Proposez le PAIEMENT EN PLUSIEURS FOIS pour vos CLIENTS B2B et recevez une AVANCE DE FONDS – Pour en savoir plus cliquez ici SAFEDEBITPRO
16 novembre 2017
RGPD : nouvelles règles, nouvelles attentes
ÊTES-VOUS PRÊT POUR L’ENTRÉE EN VIGUEUR ?
Le Règlement Général sur la Protection des Données (RGPD) entrera définitivement en vigueur dans quelques mois. Il viendra, à compter du 25 mai 2018, remplacer la directive européenne sur la protection des données (DPD) et renforcer le rôle joué par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Face à l’augmentation des vols de données personnelles et à l’opacité qui règne autour de leur utilisation, la confiance envers le web s’est peu à peu érodée et les internautes sont de plus en plus vigilants lors de leur navigation.
Selon la cinquième édition du baromètre de la confiance des français dans le numérique, publié par la Caisse des Dépôts, l’Acsel (Association de l’économie numérique) et la Poste, seulement deux français sur cinq ont confiance dans le numérique. Un constat particulièrement alarmant dans une société « connectée » où 82% des français naviguent sur internet chaque jour.
De manière générale, les préoccupations des français s’articulent autour de trois grandes thématiques :
-Le risque de piratage
-La maîtrise de leurs données personnelles
-L’usage de ces données.
Le RGPD est une directive européenne visant la protection des données personnelles pour éviter tout abus.
Qui est concerné ?
En principe le RGPD s’applique aux entreprises de plus de 250 salariés réalisant des opérations de traitement des données à caractère personnel. En réalité, il s’adresse à toutes les entreprises qui ont régulièrement recours à ce genre d’opérations.
Qu’est-ce qu’un traitement de données à caractère personnel ?
On désigne par le terme « opération de traitement » l’ensemble des opérations effectuées ou non, à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel. On considère une donnée à caractère personnel, comme une information relative à une personne physique susceptible d’être identifiée (identité, coordonnées, numéro identifiant, adresse IP, etc.)
Quel périmètre d’application ?
Le RGPD concerne toutes les entreprises établies en Europe mais s’applique également aux structures :
-Offrant des biens et des services aux citoyens européens de l’UE ;
-Stockant des données personnelles des citoyens européens de l’UE ;
-Exécutant des actions de profilage sur les citoyens de l’UE.
Quelles sanctions en cas de non-conformité ?
L’autorité de contrôle prévoit un premier avertissement par écrit, puis plusieurs niveaux de sanction en fonction du litige :
-Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise pour des manquements tels le non-respect des règles de désignation du DPO, à l’absence de registre de traitements ou à l’absence de notification en cas de piratage des données.
-Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise pour des manquements au respect des principes de protection des données personnelles, aux règles de transfert des données personnelles hors de l’UE ainsi que les règles applicables au consentement.
La RGPD entrera en application le 25 mai 2018
QU’EN EST-IL DANS LE DOMAINE DU PAIEMENT ?
La protection des données sensibles, et notamment des données financières est l’une des préoccupations du RGPD. L’ensemble des acteurs du paiement ainsi que les nouveaux entrants suite à la DSP2 sont concernés par cette réglementation. Il conviendra, dans un premier temps, pour ces entreprises, de définir le rôle qu’elles tiennent à l’égard des traitements relatifs aux données bancaires pour y associer les obligations et responsabilités qui leur incombent.
Relativement à la nature de leur activité, les prestataires de services de paiement doivent accomplir des traitements spécifiques liés aux données de paiement. A ce titre, seules les données strictement nécessaires à la réalisation d’une transaction bancaire peuvent être collectées :
-Le numéro de la carte,
-La date d’expiration et le cryptogramme visuel,
-D’autres données pour une finalité déterminée et légitime comme la lutte contre la fraude.
D’autre part, lorsque les données relatives à la carte de paiement sont conservées (après l’approbation explicite de l’internaute) pour des règlements ultérieurs ou pour la lutte contre la fraude, la CNIL prévoit certaines mesures:
-Le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage ;
-Le remplacement du numéro de carte par un numéro non signifiant ;
-La traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable.
Enfin, les services de paiement à distance doivent intégrer le concept de « privacy by design » dans la conception d’outils de collecte, de traitement ou d’exploitation des données pour renforcer la protection du consommateur.
FOCUS « PRIVACY BY DESIGN »: COMMENT L’APPLIQUER ?
Les acteurs du paiement doivent adopter une démarche dite de « privacy by design » afin de permettre aux technologies d’évoluer sans porter atteinte à la vie privée des utilisateurs. Il repose sur les principes suivant :
-Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques ;
-Prouver la mise en place de mesures techniques pour protéger les données personnelles ;
-Assurer la protection des données personnelles tout au long du traitement ;
-Respecter la vie privée des utilisateurs ;
-Appliquer le principe de minimisation des données.
Avec le RGPD, les nouvelles solutions de paiement doivent intégrer dès leur conception la sécurité des données de l’individu en limitant l’exposition des données de paiement lors du traitement de la transaction.
POURQUOI PARLER DE LA RGPD ?
Notre activité repose sur notre algorithme de calcul du risque. Cet algorithme repose sur des bases de données et sur la capacité à agréger et traiter des données personnelles (l’ouverture prochaine des API des banques augmentera nos sources de données).
Par ailleurs, le déploiement de nos solutions et notre changement de statut prévu en 2018 (établissement de paiement), impliquera de manipuler davantage de données pour proposer de nouvelles solutions de paiement entièrement digitalisées et sécurisées (le virement notamment).
C’est pourquoi, dès 2016 un audit de traitement a été réalisé par la CNIL afin de vérifier notre conformité à la loi « Informatique et Libertés ».
Les résultats concluant que nous avons obtenus témoignent de la mise en place de processus rigoureux lors de la collecte, du traitement et de la conservation des données personnelles.
Conscient des nouveaux enjeux et obligations qu’impliquent la RGPD, nous avons initié une démarche de mise en conformité. Cette dernière nous permettra d’accélérer sur des sujets essentiels pour nos clients : instant payment, internationalisation de nos solutions… toujours avec la sécurité SSP.
