Un an après l’application du Règlement général sur la protection des données (RGPD), notre Data Protection Officer (DPO) chez Lemonway, rappelle les changements opérés par cette nouvelle réglementation dans le cadre de son activité d’établissement de paiement. Le 25 mai 2018 entrait en application un nouveau règlement européen visant la protection des données personnelles. Jusqu’alors, cette dernière était encadrée en France par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés ». Difficile de passer à côté de ce fameux RGPD tant il a été médiatisé, suscité de nombreuses questions et nécessité de nouveaux ajustements ! Lemonway - qui est amenée cadre de son activité à collecter et traiter des données personnelles tant à l’égard de ses propres collaborateurs que de ses partenaires - est pleinement concernée par les dispositions du RGPD qu’elle doit quotidiennement concilier avec les réglementations qui régissent les établissements de paiement.
Uniformiser, structurer et solidifier le cadre juridique en matière de protection de données
Coté juridique, le RGPD est venu uniformiser la réglementation sur les données personnelles au niveau européen mais aussi structurer et renforcer le cadre juridique de la collecte au traitement des données. Côté utilisateurs, le RGPD apporte, et c’est là son objectif premier, une plus grande maitrise et un contrôle des données les concernant. Dès lors, différents niveaux de formalités et procédures ont été imposés afin de :
- Identifier la finalité de la collecte des données ;
- Garantir le droit à l’effacement, droit à l’oubli et droit de rectification ;
- Assurer le droit à la portabilité des données ;
Le RGPD a nécessité pour Lemonway de se doter de nouvelles procédures pour assurer le traitement opérationnel de ces obligations : études d’impact, adaptation contractuelle, cartographie, formalisation de fiches de traitement, etc.
Mise en conformité RGPD : un double défi pour les établissements de paiement
Lemonway a été confrontée à un challenge de taille lors de cette première année d’application : la conciliation du RGPD aux autres réglementations en vigueur qui régissent les établissements de paiements telles que la 4ème Directive LCB/FT, la DPS2 ou encore les dispositions du Code monétaire et financier. Ces dernières vont dans le sens d’une authentification forte et donc d’une collecte poussée des données, là où le RGPD tente de la minimiser. A titre d’exemple, et selon les dispositions du RGPD, les données ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Or, le Code monétaire et financier impose la conservation des données personnelles pendant 5 ans à compter de la clôture du compte ou de la cessation de la relation avec le client dans le cadre des obligations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT - L.561-12 CMF). Par ailleurs, l’activité de paiement de Lemonway s’étend dans plusieurs pays de l’Union Européenne. Le RGPD pouvant être cumulé avec les législations existantes sur les données personnelles et l’interprétation des « CNIL locales », les dispositions peuvent différer d’un pays à un autre ce qui nécessite une connaissance pointue des contraintes réglementaires locales et une transmission claire à nos clients. Pour assurer un traitement efficace des demandes, Lemonway a notamment mis en place une adresse mail permettant un contact direct pour toutes demandes relatives aux données personnelles : [email protected]. Pour en savoir plus : https://www.lemonway.com/protection_des_donnees/
Partager l'article
Envie de faire
le plein d’idées ?
Tous les mois, recevez nos conseils, bonnes pratiques et tendances phares du paiement pour marketplaces.