Back to blog

RGPD et données de paiement : quels sont les enjeux ?

A l’heure où l’intelligence artificielle est omniprésente, jusque dans les objets et services du quotidien, les données collectées représentent un actif fondamental pour les entreprises de tous secteurs. Plus particulièrement dans le retail, où la tendance à l’hyper-individualisation est devenue la norme dans la relation entre les shoppers et les marques.

Accompagnées par des acteurs tiers, comme Spaycial, les marques sont aujourd’hui en mesure d’optimiser l’expérience de leur clients en leur proposant des services inédits toujours plus innovants : opérer un remboursement ou cashback, proposer des offres et promotions personnalisées, autoriser un achat avec un paiement différé ou en plusieurs fois (buy now pay later ou BNPL), etc. Grâce à l’analyse et à l’agrégation de la donnée de paiement, un commerce physique est désormais en mesure de comprendre le comportement de clients en retraçant par exemple le lieu et le parcours d’achat d’un shopper.

L’accès à de tels services induit évidemment le traitement de données personnelles. Rien ne sert de le cacher. Aussi leur protection en conformité avec les textes applicables tels que la DSP2 et le RGPD (Règlement général sur la protection des données) est un sujet capital. Qu’est-ce que ces règles impliquent pour les spécialistes de la donnée de paiement, comme Spaycial ? Tour d'horizon en compagnie de notre DPO.

Données de paiement et RGPD : de quoi parle-t-on ?

Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment en référence à des données de localisation ou un numéro d’identification (art. 4.1, RGPD). Très souvent, le traitement de la donnée de paiement implique celui d’au moins une donnée à caractère personnel, donc la nécessité de se conformer au RGPD.

Les données collectées par les différents acteurs de la chaîne de paiement, et selon les agréments dont ils disposent, peuvent être de plusieurs ordres :

  • les données de transaction du client, qui regroupent les données d’identification (nom, prénom, adresse...) et les données de paiement (IBAN, numéro de carte bancaire...) ;
  • les données de transaction du marchand ;
  • les données complémentaires (localisation, détails et historique des achats, etc.).

Les données de transaction, qui nous intéressent ici, ont toujours été collectées et traitées par les établissements bancaires. Elles servent entre autres à détecter les opérations frauduleuses et analyser les risques. Aujourd’hui, elles sont également un moyen complémentaire pour mieux comprendre les comportements d’achat et ainsi proposer des produits et services personnalisés, notamment grâce aux intermédiaires autorisés et agréés pour gérer ce type de données, comme l’est Spaycial.

Transparence, confidentialité, sécurité : les grands enjeux pour le secteur

Comment s’assurer que toutes les données des shoppers sont bien protégées et éviter tout risque d’utilisation abusive ? Les entreprises concernées doivent tout d’abord mener une politique globale de conformité menée par un Délégué à la protection des données (DPO) pour sensibiliser tous les collaborateurs. La collaboration entre le DPO et le Head of Product est devenue indispensable pour les acteurs du paiement afin de concevoir dès la conception (by design) chaque produit et services en conformité avec le RGPD.

“Un autre enjeu est celui de la licéité du traitement", précise Nurgul Sivasli, DPO de Spaycial.

Si le recueil du consentement à l’accès au compte bancaire est systématique, reste qu’il convient de choisir et définir la base légale adéquate lors du traitement de la donnée personnelle entre le contrat, le consentement et l’intérêt légitime.

Le RGPD établit à ce propos différents droits, permettant au consommateur de reprendre le contrôle de ses données, dont les principaux sont :
  • Le droit à la transparence : la transparence du traitement est indispensable en informant avec clarté et pédagogie l’utilisateur sur le traitement réalisé.
  • La portabilité des données : si besoin, les utilisateurs peuvent récupérer des données à caractère personnel qu’elles ont fournies puis les transmettre à un autre organisme traitant les données, ou d’en demander le transfert lorsque c’est possible.
  • Le droit à l’oubli : chacun peut, à tout moment, demander expressément la suppression de ses données collectées par l’organisme qui gère ces données.
  • La notification en cas de perte ou vol de données : les établissements concernés ont l’obligation d’informer la personne concernée, sous 72 heures, de toute action ayant conduit à la fuite de données personnelles.

La sécurité est enfin un enjeu de taille. Les agrégateurs d’informations sur les comptes comme Spaycial relèvent ce défi quotidien via des interfaces informatiques sécurisées mises à disposition par celles-ci et le respect de normes de sécurités standard et des audits réguliers de leurs systèmes.

Le plus grand challenge pour les entreprises du secteur de la donnée de paiement est de trouver un juste équilibre entre traitement des données et conformité aux exigences réglementaires. En tant qu’agrégateur bancaire, Spaycial met un point d’honneur à agir en conformité avec ces règles. “Nous nous efforçons de mettre en place les moyens humains et techniques (DPO, gouvernance de la donnée, complémentarité entre les compétences en interne…) pour collecter, structurer et valoriser les données clients en toute sécurité, et en conformité avec le RGPD”, conclut Nurgul Sivasli.