70 / 354
6
Aperçudes activités
Réglementation
70
Worldline
Document de Référence 2016
Respect des normes techniques
6.9.4
protocoles en la matière.
au groupe de travail européen sur la standardisation des
organisation permet aux industriels de participer à l’élaboration
associations de banques, banques, processeurs,
etc.). Cette
des normes et à leurs règles d’application. Le Groupe participe
(norme de sécurité spécifique au module de paiement sur
modifications au niveau des exigences en place sont gérées par
automate). Les évolutions de ces normes impliquant des
American Express et Discover en consultation avec les autres
les membres fondateurs PCI-SSC
: Visa, MasterCard, JCB,
terminaux
de
paiements,
régulateurs,
commerçants,
acteurs de l’industrie des paiements électroniques (fabricants de
entrées en application comme PCI-DSS (Payment Card Industry
transactions de paiement. D’autres normes de PCI-SSC sont
données durant la réalisation d’une transaction) et PCI-UPT
– Data Security Standard, visant à sécuriser la confidentialité des
code PIN en est la principale (Payment Card Industry – PIN Entry
(anciennement PCI-PED), relative aux dispositifs de saisie du
confidentiel du porteur de carte fasse toujours l’objet d’un
Device). Elle a comme objectif de garantir que le code
code et présente le plus haut niveau de sécurité pour les
traitement sécurisé au niveau du dispositif d’acceptation du
Standard Council). Ces normes de sécurité visent à améliorer la
développées par le PCI-SSC (Payment Card Industry – Security
des normes spécifiques relatives aux différents composants
sécurité des données des cartes à travers d’une large adoption
d’une transaction de paiement par carte. La norme PCI-PTS
Les fournisseurs de solutions de paiement, et notamment les
normes de sécurité. Ils sont notamment soumis à des normes
fabricants de terminaux, doivent respecter un ensemble de
systèmes et bases de données.
systématiquement l’objet d’un traitement sécurisé au niveau des
(Payment Card Industry – Data Security Standard) de sa
A titre d’exemple, le Groupe a obtenu la certification PCI-DSS
Paylib (portefeuille électronique basé sur le Cloud). Cette norme
plate-forme de paiement en ligne sécurisé et de son service
carte ainsi que les données sensibles des transactions fassent
vise à garantir que les données confidentielles du porteur de
relatives aux systèmes de management de la qualité et les
de certification, telles que les normes ISO
9001 sur les exigences
des infrastructures technologiques. Enfin, le Groupe est soumis
normes ISO
14001 relatives aux exigences environnementales
international de sécurité des cartes de paiement, défini par l’EMV
à des exigences internationales de sécurité, comme le standard
Groupe participe.
User Group (Europay MasterCard Visa User Group), auquel le
Le Groupe est également soumis à des normes internationales
Protection des données personnelles
6.9.5
des sociétés du Groupe Worldline que pour celui de leurs clients.
traite des informations soumises aux législations et
Dans le cadre de son activité, le Groupe Worldline collecte et
caractère personnel en Europe ainsi que dans d’autres régions
réglementations relatives à la protection des données à
données personnelles sont effectués tant pour le propre compte
où le Groupe Worldline a des activités. Ces traitements de
l’Espace économique européen
Traitements effectués au sein de
6.9.5.1
1978 relative à l’informatique, aux fichiers et aux libertés, dont le
termes de plusieurs amendements à la loi n°
78-17 du 6
janvier
principal a été adopté par la loi n°
2004-801 du 6
août 2004.
La directive
95/46/CE du 24
octobre 1995 (ci-après, la « Directive
matière dans l’ensemble des pays de l’Espace économique
Données personnelles
») constitue le cadre de référence en la
Norvège et le Liechtenstein). En France, la directive sur la
européen (l’«
EEE
», qui inclut l’Union européenne, l’Islande, la
protection des données personnelles a été transposée aux
données sur lesquelles ils portent sont contenues ou sont
de données personnelles automatisés ou non-automatisés si les
personnelles
» sont définies largement comme toute
destinées à être contenues dans un fichier. Les «
données
identifiable de façon directe ou indirecte et ce, quel que soit le
information concernant une personne physique identifiée ou
La Directive Données personnelles s’applique aux traitements
effacement. Aux termes de la Directive Données personnelles,
de ces données, pendant leur conservation et jusqu’à leur
opposition à un simple sous-traitant agissant pour le compte
est considérée comme «
responsable de traitement
» (par
d’un tiers) la personne ou entité qui, seule ou conjointement
pays de résidence ou de nationalité de cette personne. Elle
établis dans un Etat membre de l’EEE ou ayant recours à des
oblige les responsables de traitements de données personnelles
prendre un certain nombre de mesures en amont de la collecte
moyens de traitement situés sur le territoire d’un Etat membre à
traitement de données personnelles.
avec d’autres, détermine les finalités et les moyens du
personnelles.
analyse au cas par cas afin de déterminer si elle agit en qualité
Chaque entité du Groupe Worldline en Europe réalise une
de ses activités impliquant des traitements de données
de responsable de traitement ou de sous-traitant pour chacune
fraude), elle est notamment soumise aux obligations suivantes
:
Lorsqu’une entité du Groupe Worldline agit en qualité de
les données personnelles des salariés ou la lutte contre la
responsable de traitement (par exemple pour ceux concernant
un contrat avec la personne concernée
;
personnelles pour procéder au traitement de données
Bénéficier d’un fondement prévu par la Directive Données
●
consentement de la personne concernée ou de la nécessité
personnelles,
qui
peut
notamment
résulter
du
de traitement de réaliser un intérêt légitime ou d’exécuter
de procéder au traitement pour permettre au responsable
finalités et (ii) exactes et, si nécessaire, mises à jour
;
explicites et légitimes, et de façon proportionnée à ces
S’assurer que les données personnelles sont (i) traitées
●
loyalement et licitement, pour des finalités déterminées,