Protéger les données personnelles est un enjeu majeur de conformité, clé dans la relation de confiance entre une entreprise et ses clients.

Depuis l’entrée en vigueur le Règlement général de protection des données, le 25 mai 2018, un cadre précis et original s’est imposé en parallèle et en complément à la DSP2.
Combiné avec la Directive sur les Services de Paiement, le RGPD cumule deux effets majeurs :

  • les données de paiement sont des données personnelles : elles doivent être traitées dans le respect du RGPD.

  • les données de paiement sensibles exigent une protection renforcée, selon des règles spéciales qui imposent des procédures particulières, une surveillance stricte et des exigences de reporting impératives.


Comprendre et optimiser l’articulation entre RGDP et Paiement est un impératif pour tout prestataire de service de paiement .

Dès la demande d’agrément, le sujet de la conformité RGPD s’impose.  Comme tout organisme traitant des données personnelles, il se doit tout d’abord de démontrer à tout moment sa conformité aux grands principes de licéité, loyauté, qualité, sécurité, transparence, et limitation des finalités, Privacy by Default, Privacy by Design …

En tant que gestionnaire de données sensibles de paiement, il est soumis en outre à un ensemble de règles fixées par les régulateurs notamment les nouvelles « normes techniques de régulation » édictées par l’ABE.

Pour les commerçants, s’ajoutent les exigences contractuelles découlant de l’acception de nombreux moyens de paiement : les règles PCI-DSS pour les cartes de paiement en sont l’exemple le plus connu.

Parmi les outils utiles à la réussite de cette démarche de conformité : l’analyse d’impact vie privée, obligatoire dans un nombre important de cas. Quant au rôle du Data Protection Officer, ancien Correspondant Informatique et Libertés, son rôle est renforcé et sa désignation devient obligatoire dans un grand nombre de cas.

RGPD

Satisfaire au mieux les multiples exigences de protection des données personnelles d’un PSP

Dans ce cumul d’obligations, ACPR et CNIL continuent à jouer un rôle central au niveau national. La Banque de France également au titre de ses compétences propres en matière de sécurité et bon fonctionnement des systèmes de paiement. L’arrivée de l’AMLA, nouvelle autorité européenne désormais compétente en matière de prévention du blanchiment de capitaux, domaine où les données les plus sensibles sont en jeu, complète ce paysage en rapide évolution.

Ces autorités, nationales et européennes, coopèrent de façon toujours plus étroite, dans le cadre des mécanisme des coordination, au sein du SEBC et de l’European Data Protection Board. Et si avant, la sanction pécuniaire maximale que la CNIL pouvait infliger n’était que de 150000 euros, l’amende en cas de non-conformité pourra désormais s’élever jusqu’à 4% du chiffre d’affaires mondial d’une entreprise ou 20 millions d’euros, le chiffre le plus élevé étant retenu. A cet enjeu RGPD, s’ajoutent les possibles sanctions au titre de la réglementation financière propre aux PSP.
La non-conformité sur les données personnelles liées au paiement peut donc coûter très cher.

CANTON propose une expertise ancienne et étendue sur plusieurs pays européens en matière de protection des données personnelles liées au paiement

Missionnée sur une dizaine de Pays européens, sur des sujets aussi divers que l’obtention d’un agrément, la gestion de procédures de sanctions, l’optimisation de la vigilance anti-blanchiment, le contrôle des procédures de reporting ou l’audit interne, CANTON a acquis de savoirs et savoir-faire uniques dans ce domaine.
Combinant maîtrise des cadres juridiques, compréhension des enjeux et contraintes technologiques qui en découlent et pratiques métier, nos experts sauront vous apporter une connaissance théorique et pratique de haut niveau pour vous proposer des solutions adaptées à vos besoins de protection des données dans l’univers si particulier des paiements.