FAQ – Protection des données personnelles

Gouvernance et responsabilités

Responsable du traitement et contact DPO

CentralPay, Établissement de Monnaie Électronique (EME), est responsable du traitement pour ses services de paiement.
Contact DPO : dpo@centralpay.com (réponse sous 30 jours).

Données collectées

Quelles données collectons-nous ?

Dans le cadre de la fourniture de ses services de paiement et afin de respecter ses obligations légales, CentralPay collecte uniquement les données strictement nécessaires. Ces données varient en fonction du type d’opération (paiement, vérification KYC, lutte contre la fraude, support client). Elles se répartissent en plusieurs catégories :

• Données d’identification : nom, prénom, civilité, date et lieu de naissance, nationalité, qualité (par exemple représentant légal, dirigeant ou bénéficiaire effectif – UBO).
• Données de contact : adresse email, numéro de téléphone, adresse postale.
• Données de paiement : coordonnées bancaires (IBAN, BIC) ; données de carte traitées exclusivement dans un environnement certifié PCI DSS (numéro complet et CVC collectés uniquement pour être tokenisés et jamais exposés en clair), date d’expiration, schéma (Visa, Mastercard…), pays émetteur, 4 derniers chiffres.
• Données transactionnelles : identifiant de transaction (transactionId), date et heure, montant, devise, statut, référence commande (orderId), historique des opérations (paiements uniques, récurrents, fractionnés, remboursements).
• Données de sécurité et de lutte contre la fraude : adresse IP, empreinte 3DS (navigateur/appareil), résultats et scores antifraude, statut éventuel de mise en surveillance technique.
• Données de conformité KYC/LCB-FT : pièces d’identité officielles, justificatifs de domicile, documents légaux de l’entreprise (ex. Kbis, statuts), informations sur les bénéficiaires effectifs (UBO et pourcentages de détention).
• Données techniques : journaux applicatifs (logs API), événements transmis aux marchands (webhooks), identifiants techniques (customerId, eventId).

CentralPay ne collecte aucune donnée sensible au sens de l’article 9 du RGPD (santé, religion, opinions politiques, orientation sexuelle, etc.), sauf si la loi l’imposait de manière exceptionnelle.

Finalités

Pourquoi utilisons-nous vos données ?

CentralPay traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes. Ces traitements s’inscrivent dans le cadre de l’exécution de nos services de paiement, du respect de nos obligations réglementaires et de la sécurité de nos systèmes. Les principales finalités sont les suivantes :

• Exécution des paiements : traitement des opérations de paiement (SEPA, carte bancaire, paiements récurrents ou fractionnés), gestion des flux financiers, émission de factures et suivi des règlements.
• Respect des obligations réglementaires : application des règles de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), vérification d’identité (KYC), conservation légale des documents, supervision par l’ACPR.
• Prévention et détection de la fraude : mise en œuvre des contrôles de sécurité exigés par la DSP2 (authentification forte, 3DS), calcul de scores antifraude et gestion des alertes.
• Relation client et support : communication avec les clients et utilisateurs (notifications, confirmations, envoi de liens de paiement), traitement des demandes de support, gestion des réclamations et litiges.
• Obligations comptables et fiscales : conservation des pièces probatoires, respect des règles du Code de commerce et du Code général des impôts.
• Amélioration et sécurité technique : suivi de la performance et de la disponibilité de nos services, renforcement de la résilience opérationnelle conformément au règlement DORA, amélioration continue de l’expérience client et de la sécurité de nos systèmes.

Bases légales

Sur quelles bases légales reposent nos traitements ?

CentralPay traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes. Ces traitements s’inscrivent dans le cadre de l’exécution de nos services de paiement, du respect de nos obligations réglementaires et de la sécurité de nos systèmes. Les principales finalités sont les suivantes :

• Exécution des paiements : traitement des opérations de paiement (SEPA, carte bancaire, paiements récurrents ou fractionnés), gestion des flux financiers, émission de factures et suivi des règlements.
• Respect des obligations réglementaires : application des règles de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), vérification d’identité (KYC), conservation légale des documents, supervision par l’ACPR.
• Prévention et détection de la fraude : mise en œuvre des contrôles de sécurité exigés par la DSP2 (authentification forte, 3DS), calcul de scores antifraude et gestion des alertes.
• Relation client et support : communication avec les clients et utilisateurs (notifications, confirmations, envoi de liens de paiement), traitement des demandes de support, gestion des réclamations et litiges.
• Obligations comptables et fiscales : conservation des pièces probatoires, respect des règles du Code de commerce et du Code général des impôts.
• Amélioration et sécurité technique : suivi de la performance et de la disponibilité de nos services, renforcement de la résilience opérationnelle conformément au règlement DORA, amélioration continue de l’expérience client et de la sécurité de nos systèmes.

Pendant combien de temps conservons-nous vos données ?

CentralPay applique des délais de conservation précis, fondés sur les obligations légales et les besoins opérationnels. À l’issue de ces délais, les données sont soit supprimées, soit anonymisées de façon irréversible.

• Transactions financières (écritures probatoires) : conservées 10 ans, conformément au Code de commerce.
• Données personnelles associées aux transactions (email, téléphone, IP, empreintes 3DS, PAN masqué, token de carte, scores fraude) : conservées 24 mois maximum, puis supprimées ou anonymisées.
• Données de carte (token + métadonnées) : conservées jusqu’à 24 mois après la date d’expiration de la carte. Le PAN complet et le CVC ne sont jamais exposés en clair.
• Payment Requests (emails/SMS) : conservées 24 mois maximum.
• Abonnements et paiements fractionnés : conservés pendant la durée de l’abonnement + 5 ans.
• Comptes bancaires (IBAN/BIC) et mandats SEPA : conservés pendant la durée du mandat + 10 ans (preuve contractuelle).
• KYC / LCB-FT : données conservées 5 ans après la fin de la relation d’affaires (art. L561-12 CMF).
• Journaux techniques et webhooks : conservés 24 mois.

Au-delà de ces durées, CentralPay ne conserve que des données anonymisées ou strictement nécessaires au respect d’une obligation légale.

Localisation et transferts

Où vos données sont-elles traitées ?

Les données traitées par CentralPay sont hébergées en priorité dans l’Union européenne, principalement en France, dans des environnements certifiés PCI DSS et ISO 27001.

À ce jour, CentralPay ne transfère pas de données personnelles hors de l’Union européenne.
Si un transfert hors UE devait être nécessaire à l’avenir (par exemple pour un prestataire SMS ou email), il serait encadré par :

• une analyse d’impact du transfert,
• la mise en place des Clauses Contractuelles Types (SCC) de la Commission européenne,
• des mesures techniques complémentaires (chiffrement, segmentation, contrôle d’accès),
• et une information transparente de nos clients.

Transfert de données hors UE : comment procédons-nous ?

À ce jour, CentralPay ne transfère pas de données personnelles hors de l’Union européenne.
Toutes les données sont hébergées et traitées dans l’UE, principalement en France et au sein d’infrastructures certifiées (PCI DSS).

Si, à l’avenir, un transfert hors UE devait être nécessaire (par exemple pour un prestataire SMS ou email), CentralPay s’engage à :

• procéder à une analyse d’impact sur le transfert,
• appliquer les Clauses Contractuelles Types (SCC) de la Commission européenne,
• mettre en place des mesures techniques supplémentaires (chiffrement, cloisonnement, contrôle d’accès),
• et informer ses clients en toute transparence.

Nature des données

Traitons-nous des données sensibles ?

Non. CentralPay ne traite aucune donnée sensible au sens de l’article 9 du RGPD (santé, religion, opinions politiques, orientation sexuelle, etc.).
Nous collectons uniquement les informations strictement nécessaires à l’exécution des paiements et au respect de nos obligations légales (LCB-FT, supervision ACPR).

Collectons-nous des données de mineurs ?

CentralPay fournit ses services exclusivement à des professionnels (B2B). Nous ne collectons donc pas volontairement de données de mineurs.
Si, indirectement, un mineur est amené à effectuer un paiement, le traitement reste limité aux données de paiement nécessaires (ex. coordonnées bancaires ou carte), et toujours sous la responsabilité de son représentant légal lorsqu’une vérification est requise.

Conformité RGPD

Réalisons-nous des analyses d’impact (PIA)?

Oui, nous réalisons des AIPD (PIA) pour les traitements susceptibles d’engendrer un risque élevé (ex. KYC, antifraude/3DS, tokenisation carte, analyses longitudinales). Les risques résiduels et mesures de réduction sont documentés.

Comment garantissons-nous la minimisation et le privacy by design ?

Nous collectons uniquement les champs nécessaires par finalité, cloisonnons les environnements (prod/préprod), nous n’utilisons aucune donnée réelle en test, limitons les payloads webhooks au minimum utile, et appliquons des purges/anonymisations automatiques à l’échéance.

Comment CentralPay documente sa conformité RGPD ?

• Politique RGPD publique (site).
• Registre des traitements (interne, à jour).
• PIA sur les traitements à risque (interne).
• Politiques/procédures (sécurité, purge, incidents, droits).
• Rapports de contrôle interne (ACPR).

Sous-traitants

Comment encadrons-nous nos prestataires ?

Chaque prestataire est contractuellement encadré (art. 28) : mesures de sécurité, confidentialité, notification d’incident, audibilité, localisation des données, sous-traitance en cascade contrôlée. Due diligence initiale + réévaluation régulière (sécurité, SLA, conformité).

Quels prestataires utilisons-nous ?

Sur demande et après NDA, nous pouvons fournir la liste à jour par catégorie de nos prestataires (hébergement/cloud, KYC, envoi email/SMS, anti-fraude, support) en indiquant la zone géographique.

Comment sélectionnons-nous nos prestataires essentiels ?

CentralPay applique une politique d’encadrement des sous-traitants alignée à la fois sur le RGPD (art. 28) et sur le règlement DORA.

Lors de la sélection, nous menons une due diligence approfondie couvrant la sécurité (certifications, mesures techniques), la conformité réglementaire (RGPD, DSP2, LCB-FT), la localisation et le régime juridique des données, la solidité financière du prestataire ainsi que les niveaux de service (SLA) proposés. Pour les prestataires critiques, nous examinons en particulier leur intégration dans la chaîne de valeur des services de paiement et leur rôle en matière de résilience opérationnelle.

Chaque relation contractuelle inclut des clauses conformes à l’article 28 RGPD (confidentialité, sécurité, notification d’incident, limitation des sous-traitances en cascade) ainsi que, le cas échéant, des Clauses Contractuelles Types (SCC) pour encadrer les transferts hors Union européenne.

Conformément à DORA, nous tenons un registre d’information des prestataires TIC et identifions ceux considérés comme prestataires critiques. Ces prestataires font l’objet d’une évaluation renforcée, avec des exigences contractuelles spécifiques en matière de disponibilité, d’intégrité, de continuité et de tests de résilience.

Le suivi est assuré au travers de revues régulières (contrôles, rapports d’audit, attestations de conformité type SOC/ISO, questionnaires de sécurité), d’un droit d’audit contractuel et de mécanismes de reporting périodique. Nous intégrons ces évaluations dans notre cartographie des risques TIC et nos comités de suivi DORA.

Sécurité et résilience

Quelles protections techniques appliquons-nous ?

CentralPay protège les données et les systèmes en combinant des mécanismes techniques robustes et conformes aux meilleurs standards internationaux.
Les échanges sont sécurisés par un chiffrement systématique : TLS 1.2/1.3 pour les données en transit et AES-256 pour les données au repos, avec une gestion centralisée des clés.
Les données de carte sont traitées exclusivement dans un environnement PCI DSS niveau 1, avec collecte en zone dédiée et tokenisation irréversible pour éviter toute exposition du PAN complet.
Les accès aux systèmes sont contrôlés par des mécanismes RBAC (role-based access control) et protégés par une authentification forte (MFA), avec des revues régulières des habilitations.
Toutes les actions sensibles font l’objet d’une journalisation horodatée et inviolable, intégrée dans un SIEM qui assure la détection et l’alerte en temps réel.
L’infrastructure est cloisonnée : segmentation des réseaux, séparation stricte des environnements (production, test, préproduction) et gestion sécurisée des secrets.
Enfin, CentralPay teste régulièrement son dispositif à travers des tests de pénétration, des scans de vulnérabilités et des audits externes indépendants.

Comment notre organisation garantit la sécurité ?

La sécurité ne repose pas uniquement sur la technologie mais aussi sur une organisation et une gouvernance solides.
CentralPay applique un cadre de gestion des risques intégrant une cartographie détaillée, des indicateurs de suivi (KRI) et une politique d’appétence au risque validée par la direction.
La supervision s’appuie sur le modèle reconnu des trois lignes de défense : les opérations assurent les contrôles de premier niveau, une fonction indépendante de conformité et de contrôle permanent supervise la deuxième ligne, et l’audit interne constitue la troisième ligne.
Un comité sécurité et conformité se réunit régulièrement pour piloter la stratégie et mettre à jour les politiques et procédures clés (gestion des accès, incidents, purges, exercice des droits RGPD).
Enfin, la culture sécurité est renforcée par des formations régulières des équipes, couvrant la cybersécurité, la protection des données personnelles et les obligations LCB-FT.

Que faisons-nous en cas d’incident de sécurité ?

CentralPay dispose d’une procédure formalisée de gestion des incidents.
En cas d’incident, nous procédons à une détection rapide, une qualification et un confinement immédiat, suivis d’actions de remédiation.
Les événements sont intégralement journalisés et investigués (forensic) afin d’identifier la cause et d’éviter leur récurrence.
Lorsque la réglementation l’impose, nous notifions la CNIL dans un délai maximum de 72 heures et informons les personnes concernées en cas de risque élevé.
Chaque incident donne lieu à un retour d’expérience (REX) et à la mise en place d’un plan d’actions correctives, qui est suivi jusqu’à sa résolution complète.

Nos audits de sécurité

CentralPay est soumis à plusieurs niveaux de contrôle et de tests de sécurité, à la fois internes et externes :

• Audits externes réguliers :
  • Certification annuelle PCI DSS niveau 1 sur la collecte et le traitement des données de paiement,
  • Audits indépendants de cybersécurité,
  • Tests de pénétration réalisés par des prestataires tiers pour identifier et corriger les vulnérabilités.
• Contrôles internes permanents (seconde ligne de défense) : revues des habilitations, scans de vulnérabilités, surveillance des systèmes critiques.
• Audits périodiques indépendants (troisième ligne de défense) : audit interne et audit externe du dispositif de sécurité, conformité réglementaire (ACPR, DORA).
• Revue annuelle des politiques : l’ensemble de nos politiques de sécurité, de purge, d’incidents et de gestion des prestataires est revu et validé chaque année par la direction.
• Tests de résilience conformément à DORA :
  • Plans de Continuité et de Reprise d’Activité (PCA/PRI) testés régulièrement pour valider la capacité à maintenir les services en cas d’incident majeur,
  • Exercices de crise simulant des scénarios de cyberattaque ou d’indisponibilité critique,
  • Tests de charge et de performance sur les infrastructures critiques,
  • Scénarios de bascule et redondance entre environnements pour garantir la disponibilité,
  • Pour les fonctions critiques, recours progressif à des tests de résilience avancés de type “TLPT” (Threat-Led Penetration Testing), exigés par DORA pour les acteurs significatifs.

Droits des personnes

Quels sont vos droits et comment les exercer ?

En application des articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• droit d’accès,
• droit de rectification,
• droit à l’effacement,
• droit à la limitation,
• droit d’opposition,
• droit à la portabilité,
• droit de retrait du consentement.

Vous pouvez exercer vos droits en adressant une demande à : dpo@centralpay.com.
Nous nous engageons à vous répondre dans un délai de 30 jours maximum, sauf cas exceptionnel justifiant une prolongation. En cas de difficulté, vous pouvez également saisir la CNIL.

Comment concilions-nous effacement et obligations légales ?

CentralPay respecte le droit à l’effacement prévu par le RGPD, mais certaines données doivent être conservées en raison d’obligations légales.
Nous supprimons ou anonymisons toutes les données personnelles qui ne sont plus nécessaires.
En revanche, lorsque la loi nous impose de conserver certaines informations (par exemple les écritures comptables pendant 10 ans ou les données KYC pendant 5 ans après la fin de la relation), ces données sont maintenues mais :

• leur accès est strictement limité,
• elles ne sont utilisées que pour les finalités imposées par la loi (contrôle ACPR, TRACFIN, obligations probatoires).

Ainsi, nous trouvons un équilibre entre le respect des droits des personnes et nos obligations réglementaires.

Autres garanties

Utilisons-nous des décisions automatisées ou du profilage ?

CentralPay n’applique aucune décision entièrement automatisée produisant des effets juridiques ou significatifs sur les personnes, au sens de l’article 22 du RGPD.
Nous utilisons en revanche des outils de scoring antifraude qui calculent un niveau de risque sur les transactions. Ces résultats servent uniquement d’aide à la décision : lorsqu’un cas est sensible ou à risque, il est systématiquement revu et validé par un contrôle humain.

Utilisons-nous des cookies ou traceurs à des fins publicitaires ?

Sur les parcours de paiement et dans les API, CentralPay n’utilise aucun cookie publicitaire ni traceur marketing. Seuls des cookies ou traceurs strictement nécessaires au fonctionnement technique et à la sécurité des parcours (ex. gestion de session, authentification) peuvent être utilisés.
À ce stade, aucun mécanisme de consentement via bannière n’est nécessaire, puisque nous n’utilisons pas de cookies optionnels.

Comment assurons-nous la résilience et les sauvegardes ?

Oui. L’infrastructure est redondée sur deux data centers localisés en France ; les sauvegardes sont chiffrées et externalisées, testées régulièrement (restores) et retiennent les mêmes contrôles d’accès que la production.

Avons-nous une politique de purge et d’anonymisation documentée ?

Oui, avec délais par objet (transactions/personnelles 24 mois, cartes jusqu’à 24 mois après date d’expiration, KYC 5 ans post-relation, mandats 10 ans, logs 24 mois) et mécanismes (suppression vs anonymisation irréversible), plus traces de purge (logs d’exécution).

Nos environnements de test contiennent-ils des données réelles ?

CentralPay n’utilise jamais de données personnelles réelles dans ses environnements de test ou de préproduction. Tous nos jeux de données internes (ex. cartes, IBAN, profils clients) sont synthétiques ou fictifs et conformes aux standards PCI DSS.

Cependant, les utilisateurs de nos environnements de test (par ex. marchands intégrateurs) peuvent techniquement saisir leurs propres données. Cette pratique est formellement interdite et encadrée par nos conditions d’utilisation.

Si un utilisateur insère par erreur des données personnelles dans un environnement de test, celles-ci :

• ne sont pas utilisées à des fins de traitement de paiement réel,
• ne sont pas répliquées en production,
• et font l’objet d’une purge automatique ou manuelle dès leur détection.

Comment CentralPay gère-t-il l’accès des équipes support aux données ?

Les équipes support de CentralPay n’ont pas d’accès direct et permanent aux données personnelles. L’accès est accordé uniquement en cas de besoin opérationnel (par exemple pour résoudre un incident ou assister un client), et selon les principes suivants :

• Accès temporaire et justifié : chaque accès est accordé pour une durée limitée et doit être motivé par un ticket ou une demande validée.
• Principe du moindre privilège : l’agent support ne voit que les données strictement nécessaires pour traiter la demande.
• Authentification forte (MFA) : tous les accès sont sécurisés par une authentification à plusieurs facteurs.
• Traçabilité complète : chaque action effectuée par un membre du support est enregistrée et auditée.
• Revue régulière des habilitations : les droits d’accès sont revus mensuellement pour s’assurer qu’ils restent justifiés.
• Masquage des données sensibles : les champs sensibles (ex. numéro complet de carte, CVC, IBAN complet) sont systématiquement masqués dans les interfaces, afin que le support ne puisse jamais les visualiser en clair.

Offrons-nous des clauses contractuelles spécifiques RGPD à vos clients ?

Nos CGU/contrats intègrent les clauses nécessaires (confidentialité, sécurité, coopération incidents, sous-traitance, conservation/purge). Des avenants RGPD sont possibles selon les cas d’usage.

Partageons-nous nos politiques et procédures internes ?

La Politique RGPD publique est disponible en ligne. Les politiques internes détaillées (procédures incidents, purge, sécurité) ne sont, par défaut, pas partagées.