Démarrer  Contacter notre équipe 
Démarrer  Contacter notre équipe 

La protection des données personnelles sur internet en France

Checkout
Checkout

Stripe Checkout est un formulaire de paiement préconfiguré et pensé pour optimiser le taux de conversion. Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou des abonnements facilement et en toute sécurité.

En savoir plus 
  1. Introduction
  2. Qu’est-ce qu’une donnée personnelle ?
  3. Qu’est-ce que le traitement des données personnelles ?
  4. Quelle est la réglementation en vigueur qui encadre la protection des données personnelles ?
    1. Quelle autorité est chargée de la protection des données personnelles en France ?
  5. Quels sont les principes du Règlement général sur la protection des données (RGPD) ?
  6. Quelles sont les obligations liées au RGPD ?
    1. Informer les personnes
    2. Obtenir leur consentement
    3. Garantir les droits des personnes
    4. Tenir un registre écrit des traitements
    5. Sécuriser les données
    6. Autres obligations
  7. Démarrez avec Stripe 

Pour les entreprises traitant des données personnelles au sein de l’UE, l’établissement d’une politique de protection des données est obligatoire. Mais que dit la loi sur la protection des données ? Quelles sont les obligations qui en découlent ? La désignation d’un DPO (délégué à la protection des données, ou « data protection officer » en anglais) est-elle obligatoire ? Dans cet article, nous répondons à vos questions les plus pressantes sur le sujet, tout en vous expliquant comment vous mettre en conformité avec les règles.

Sommaire

  • Qu’est-ce qu’une donnée personnelle ?
  • Qu’est-ce que le traitement des données personnelles ?
  • Quelle est la réglementation en vigueur qui encadre la protection des données personnelles ?
  • Quels sont les principes du Règlement général sur la protection des données (RGPD) ?
  • Quelles sont les obligations liées au RGPD ?

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle, aussi appelée donnée à caractère personnel, est une information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un nom ou d’un prénom, d’un numéro de sécurité sociale ou de téléphone, d’une localisation, d’une adresse e-mail ou IP, d’un comportement sur internet, d’une photo, etc. Une donnée anonymisée (c’est-à-dire qui élimine toute possibilité d’identifier la personne physique concernée), n’est pas considérée comme une donnée personnelle. Il en va de même pour une donnée appartenant à une personne morale, telle qu’une entreprise.

Qu’est-ce que le traitement des données personnelles ?

Le traitement de données personnelles fait référence à un grand nombre de procédés portant sur ces données : collecte, enregistrement, organisation, conservation, modification, consultation, suppression, extraction, diffusion et effacement. Ces opérations peuvent être informatisées ou non.

Parmi les exemples de traitement de données personnelles, on compte la tenue d’un fichier client, la collecte des coordonnées de prospects et la conservation d’adresses IP. Le plus souvent, les données personnelles traitées par les entreprises se rapportent aux clients, aux fournisseurs, aux prospects, aux employés, et aux candidats à l’embauche.

Quelle est la réglementation en vigueur qui encadre la protection des données personnelles ?

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) encadre les modalités de collecte et de gestion des données personnelles au sein de l’UE. Ce règlement harmonise les règles pour toutes les entités, publiques ou privées, traitant des données personnelles sur le territoire de l’Union européenne. Sont principalement concernées :

  • les entreprises établies dans l’UE, telles que les startups, les petites et moyennes entreprises (PME), les grandes entreprises, les associations, les organisations professionnelles et les collectivités publiques,

  • les entreprises étrangères dont l’activité cible des citoyens européens,

  • les sous-traitants collectant et gérant des données personnelles pour le compte d’un autre professionnel.

Par exemple, une entreprise établie en Chine et traitant des données personnelles d’une personne en France doit se conformer au RGPD.

Quelle autorité est chargée de la protection des données personnelles en France ?

La Commission nationale de l’informatique et des libertés (CNIL) veille à la protection des données personnelles récoltées par les organismes publics et privés. Elle accompagne les entreprises dans leur mise en conformité avec les règles applicables et se charge de sanctionner tout manquement aux obligations.

Quels sont les principes du Règlement général sur la protection des données (RGPD) ?

Le RGPD repose sur plusieurs principes. Le traitement de données personnelles doit être licite, transparent, minimisé, temporaire et sécurisé :

  • Finalité licite
    Chaque traitement de données personnelles doit se fonder sur une base légale justifiant l’opération. Vous ne pouvez donc pas récolter de données personnelles sans objectif précis et légitime.

  • Transparence
    Toute personne doit être informée de la collecte de ses données personnelles ainsi que de ses droits. Il est essentiel que vous facilitiez l’exercice des droits des personnes.

  • Minimisation des données
    Seules les données strictement nécessaires à la réalisation des objectifs peuvent être collectées.

  • Durée limitée
    La durée de conservation des données doit être fixe. L’entreprise est tenue d’établir une politique claire sur la conservation des données.

  • Sécurité
    Des mesures de sécurité doivent être mises en place pour protéger les données personnelles récoltées.

À savoir : tout sous-traitant chargé de traiter des données personnelles pour votre compte doit également respecter le RGPD.

Quelles sont les obligations liées au RGPD ?

Le RGPD impose aux entreprises l’obligation d’information et de transparence à l’égard des personnes dont les données sont collectées. Pour cela, il est essentiel d’obtenir leur consentement, de faciliter l’exercice de leurs droits, de tenir un registre des traitements et de garantir la sécurité des données.

Informer les personnes

Vous devez informer toute personne dont les données personnelles sont collectées. Les informations à communiquer clairement incluent :

  • L’identité et les coordonnées du responsable de traitement (en général, il s’agit du dirigeant),

  • la finalité poursuivie par le traitement,

  • la base légale justifiant le traitement (consentement de la personne, exécution d’un contrat, obligation légale, etc.),

  • le caractère obligatoire ou facultatif du recueil des données,

  • les destinataires des données personnelles,

  • La durée de conservation des données,

  • Les droits de l’internaute,

  • Le droit d’introduire une réclamation auprès de la CNIL

  • l’existence d’un transfert de données vers un pays hors UE (le cas échéant).

Toute absence d’information est sanctionnée par une amende s’élevant à 1 500 € pour les entreprises individuelles et 7 500 € pour les sociétés. Vous devez informer l’internaute au moment de la collecte de ses données, en cas de modification ultérieure, ou dans un délai raisonnable d’un mois (s’il s’agit d’une collecte indirecte).

Obtenir leur consentement

Vous devez également obtenir le consentement de l’internaute si vous :

  • utilisez des cookies,

  • envoyez des courriers électroniques commerciaux,

  • collectez des données personnelles sensibles,

  • décidez de réutiliser des données pour d’autres finalités.

La personne concernée doit pouvoir donner son consentement de façon indépendante pour toutes les finalités définies s’il y en a plusieurs. Vous ne pouvez pas utiliser de cases cochées par défaut.

À savoir : l’absence de consentement est punie de 5 ans d’emprisonnement, et 300 000 € d’amende pour les entreprises individuelles ou 1 500 000 € pour les sociétés.

Garantir les droits des personnes

Vous êtes tenus de respecter les droits des personnes dont vous traitez les données : droit d’accès, de rectification, d’effacement, d’opposition et de transfert. Il est essentiel que vous leur permettiez d’exercer facilement leurs droits.

Tenir un registre écrit des traitements

Un registre des traitements peut vous aider à avoir une vision claire de toutes les opérations réalisées. La tenue d’un registre écrit est obligatoire pour les entreprises ayant plus de 250 salariés.

Sécuriser les données

Il est essentiel de prévoir des mécanismes robustes pour garantir la sécurité des données. Vous pouvez mettre en place :

  • l’authentification obligatoire des utilisateurs et des limites d’accès,

  • un système de journalisation pour assurer la traçabilité des opérations,

  • un verrouillage automatique, un pare-feu, un antivirus et un VPN,

  • des sauvegardes régulières et l’archivage des données non utilisées au quotidien

Vous pouvez aussi intégrer Stripe Checkout directement à votre site web pour renforcer la sécurité des données de vos clients. Checkout facilite la saisie et la réutilisation des données de paiement des clients, tout en gérant les données sensibles des cartes en toute conformité.

Autres obligations

Si vous traitez des données personnelles à grande échelle, vous pourrez être amené à désigner un délégué à la protection des données (DPO). Par ailleurs, lorsque votre traitement présente un risque élevé pour les droits et libertés des internautes, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) deviendra obligatoire.

En cas de transfert de données personnelles en dehors de l’UE (par exemple, si vous souhaitez transmettre des données à une filiale située en Chine ou à un sous-traitant étranger), il sera nécessaire de passer par la Commission européenne. Une décision d’adéquation devra être adoptée pour que vous puissiez envoyer vos données.

Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service de support.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Checkout

Checkout

Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou d'abonnements facilement et en toute sécurité.

Documentation Checkout

Créez un formulaire de paiement nécessitant peu d'écriture de code et intégrez-le à votre site ou hébergez-le sur Stripe.