Spaycial a accès à vos données de paiement, après que vous ayez donné votre consentement. C'est son rôle d'agrégateur de comptes bancaires. On vous explique avec notre Head of Legal, Nurgül Sivasli, comment ça fonctionne et pourquoi tout est archi-sécurisé (nous n’existerions d’ailleurs pas sans cette réglementation).
Spaycial : Comment une entreprise prestataire de services se retrouve à récupérer des données de paiement individuelles ?
Nurgül Sivasli : Si vous ne devez d’ores et déjà retenir qu’une seule chose : rassurez-vous. Tout est encadré légalement par la DSP2 depuis 20218, par des agréments bancaires difficiles à obtenir, puis par votre consentement, puis par des demandes de renouvellement obligatoire (90 jours puis 180 jours), puis enfin par des juristes d’entreprise. Nous avons déjà abordé cette thématique sous différents angles mais nous avons le sentiment que nous n’insisterons jamais assez sur l’importance de ce sujet.
Lire à ce sujet : Qu'est-ce que la DSP2?
En quoi cette réglementation DSP2 vient changer la manière dont les données de paiement des shoppers est collectée?
N.S. : Elle est indispensable. L’open banking existe depuis des années ailleurs, de même pour le cashback, notamment aux Etats-Unis et tout est parfaitement légal. Ces dernières années, lentement mais surement, des acteurs des quatre coins du monde arrivaient sur notre marché avec des régulations non-européennes, bousculant nos règles de souveraineté nationale. Par ailleurs, jusqu’à la DSP2, les banques avaient la chasse gardée de l’accès à la donnée de paiement, sous couvert de secret professionnel. La DSP2 vient remettre la donnée entre les mains de ses utilisateurs.
Expliquez-nous ce dernier point?
N.S. : La question à se poser est simple : à qui appartient la data? Aux banques? Aux prestataires comme nous? Non, aux utilisateurs! C’est aussi ce que vient apporter le RGPD, à savoir remettre l’individu au centre du traitement de la donnée.
Nous demandons toujours au shopper son consentement avant quoi que ce soit, c’est fondamental, c’est au coeur de notre produit et de nos innovations techniques, comme notre funnel. Nous sommes 100% privacy by design. Ainsi le Data Protection Officer (DPO) travaille directement avec le Head of Product dans ce cadre-là. C’est comme un consentement à un contrat : nous exécutons l’offre après signature. Et surtout, nous n’allons pas au-delà de ce contrat, la DSP2 nous impose ce cadre réglementaire. Nous répondons à des normes de contrôle et de sécurité fixé par la banque de France et la commission européenne.
Lire à ce sujet : RGPD et donnée de paiement, quels sont les enjeux
Une fois récupérées, vous avez tout de même accès à toutes ces données personnelles?
N.S. : Nos bases de données sont encryptées et au-delà du consentement, elles sont pseudonymisées. Notamment quand nous produisons des statistiques, de types "achats out-of-mall".
Lire à ce sujet : L'identification forte du shopper, entre expérience client et fidélisation
Finalement, la récupération des données, ça sert à quoi?
N.S. : Nous redonnons du pouvoir d’achat aux shoppers grâce à l’analyse de leurs données de paiement qui découlent sur des offres privilégiées personnalisées, du cashback, du BNPL et des assurances renégociées.