Le RGPD (Règlement Général sur la Protection des Données) qui entre en application le 25 mai 2018 (1) dans tous les Etats membres de l’Union Européenne a pour objectif de responsabiliser, dans un cadre réglementaire qui se veut cohérent et harmonieux, l’ensemble des acteurs participant à la mise en oeuvre de traitements de données à caractère personnel.
Ce nouveau règlement vient renforcer les droits des consommateurs (personnes physiques) dont les données sont traitées, tout en garantissant la sécurité juridique et la transparence nécessaires pour établir des relations de confiance entre les acteurs économiques qui concourent au développement de l’économie du numérique du marché intérieur.
| Qu’est-ce qu’une donnée à caractère personnel ? Une donnée à caractère personnel s’entend, d’après l’article 4(1) du RGPD, comme « toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». |
Quelles sont vos obligations et quelles sont les nôtres ?
Le RGPD stipule qu’un responsable du traitement (entité qui, seule ou conjointement avec d’autres responsables du traitement, détermine les finalités et les moyens du traitement) met en oeuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que les traitements dont il est responsable sont conformes au RGPD. Ce responsable du traitement doit par ailleurs faire uniquement appel à des sous-traitants (entité qui traite des données à caractère personnel pour le compte du responsable du traitement) qui présentent des garanties suffisantes notamment en matière d’évaluation des risques inhérents aux traitements et à la mise en oeuvre des mesures de sécurité permettant de les atténuer.
Nos obligations respectives s‘apprécient donc naturellement au regard du type d’opération concernée par le traitement de données considéré. Dans le cas d’une opération de paiement initiée par le porteur par l’intermédiaire du marchand à l’attention de Dalenys conformément aux obligations légales et règlementaires en vigueur (2), Dalenys agit comme sous-traitant du marchand afin d’initier l’opération de paiement auprès des réseaux Cartes et des réseaux interbancaires. Ce faisant et en conformité aux obligations légales et règlementaires qui lui sont imposées par son statut d’établissement de paiement, Dalenys procède également au traitement de ces données comme responsable du traitement pour la lutte contre le blanchiment et le financement du terrorisme ou la lutte contre la fraude.
Notre engagement en matière de protection des données
La protection des données est au coeur des engagements, agréments et certifications pris et détenus par Dalenys pour démontrer son attachement à offrir un niveau de sécurité optimal aux marchands pour la mise en place des meilleures stratégies de conversion sur tous les parcours d’achat.
Les travaux nécessaires à la mise en conformité de nos traitements avec le RGPD et les efforts déployés pour y parvenir ont débuté en 2017 avec l’aide de plusieurs conseils experts. Ils se poursuivront sur le long terme bien après le 25 mai 2018 à travers l’accompagnement de l’ensemble de nos marchands soucieux de respecter ces nouveaux engagements de conformité comme nous avons eu l’opportunité de le constater lors du salon E-Commerce One To One de mars 2018.
Vos problématiques, notre expertise
Votre Payment Manager est à votre disposition pour vous accompagner dans votre démarche de conformité au RGPD pour vos traitements de données liés aux services de paiement proposés par Dalenys.
Pour plus d’informations nous vous invitons à consulter :
- Notre politique de protection des données personnelles
- La liste des autorités de contrôle (national data protection authorities)
- Les actualités de la CNIL, autorité de contrôle française, sur le Règlement Européen
- Les travaux en cours à ce jour du projet de loi de transposition en droit français du RGPD
(1) : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) : Article L. 133-3 du Code Monétaire et Financier
