré que nous traiterons vos données dans le respect de la législation.

Si vous avez d'autres questions, faites-le nous savoir ou transmettez-les à la société que vous payez par l'intermédiaire de GoCardless.

5. Comment puis-je obtenir une copie de votre accord sur le traitement des données (DPA) ?

Vous pouvez consulter les conditions de protection des données mises à jour qui s'appliquent au contrat que nous avons conclu ensemble dans la section intitulée « Protection des données » de notre contrat de marchand GoCardless en ligne.

Vous noterez une différence par rapport à la liste des conditions requises stipulées à l'article 28 du RGPD. Cela s'explique par le fait que notre contrat reflète notre relation en tant que contrôleurs de données indépendants. L'article 28 s'applique uniquement aux contrats passés avec des responsables du traitement des données, car il impose les obligations contractuelles que les contrôleurs de données sont tenus de respecter.

 

Articles associés