Démarrer  Nous contacter 
Démarrer  Nous contacter 

Protection des données personnelles sur internet en France

Checkout
Checkout

Stripe Checkout est un formulaire de paiement préconfiguré et pensé pour optimiser le taux de conversion. Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou des abonnements facilement et en toute sécurité.

En savoir plus 
  1. Introduction
  2. Qu’est-ce qu’une donnée personnelle?
  3. Qu’est-ce que le traitement des données personnelles?
  4. Quelles sont les réglementations actuelles en matière de protection des données personnelles?
    1. Quelle autorité est débitée de la protection des données personnelles en France?
  5. Quels sont les principes du Règlement général sur la protection des données (RGPD)?
  6. Qu’exige le RGPD?
    1. Information des particuliers
    2. Obtention du consentement
    3. Garantie des droits des particuliers
    4. Tenue de registres écrits des activités de traitement
    5. Garantie de la sécurité des données
    6. Autres obligations
  7. Premiers pas avec Stripe 

Les entreprises qui traitent des données personnelles au sein de l’UE sont tenues d’élaborer une politique de protection des données. Que dit la loi en matière de protection des données? Qu’exige la loi? Une entreprise doit-elle désigner un délégué à la protection des données (DPD)? Dans cet article, nous abordons les questions les plus importantes en matière de protection des données tout en expliquant comment respecter les réglementations.

Contenu de cet article

  • Qu’est-ce qu’une donnée personnelle?
  • Qu’est-ce que le traitement des données personnelles?
  • Quelles sont les réglementations actuelles en matière de protection des données personnelles?
  • Quels sont les principes du Règlement général sur la protection des données (RGPD)?
  • Qu’exige le RGPD?

Qu’est-ce qu’une donnée personnelle?

Les données personnelles, également appelées « données personnelles », sont des informations qui permettent d’identifier directement ou indirectement un particulier. Les données personnelles peuvent inclure les noms ou prénoms, les numéros de sécurité sociale, les numéros de téléphone, les adresses de courriel ou de protocole internet (IP), les comportements sur internet ou les photographies. Les données anonymisées (c’est-à-dire les données qui éliminent la possibilité d’identifier le particulier) ne sont pas considérées comme des données personnelles. Il en va de même pour les données liées à une entité juridique, telle qu’une entreprise.

Qu’est-ce que le traitement des données personnelles?

Le traitement des données personnelles fait référence à un grand nombre de processus appliqués aux données personnelles. Ces processus peuvent inclure la collecte, l’enregistrement, l’organisation, la sauvegarde, la modification, la consultation, la suppression, l’extraction, la diffusion et la suppression de données. Ces activités peuvent être informatisées ou non.

Exemples de traitement des données : la tenue du fichier d’un client, la collecte des coordonnées des prospects et la sauvegarde des adresses IP. Le plus souvent, les données personnelles traitées par les entreprises sont liées aux clients, aux fournisseurs, aux prospects, aux employés et aux candidats à l’emploi.

Quelles sont les réglementations actuelles en matière de protection des données personnelles?

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) sert de cadre au recouvrement et à la gestion des données au sein de l’UE. Le RGPD a normalisé la réglementation pour toutes les entités publiques et privées qui traitent des données personnelles au sein de l’UE. Voici les principales entités impliquées :

  • Les organisations créées au sein de l’UE, telles que les jeunes entreprises, les petites et moyennes entreprises, les grandes entreprises, les associations, les organisations professionnelles et les entités publiques

  • Les entreprises étrangères qui ciblent les citoyens européens

  • Les sous-traitants (de/des données) qui collectent et gèrent des données personnelles pour le compte d’autres entreprises

Par exemple, une entreprise établie en Chine qui traite des données personnelles d’un particulier en France doit respecter le RGPD.

Quelle autorité est débitée de la protection des données personnelles en France?

La Commission nationale de l’informatique et des libertés (CNIL) supervise la protection des données personnelles collectées par les entités publiques et privées. La CNIL soutient les entreprises dans la mesure où elles respectent la réglementation applicable et est chargée de sanctionner celles qui ne la respectent pas.

Quels sont les principes du Règlement général sur la protection des données (RGPD)?

Le RGPD est établi sur plusieurs principes. Le traitement des données personnelles doit être licite, transparent, temporaire et sécurisé, et il ne doit avoir lieu que lorsque cela est nécessaire (c’est-à-dire, la minimisation des données). Voici plus d’informations sur chaque principe :

  • Fin licite
    Chaque fois que des données personnelles sont traitées, il doit y avoir une base juridique qui le justifie. Par conséquent, une entreprise ne peut pas collecter des données personnelles sans un objectif précis et légitime.

  • Transparence
    Tous les particuliers doivent être informés de leurs droits et du fait que leurs données sont collectées. Il est important que les entreprises facilitent la mise en œuvre des droits des particuliers.

  • Limitation des données
    Une entreprise ne doit collecter que les données strictement requises pour atteindre ces objectifs.

  • Durée limitée
    La durée du stockage des données doit avoir une date de fin fixe. L’entreprise doit élaborer une politique claire sur le stockage des données.

  • Sécurité
    L’entreprise doit mettre des mesures de sécurité en œuvre, pour protéger les données personnelles qu’elle collecte.

Remarque : Les sous-traitants (de/des données) qui traitent des données personnelles pour le compte d’une entreprise doivent également respecter le RGPD.

Qu’exige le RGPD?

Le RGPD exige d’une entreprise qu’elle fournisse des informations et de la transparence aux particuliers dont elle collecte les données. Pour ce faire, les entreprises doivent obtenir le consentement, faciliter la mise en œuvre des droits des clients, tenir un registre des traitements, et garantir la sécurité des données.

Information des particuliers

Une entreprise doit informer tous les particuliers dont elle collecte les données personnelles. Les informations doivent être clairement communiquées et doivent inclure les éléments suivants :

  • L’identité et les coordonnées du sous-traitant (de/des données) (par exemple, un responsable)

  • Motif du traitement

  • Base juridique justifiant le traitement (par exemple, le consentement du particulier, l’exécution d’un contrat, l’exigence juridique)

  • Caractère obligatoire ou facultatif du recouvrement des données

  • Bénéficiaires des données personnelles

  • Durée de stockage des données

  • Droits des clients

  • Droit de faire une réclamation auprès de la CNIL

  • Existence de transfert de données vers un pays en dehors de l’UE, le cas échéant

Les informations manquantes peuvent être passibles d’une amende pouvant aller jusqu’à 1 500 € pour les propriétaires individuels et 7 500 € pour les entreprises. Les entreprises doivent être informées au moment du recouvrement des données, en cas de modification ultérieure ou dans un délai raisonnable d’un mois (par exemple, pour le recouvrement indirect des données).

Obtention du consentement

Les entreprises doivent également obtenir le consentement du client si elles effectuent les actions suivantes :

  • Utilisation des témoins

  • Envoi des courriels promotionnels

  • Collecte des données personnelles sensibles

  • Réutilisation des données à d’autres fins

Les clients doivent pouvoir donner leur consentement de manière indépendante à toutes fins utiles s’il y a plusieurs fins. Les entreprises ne peuvent pas utiliser de cases à cocher qui sont cochées par défaut.

Remarque : L’absence de consentement peut être punie de cinq ans de prison et de 300 000 € d’amende pour les propriétaires individuels ou de 1,5 million d’euros pour les entreprises.

Garantie des droits des particuliers

Les entreprises sont tenues de respecter les droits des particuliers dont elles traitent les données. Il s’agit notamment du droit d’accès, du droit de rectification, du droit à l’oubli, du droit d’opposition au traitement et du droit à la portabilité des données. Il est important pour les entreprises de permettre aux particuliers d’exercer facilement leurs droits.

Tenue de registres écrits des activités de traitement

Un registre des activités de traitement peut donner un aperçu de toutes les activités terminées. La tenue d’un registre écrit est obligatoire pour les entreprises de plus de 250 employés.

Garantie de la sécurité des données

Il est important de créer des mécanismes robustes pour garantir la sécurité des données. Les entreprises peuvent mettre les stratégies suivantes en œuvre :

  • Identification obligatoire des clients et restrictions d’accès

  • Des systèmes d’enregistrement quotidien pour s’assurer que les activités sont traçables

  • Verrouillage automatique, pare-feu, logiciels antivirus et réseaux privés virtuels (RPV)

  • Sauvegardes et archivage réguliers des données qui ne sont pas utilisées au quotidien

Vous pouvez intégrer Stripe Checkout directement sur votre site Web afin de renforcer la sécurité des données de vos clients. Le paiement facilite la saisie et la réutilisation des données de paiement des clients tout en gérant les données sensibles des cartes en toute conformité.

Autres obligations

Si une entreprise traite des données personnelles à grande échelle, elle peut être tenue de désigner un DPD. En outre, lorsque les activités de traitement d’une entreprise présentent un risque accru pour les droits et libertés des clients, une analyse d’impact sur la protection des données (DPIA) devient obligatoire.

Si des données personnelles sont transférées en dehors de l’UE (par exemple, des données transférées à une filiale en Chine ou à un sous-traitant étranger), les entreprises doivent requérir l’autorisation de la Commission européenne. Une décision d’adéquation doit être adoptée pour que l’entreprise puisse transférer ses données.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service d’assistance.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Checkout

Checkout

Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou d'abonnements facilement et en toute sécurité.

Documentation Checkout

Créez un formulaire de paiement nécessitant peu d'écriture de code et intégrez-le à votre site ou hébergez-le sur Stripe.