Démarrer  Nous contacter 
Démarrer  Nous contacter 

Comment choisir un prestataire de services de paiement conforme à la CCPA

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des jeunes pousses aux multinationales.

En savoir plus 
  1. Introduction
  2. Pourquoi la loi californienne sur la protection de la vie privée des consommateurs est-elle importante en matière de paiements?
  3. Quelles données personnelles sont exploitées par un prestataire de services de paiement?
  4. Comment évaluer la conformité d’un fournisseur à la CCPA?
  5. Quels sont les indicateurs d’une mauvaise gouvernance des données dans le secteur des paiements?
  6. Comment les équipes chargées de la passation de marchés peuvent-elles structurer un appel d’offres permettant de détecter rapidement les lacunes en matière de conformité à la CCPA?
  7. Comment Stripe Payments peut vous aider
  8. Premiers pas avec Stripe 

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi californienne sur les droits à la vie privée (CPRA) qui modifie et élargit la CCPA, établissent des normes sur la manière dont les fournisseurs de services numériques collectent et partagent les données des clients résidant dans l’État doré. Le respect de la CCPA et de la CPRA est un élément essentiel à prendre en compte lorsque vous choisissez un prestataire de services de paiement, car chaque infraction est passible d’une amende d’environ 8 000 dollars.

Dans cet article, nous expliquons la marche à suivre pour choisir un fournisseur de solutions de paiement conforme à la CCPA, notamment comment évaluer les capacités du fournisseur en matière de protection de la vie privée et comment détecter les lacunes de conformité dès le début de la procédure de passation de marchés.

Contenu de l’article

  • Pourquoi la loi californienne sur la protection de la vie privée des consommateurs est-elle importante en matière de paiements?
  • Quelles données personnelles sont exploitées par un prestataire de services de paiement?
  • Comment évaluer la conformité d’un fournisseur à la CCPA?
  • Quels sont les indicateurs d’une mauvaise gouvernance des données dans le secteur des paiements?
  • Comment les équipes chargées de la passation de marchés peuvent-elles structurer un appel d’offres permettant de détecter rapidement les lacunes en matière de conformité à la CCPA?
  • Comment Stripe Payments peut vous aider

Pourquoi la loi californienne sur la protection de la vie privée des consommateurs est-elle importante en matière de paiements?

En vertu de la CCPA, les Californiens ont le droit d’apprendre comment leurs données personnelles sont collectées, d’exiger la suppression de celles-ci et de s’opposer à leur vente. Le champ d’application de la CCPA comprend les prestataires de services de paiement puisqu’ils gèrent des données sensibles, y compris les noms,les courriels, les adresses, les numéros de carte et les informations relatives aux transactions.

De manière générale, les fournisseurs de solutions de paiement sont considérés comme des « prestataires de services » en vertu de la loi. Les entreprises peuvent partager les données des clients avec les fournisseurs de solutions de paiement pour des raisons spécifiques et ces derniers sont tenus d’assurer le même niveau de protection de la vie privée. Si un prestataire de services de paiement réutilise ces données (p. ex. en analysant les historiques de transactions pour créer ses propres produits marketing), il outrepasse les limites prévues par la loi.

Le fait d’ignorer la CCPA peut entraîner des amendes et des atteintes à la réputation, même pour une entreprise basée en dehors de la Californie. La CCPA s’applique à tous les résidents de Californie, quel que soit l’emplacement de leur entreprise, tout comme lerèglement général sur la protection des données (RGPD) en vigueur en Europe.

Quelles données personnelles sont exploitées par un prestataire de services de paiement?

Chaque transaction de paiement nécessite une variété d’informations personnelles et sensibles.

Ces informations peuvent inclure :

  • Identifiants clients : il s’agit des noms, des courriels, des adresses postales et des noms de compte. Les adresses de protocole Internet (IP) recueillies lors du paiement sont également considérées comme des données personnelles.

  • Données financières : il s’agit des numéros de carte de débit et de cartes de crédit, des dates d’expiration, des codes de sécurité, ainsi que des numéros de compte bancaire et des numéros d’acheminement. Elles sont considérées comme des données personnelles sensibles au sens de la CCPA, car elles sont directement liées à l’identité financière.

  • Données de transaction : elles comprennent l’historique des achats, les valeurs des commandes, les horodatages et les informations sur l’entreprise. Ces données révèlent des habitudes de dépenses liées à des individus spécifiques.

  • Données relatives à la prévention de la fraude : les empreintes des appareils, la géolocalisation et les indicateurs comportementaux utilisés pour détecter la fraude sont tous considérés comme des données personnelles selon la loi.

  • Données d’authentification : les identifiants de connexion chiffrés, les jetons de compte, et, dans une certaine mesure, les identifiants biométriques tels que la vérification faciale ou d’empreinte digitale, sont considérés comme des données sensibles.

  • Communications avec les clients : les courriels d’assistance, les journaux de clavardage et les enregistrements d’appels contiennent souvent des informations personnelles liées à des comptes ou des transactions.

Comment évaluer la conformité d’un fournisseur à la CCPA?

Les prestataires de services de paiement traitent les données en votre nom, mais vous devez vous assurer de leur capacité à répondre aux demandes que vos clients ont légalement le droit formuler.

Vous devriez prendre en compte les éléments suivants :

  • Gestion du consentement et de la désinscription : en vertu de la CCPA, de nombreux prestataires de services de paiement n’ont pas besoin d’un consentement explicite pour collecter des données, mais ils sont tenus de respecter la règle « Ne pas vendre ou partager » choisie par le client. S’ils utilisent des témoins ou des outils de suivi pour détecter des cas de fraudes ou effectuer des analyses, vous devez vérifier que ces éléments ne sont pas en conflit avec les droits de désinscription.

  • Accès et portabilité : les clients ont le droit de savoir quelles données personnelles une entreprise détient. Cela signifie que votre fournisseur doit être en mesure de les récupérer à la demande. Demandez à ce dernier comment il recherche et compile les dossiers individuels (par courriel, par jeton de carte, ou par ID de transaction) et comment il vérifie l’identité avant de communiquer les données. Les fournisseurs expérimentés peuvent présenter ces informations en utilisant une interface de programmation d’applications (API) ou un flux de travail défini.

  • Contrôles de suppression et de rétention : les prestataires de services sont généralement tenus de supprimer les renseignements sur les clients, si ceux-ci en font la demande. La suppression des données de paiement est loin d’être une opération facile. Les fournisseurs doivent pouvoir supprimer les données personnelles à votre demande, tout en conservant celles qui sont nécessaires à la conformité selon la loi.

Quels sont les indicateurs d’une mauvaise gouvernance des données dans le secteur des paiements?

En identifiant les signes avant-coureurs d’une mauvaise gouvernance des données, vous éviter des risques de non-conformité et des atteintes à la réputation qui pourraient s’en suivre.

Accordez une attention particulière aux aspects suivants :

  • Aucune preuve de conformité : un fournisseur expérimenté est capable de présenter des preuves de gestion minutieuse des données. Les rapports sur la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), les procédures relatives à la CCPA documentées, les rapports sur les contrôles du système de l’organisation (SOC) 2, ou les certifications de l’Organisation internationale de normalisation (ISO) sont autant d’éléments pouvant attester d’une bonne gouvernance des données.

  • Pratiques de sécurité incohérentes : le chiffrement, les contrôles d’accès et les tests de vulnérabilité doivent être systématiques. Si un fournisseur stocke des données de carte non chiffrées, s’il ne dispose pas d’une authentification multifactorielle ou n’est pas en mesure de décrire son plan d’intervention en cas de violation, considérez cela comme un critère rédhibitoire.

  • Utilisation non transparente de données : certains prestataires de services de paiement utilisent les données de transaction à des fins d’analyse, de publicité ou pour élaborer des modèles d’apprentissage automatique qui n’ont aucun rapport avec votre entreprise. Pourtant, ils sont tenus de donner aux clients la possibilité de refuser toute publicité ciblée.

  • Résistance à la transparence : les prétextes lors d’une vérification préalable (par exemple, éviter les réponses directes sur les flux de données, la rétention ou les sous-traitants) est un signal d’alerte flagrant. D’autres signes inquiétants incluent le refus de remplir des questionnaires de sécurité ou d’autoriser des vérifications restreintes.

  • Pas de leadership en matière de confidentialité : si le fournisseur n’a pas nommé de responsable de la confidentialité ou ne dispose pas d’une équipe chargée de la conformité, s’il n’offre pas de formation interne au personnel qui gère les données des clients, il est fort probable que sa gestion des risques soit réactive, dans le meilleur des cas.

Comment les équipes chargées de la passation de marchés peuvent-elles structurer un appel d’offres permettant de détecter rapidement les lacunes en matière de conformité à la CCPA?

Un appel d’offresà l’intention des prestataires de services de paiement peut vous aider à comparer l’expertise des fournisseurs en matière de gouvernance des données.

Pensez à prendre les mesures suivantes :

  • Inclure une section dédiée à la confidentialité : ne reléguez pas la protection des données dans l’annexe. Faites de la conformité à la CCPA une disposition à part entière, indiquant que la protection de la vie privée est l’un des critères essentiels de l’entreprise et non une question accessoire.

  • Demander des données précises : demandez une liste détaillée des données personnelles que le fournisseur collecte, traite et conserve, comme les noms, les courriels, les données de carte et les identifiants d’appareil; demandez également à quelles fins ces données sont utilisées. Comparez les réponses des différents fournisseurs, en gardant à l’esprit que la collecte de données supplémentaires ou inutiles est un signe d’alerte.

  • Mener une enquête sur la gestion des droits des clients : demandez au fournisseur comment il traite les demandes d’accès et de suppression, y compris les délais de vérification et d’exécution. Un fournisseur compétent est en mesure d’expliquer ce processus étape par étape ou fournir des exemples de flux de travail.

  • Vérifier les procédures de conservation et de sortie des données : exigez des fournisseurs qu’ils indiquent pendant combien de temps ils conservent les données personnelles, l’élément qui déclenche la suppression de celles-ci et le traitement réservé aux données lorsque votre contrat prend fin. Vous recherchez des fournisseurs qui s’engagent à supprimer ou restituer des données des clients à la demande.

  • Évaluer la sécurité et la transparence : demandez des rapports de vérification (par exemple, SOC 2, PCI DSS, ISO/IEC 27001) et des procédures écrites de notification des violations. Les fournisseurs qui ne sont pas en mesure de présenter ces documents ne font clairement pas de la conformité d’entreprise une de leur priorité.

Comment Stripe Payments peut vous aider

Stripe Paymentsoffre une solution de paiement unifiée et mondiale qui permet à toutes les entreprises, des jeunes entreprises en démarrage aux entreprises internationales, d’accepter des paiements en ligne et en personne, partout dans le monde entier.

Stripe Payments peut vous aider à :

  • Optimiser votre expérience de paiement : créez une expérience client sans friction et économisez des milliers d’heures d’ingénierie grâce à des interfaces de paiement prédéfinies, à l’accès à plus de 125 modes de paiement et à Link, un portefeuille numérique conçu par Stripe.

  • Pénétrer plus rapidement de nouveaux marchés : touchez des clients dans le monde entier et réduisez la complexité et le coût de la gestion multidevises grâce à des options de paiement transfrontalier, disponibles dans 195 pays et dans plus de 135 devises.

  • Unifier les paiements en personne et en ligne : créez une expérience de commerce unifiée sur les canaux en ligne et en personne pour personnaliser les interactions, récompenser la fidélité et augmenter les revenus.

  • Améliorer le rendement des paiements : augmentez les revenus grâce à une gamme d’outils de paiement personnalisables et faciles à configurer, y compris une protection contre la fraude sans codage et des fonctionnalités avancées pour améliorer les taux d’autorisation.

  • Vous développer plus rapidement grâce à une plateforme de croissance flexible et fiable : évoluez sur une plateforme conçue pour se développer avec vous, avec un temps de disponibilité de 99,999 % et une fiabilité inégalée dans le secteur.

Découvrez comment Stripe Payments peut faciliter vos paiements en ligne et en personne, ou faites vos premiers pas dès aujourd’hui.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service d’assistance.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement de Stripe.