Légal

GoCardless et le RGPD 

1. Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est la législation européenne qui réglemente la protection des données. Il s'applique à travers l'Europe, et a également été adopté par la législation britannique afin de rester en vigueur au Royaume-Uni même après le Brexit. Il a pour but d'uniformiser la protection des données à travers les pays membres de l'Union européenne et au Royaume-Uni post-Brexit. Des données personnelles sont générées par tous les individus tandis que toujours plus de services et de technologies sont utilisés. Le RGPD accorde des droits à la protection de la vie privée des personnes concernées (dans les pays de l'Union européenne et de l'EEE), et impose des obligations aux organisations qui traitent les informations personnelles de ces personnes, quel que soit le lieu où elles sont implantées. Il offre aux citoyens de l'Union européenne et du Royaume-Uni le contrôle de leurs données personnelles, en apportant plus de transparence sur la manière dont les données sont utilisées et en s'assurant que les organisations qui gèrent les données personnelles les traitent de manière appropriée.

2. GoCardless est-il en conformité avec le RGPD ?

Le Règlement général sur la protection des données (RGPD) étant désormais en vigueur, nous nous réjouissons de l'occasion qui nous est offerte de renforcer notre engagement dans les domaines de la confidentialité et de la sécurité des données. En 2017 et 2018, nous avons mené une étude approfondie et mis à jour nos politiques, accords, processus, produits et systèmes afin d'assurer notre conformité avec le RGPD et de continuer à faire de la protection des données un enjeu prioritaire. Nous veillons à faire évoluer nos opérations en fonction de la législation en vigueur en matière de protection de la vie privée. Nous avons mis en place un programme mondial de protection de la vie privée qui nous permet de respecter les normes les plus rigoureuses de la législation sur la confidentialité dans tous les pays où nous sommes présents. Ce programme inclut des processus documentés, l'évaluation du risque des processus opérationnels ayant un impact sur la vie privée, et l'application d'une méthodologie Privacy-by-design selon les meilleures pratiques de l'industrie pour réduire l'impact sur la vie privée. Nous nous engageons également à aider nos clients à s'acquitter de leurs obligations en vertu de la législation. Vous pouvez en apprendre davantage sur les mesures prises en vue de cette préparation en consultant notre billet de blog ici.

3. GoCardless est-il en conformité avec d'autres lois sur la confidentialité et la protection des données ?

Nous sommes présents dans une multitude de pays dotés de leurs propres réglementations en matière de protection de la vie privée et des données, et nous veillons à ce que nos activités soient en parfaite conformité. Ainsi, l'Australian Privacy Act (loi australienne sur la protection de la vie privée), le New Zealand Privacy Act (loi néo-zélandaise sur la protection de la vie privée), la LPRPDE au Canada, ou les lois étatiques et fédérales des États-Unis s'appliquent à nos opérations. Notre programme mondial de protection de la vie privée repose sur le modèle du RGPD, la norme absolue en matière de conformité, adapté, le cas échéant, aux variations des lois locales.

4. GoCardless est-il certifié en matière de protection des données ?

GoCardless est basé au Royaume-Uni, et enregistré auprès de l'office du commissaire à l’information britannique sous le numéro ZA024862.

5. Le RGPD exige des contrôles de sécurité efficaces. Comment GoCardless satisfait-il à cette exigence ?

GoCardless est certifié ISO27001 depuis septembre 2016, et nous sommes régulièrement audités par une tierce partie indépendante pour garantir sa conformité à la certification. Pour satisfaire aux normes ISO27001, nous révisons et améliorons constamment notre programme de gestion de la sécurité, qui inclut :

• une approche formelle de la gestion des risques de sécurité, supervisée dans le cadre de notre programme de gestion des risques d'entreprise

• une équipe spécialisée dans l'ingénierie de la sécurité, y compris la sécurité des produits et les opérations de sécurité

• une formation sur la sécurité obligatoire pour tous les employés

• des stratégies de mot de passe sécurisées

• des procédures de sécurité dans le développement des produits et le contrôle des modifications

• des protocoles de classification des informations et de gestion des documents

• des contrôles d’accès basés sur les besoins spécifiques et vérifiés régulièrement

• des protocoles de résilience des centres de données et de continuité de l'activité

• des protocoles de sécurité pour les bases de données et les sauvegardes

• la sécurité physique de nos environnements de travail

• le cryptage et la gestion des clés

• des protocoles formels d'intervention en cas d'incident

6. Quelles sont les données personnelles traitées par GoCardless ?

En tant que responsable du traitement des informations personnelles concernant les payeurs et les marchands qui utilisent les services GoCardless, nous respectons les exigences de la législation de signifier de manière précise, complète et claire les informations personnelles que nous utilisons. Vous pouvez lire la politique de confidentialité de GoCardless ici et consulter notre billet de blog sur ce sujet pour de plus amples informations.

7. Comment utilisez-vous les données que vous collectez ?

Nous traitons les données personnelles pour fournir le service GoCardless à nos marchands. Nous utilisons également les données personnelles que nous détenons pour améliorer le service GoCardless, pour fournir un service d'assistance, pour prévenir la fraude et le blanchiment d'argent et à d'autres fins similaires. Nous ne communiquons pas les données personnelles à des tiers pour leurs propres fins indépendantes, comme la publicité ou d'autres fins sans relation avec les services GoCardless. Vous trouverez des informations complémentaires sur la manière dont GoCardless utilise les données personnelles dans notre politique de confidentialité.

8. Obtenez-vous un consentement explicite pour les données que vous collectez ?

En un mot, non ! Les lois sur la confidentialité et la protection des données n'exigent pas toujours un consentement, et d'ailleurs, il ne serait pas approprié que nous le demandions. Pour comprendre pourquoi, nous devons examiner la loi de plus près. Le RGPD exige que les entreprises disposent d'une « base légale » pour traiter les données personnelles. Nous ne pourrions pas traiter les données personnelles comme nous le faisons si nous ne pouvions pas compter sur l'une des bases listées. En vertu de l'article 6, la loi stipule six bases légales :(a) la personne a donné son consentement (b) le traitement des données est nécessaire pour mener à bien l'exécution d'un contrat ou d'une transaction pour la personne (c) le traitement des données est nécessaire au regard du respect d'une obligation légale (d) le traitement des données est nécessaire à la sauvegarde des intérêts vitaux d'une personne (par exemple, pour sauver une vie) (e) le traitement des données est nécessaire au regard de l'intérêt public ou d'une autorité officielle (généralement pour les contrôleurs du secteur public) (f) le traitement des données est nécessaire pour satisfaire à des intérêts légitimes qui ne prévalent pas sur les intérêts ou les droits de la personnePour fournir nos services, nous nous appuyons sur trois de ces bases : (b) nécessaire à l'exécution de la transaction - par exemple, lorsque nous fournissons nos services de paiement, (c) nécessaire au respect d'une obligation légale - par exemple, lorsque nous effectuons un contrôle dans le cadre de la lutte contre le blanchiment d'argent, et (f) nécessaire pour satisfaire à nos intérêts légitimes - par exemple, lorsque nous appliquons nos modèles de fraude. Le consentement ne serait approprié pour aucune de ces activités ; en effet, nous ne pourrions pas permettre à une personne d'accorder ou de révoquer son consentement au traitement des données après avoir soumis une transaction, ni de renoncer à la prévention de la fraude, sans que cela ait de graves conséquences pour la sécurité et la conformité de nos services.Lorsqu'aucune autre base ne s'applique, ou lorsque nous y sommes tenus par la loi, nous obtenons le consentement. Par exemple, nous sommes tenus par des réglementations de paiement telles que la DSP2 de recueillir un consentement pour que les payeurs authentifient leur compte bancaire dans le cadre de l'Open Banking, et nous avons intégré ce consentement à nos pages de paiement.Vous pouvez en apprendre davantage sur nos bases légales en matière de traitement des données en consultant notre politique de confidentialité : gocardless.com/privacy/details

9. Où traitez-vous les données que vous collectez ?

GoCardless fait appel à différents services et prestataires pour fournir des services de traitement des paiements à ses marchands.L'ensemble de nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). GoCardless utilise des prestataires sélectionnés avec soin pour effectuer des tâches spécifiques pouvant entraîner le transfert de données en dehors de l'EEE. Pour en savoir plus sur nos principaux fournisseurs et leur emplacement, consultez la Politique de confidentialité mondiale de GoCardless.Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD. Nous procédons à un contrôle préalable des fournisseurs, dans le cadre duquel nous recherchons un mécanisme tel qu'un constat d'adéquation de la Commission européenne ou des règles d'entreprise contraignantes. Lorsqu'elles sont nécessaires, nous concluons des clauses contractuelles types de l'Union européenne pour régir le transfert.Nous nous engageons à le faire dans la section intitulée « Protection des données » de nos contrats de marchand GoCardless.

10.Quelles mesures sont prises par GoCardless pour mettre en œuvre la décision relative au bouclier de protection des données Schrems II et préserver la légalité des transferts internationaux ?

En juillet 2020, la Cour européenne de justice a invalidé le Bouclier de protection des données, l'un des instruments juridiques qui rendaient licites les transferts de données vers les États-Unis.En tant que société européenne, GoCardless n'a jamais détenu de certification Privacy Shield (Bouclier de protection des données). Cependant, nous avons conscience que nombre de nos fournisseurs s'appuient sur cette certification pour nous fournir des services à partir des États-Unis. Nous dressons un inventaire de ces fournisseurs et nous mettons en place des mécanismes de transfert adaptés et des mesures de sécurité supplémentaires dans le cadre de notre obligation de diligence à l'égard de nos fournisseurs.Nous savons que la réglementation sur les fournisseurs évolue rapidement au sein de l'Union européenne et au Royaume-Uni. Nous suivons de près les recommandations de nos autorités de protection des données et d'autres organismes de réglementation européens. Nous avons mis en place des mesures de protection pour veiller à ce que nos fournisseurs puissent continuer à appuyer nos services.

11. Pendant combien de temps GoCardless conserve-t-il les données personnelles ?

GoCardless utilise un programme de conservation et suppression des données officiel, conforme au RGPD. Ce programme inclut une norme documentée de conservation et suppression des données, avec une période de conservation définie pour chaque catégorie de données en notre possession fondée sur :

• la relation dans le cadre de laquelle nous avons obtenu les données et le type de personne concernée,

• la catégorie de données, et

• le but documenté du traitement (y compris les exigences légales et réglementaires et les exigences du programme de paiement en matière de conservation des données).

Nous appliquons nos protocoles de conservation des données dans l'ensemble de l'entreprise et nous effectuons un suivi de la conformité. Les périodes de conservation réelles varient. Par exemple, nous sommes tenus de conserver les données personnelles des individus pour lesquels nous effectuons des contrôles dans le cadre de la lutte contre le blanchiment d'argent (directeurs d'entreprises qui s'inscrivent pour utiliser nos services, par exemple) pendant un certain nombre d'années conformément aux règles contre le blanchiment d'argent dans les pays dans lesquels nous sommes implantés. Nous devons conserver les données relatives aux transactions de paiement afin de pouvoir traiter les rejets de paiement/demandes d'indemnisation dans les systèmes de paiement qui régissent nos services (prélèvement au Royaume-Uni, par exemple).

12. Pouvez-vous répondre aux demandes émises par les personnes concernées d'exercer leurs droits ?

Nous pouvons répondre aux demandes des personnes concernées et nous essayons de rendre ce processus aussi simple que possible. Nous disposons d'un portail en ligne que vous pouvez utiliser pour envoyer votre demande en cliquant ici.Si vous estimez que les données personnelles que nous détenons sont incorrectes ou incomplètes, veuillez envoyer un e-mail à l'adresse info@gocardless.com avec la mention « Confidentialité » dans l'objet, afin de nous exposer les détails de votre demande. Nous vous répondrons dans les plus brefs délais.Pour en savoir plus sur la façon dont nous traitons les données personnelles et vos droits, veuillez lire notre politique de confidentialité.

13. Mon entreprise utilise GoCardless pour prélever des paiements. Comment m'assurer que je suis en conformité avec le RGPD ?

En tant que marchand, vous êtes également un responsable du traitement des données personnelles de vos clients finaux. Cela signifie que vous devez vous assurer que vous avez des raisons valables de traiter les données personnelles de vos clients finaux et que vous prenez toutes les mesures nécessaires pour respecter la nouvelle législation.GoCardless étant un responsable du traitement des données, nous assumons la responsabilité directe du respect de la législation pour le traitement que nous effectuons. Vous pouvez nous aider à clarifier notre rôle dans les services fournis en ajoutant notre nom et notre politique de confidentialité sur vos pages de paiement. Vous trouverez des indications sur la manière de garantir que nous remplissons nos obligations en matière de transparence dans notre guide sur les pages de paiement.

14. GoCardless a-t-il désigné un représentant RGPD que je peux contacter ?

GoCardless a nommé un responsable officiel de la protection des données pour assurer notre conformité à la législation. Vous pouvez adresser toute question au responsable de la protection des données concernant notre approche en matière de confidentialité et de protection des données en envoyant un e-mail à l'adresse help@gocardless.com avec la mention « Confidentialité » dans l'objet.

Notre position en tant que responsable du traitement des données

1. Pourquoi GoCardless est-il responsable du traitement des informations personnelles des clients finaux?

La loi sur la protection des données considère les entreprises qui traitent des données personnelles comme des contrôleurs de données et des responsables du traitement de données. En vertu de la loi sur la protection des données, la plupart des entreprises qui agissent en tant que fournisseurs auprès d'autres entreprises seront considérées comme responsables du traitement de données. Il existe toutefois des exceptions, qui s’appliquent habituellement dans le cas des entreprises qui fournissent des services à d’autres entreprises dans des secteurs fortement réglementés, tels que les paiements.Dans le cadre de notre préparation au RGPD, nous avons procédé à un examen approfondi de nos activités de traitement et nous sommes parvenus à la conclusion que nous devons agir en tant que responsable du traitement des données en vertu de la loi et non en tant que sous-traitant. Cette décision est fondée sur :

• les conseils de notre organisme de réglementation en matière de protection des données

  , le bureau du commissaire à l’information britannique

• les décisions des tribunaux interprétant ces exigences

• la recommandation du groupe de travail « Article 29 »

  , un groupe consultatif pour la loi européenne sur la protection des données 

• la recommandation de nos juristes indépendants sur la protection des données.

Lorsque nous collectons et traitons les données personnelles des individus qui achètent vos services ou marchandises par le biais de paiements gérés par GoCardless, nous sommes soumis à des exigences, règles, lois et réglementations que nous devons respecter, ainsi qu'à des processus qui permettent à nos services de paiement de fonctionner de manière plus efficace, avec les protocoles appropriés pour contrôler les risques de fraude et autres (dans la terminologie de la loi, nous déterminons les « objectifs et moyens »). Par exemple, nous déterminons la période de conservation des données des clients finaux conformément aux exigences des règles du programme de paiement.Vous trouverez des informations complémentaires sur notre position et sur ce que cela implique pour nos marchands et leurs clients finaux dans notre billet de blog.

2. Quelles sont les conséquences pour moi en tant que marchand qui utilise GoCardless ?

La position de GoCardless en tant que responsable du traitement des données représente un avantage pour nos marchands. GoCardless assume une responsabilité directe en ce qui concerne les obligations légales relatives au traitement des données personnelles pour nos services de paiement. Vos clients finaux ont un lien juridique direct avec GoCardless à l'égard de notre utilisation de leurs données personnelles. Cela signifie qu'ils peuvent exercer certains droits envers nous directement.Afin de pouvoir remplir nos obligations respectives en vertu de la loi, nous vous demandons d'inclure un lien vers notre politique de confidentialité au moment de la collecte des données ou sur les autres interfaces disponibles.Si vous avez des questions relatives à cette exigence, contactez-nous à l'adresse help@gocardless.com.

3. Quelles sont les conséquences pour moi en tant que partenaire qui propose une intégration avec GoCardless ?

En tant que partenaire, vous êtes également un marchand GoCardless et avez conclu un contrat de services de paiement ou contrat de marchand GoCardless en plus du contrat d'intégration partenaire, de sorte que les points mentionnés dans la section 2 ci-dessus vous concernent.Conformément aux conditions énoncées dans le contrat d'intégration partenaire GoCardless, et selon les modalités du contrat de marchand connecté que les marchands GoCardless acceptent avant de se connecter à votre système, vous devez mettre en place un contrat avec chaque marchand qui utilise votre service incluant les conditions appropriées relatives à la protection des données. Lorsqu'un marchand active votre intégration, il nous autorise à partager les données personnelles des clients finaux avec vous en sa qualité de responsable du traitement de données, et vous devez protéger ces données et apporter des garanties suffisantes. Notre statut de responsable du traitement ne change rien, ces accords doivent déjà être en place !Nos marchands doivent s'assurer que leurs clients finaux peuvent accéder à tout moment à notre politique de confidentialité. Les pages de paiement mises à leur disposition doivent inclure un lien vers cette politique. Nos conditions mises à jour pour le RGPD énoncent cette exigence et permettent à GoCardless de vérifier que vous avez inclus notre politique de confidentialité.

4. Quelles sont les conséquences pour moi lorsque je paye un marchand par l'intermédiaire de GoCardless ?

GoCardless est le prestataire de service de paiement d'une société à qui vous versez des paiements de façon récurrente. Nous sommes une organisation soumise à la réglementation FCA, et nous nous efforçons de fournir le meilleur service de prélèvement disponible.Après un examen approfondi au regard du Règlement général sur la protection des données, nous avons clarifié notre position de contrôleur de données pour les personnes qui payent des entreprises par l'intermédiaire de GoCardless. Les raisons de cette clarification sont décrites dans notre billet de blog récent, tandis que notre politique de confidentialité définit comment, pourquoi et quand nous utilisons vos informations personnelles.Le RGPD impose des règles strictes quant aux motifs pour lesquels nous pouvons utiliser vos données, comment nous devons les protéger et ce que nous devons faire en cas de problème. Nous sommes par ailleurs tenus de respecter la réglementation des services financiers, qui intègre également les données et la sécurité. Soyez donc assuré que nous traiterons vos données dans le respect de la législation.Si vous avez d'autres questions, faites-le nous savoir ou transmettez-les à la société que vous payez par l'intermédiaire de GoCardless.

5. Comment puis-je obtenir une copie de votre accord sur le traitement des données (DPA) ?

Vous pouvez consulter les conditions de protection des données mises à jour qui s'appliquent au contrat que nous avons conclu ensemble dans la section intitulée « Protection des données » de notre contrat de marchand GoCardless en ligne.Vous constaterez une différence par rapport à la liste des conditions requises stipulées à l'article 28 du RGPD. Cela s'explique par le fait que notre contrat reflète notre relation en tant que responsable du traitement des données. L'article 28 s'applique uniquement aux contrats passés avec des responsables du traitement des données, car il impose les obligations contractuelles que les responsable du traitement des données sont tenus de respecter.