Table of Contents Table of Contents
Previous Page  70 / 354 Next Page
Information
Show Menu
Previous Page 70 / 354 Next Page
Page Background

6

Aperçudes activités

Réglementation

70

Worldline

Document de Référence 2016

Respect des normes techniques

6.9.4

protocoles en la matière.

au groupe de travail européen sur la standardisation des

organisation permet aux industriels de participer à l’élaboration

associations de banques, banques, processeurs,

etc.). Cette

des normes et à leurs règles d’application. Le Groupe participe

(norme de sécurité spécifique au module de paiement sur

modifications au niveau des exigences en place sont gérées par

automate). Les évolutions de ces normes impliquant des

American Express et Discover en consultation avec les autres

les membres fondateurs PCI-SSC

: Visa, MasterCard, JCB,

terminaux

de

paiements,

régulateurs,

commerçants,

acteurs de l’industrie des paiements électroniques (fabricants de

entrées en application comme PCI-DSS (Payment Card Industry

transactions de paiement. D’autres normes de PCI-SSC sont

données durant la réalisation d’une transaction) et PCI-UPT

– Data Security Standard, visant à sécuriser la confidentialité des

code PIN en est la principale (Payment Card Industry – PIN Entry

(anciennement PCI-PED), relative aux dispositifs de saisie du

confidentiel du porteur de carte fasse toujours l’objet d’un

Device). Elle a comme objectif de garantir que le code

code et présente le plus haut niveau de sécurité pour les

traitement sécurisé au niveau du dispositif d’acceptation du

Standard Council). Ces normes de sécurité visent à améliorer la

développées par le PCI-SSC (Payment Card Industry – Security

des normes spécifiques relatives aux différents composants

sécurité des données des cartes à travers d’une large adoption

d’une transaction de paiement par carte. La norme PCI-PTS

Les fournisseurs de solutions de paiement, et notamment les

normes de sécurité. Ils sont notamment soumis à des normes

fabricants de terminaux, doivent respecter un ensemble de

systèmes et bases de données.

systématiquement l’objet d’un traitement sécurisé au niveau des

(Payment Card Industry – Data Security Standard) de sa

A titre d’exemple, le Groupe a obtenu la certification PCI-DSS

Paylib (portefeuille électronique basé sur le Cloud). Cette norme

plate-forme de paiement en ligne sécurisé et de son service

carte ainsi que les données sensibles des transactions fassent

vise à garantir que les données confidentielles du porteur de

relatives aux systèmes de management de la qualité et les

de certification, telles que les normes ISO

9001 sur les exigences

des infrastructures technologiques. Enfin, le Groupe est soumis

normes ISO

14001 relatives aux exigences environnementales

international de sécurité des cartes de paiement, défini par l’EMV

à des exigences internationales de sécurité, comme le standard

Groupe participe.

User Group (Europay MasterCard Visa User Group), auquel le

Le Groupe est également soumis à des normes internationales

Protection des données personnelles

6.9.5

des sociétés du Groupe Worldline que pour celui de leurs clients.

traite des informations soumises aux législations et

Dans le cadre de son activité, le Groupe Worldline collecte et

caractère personnel en Europe ainsi que dans d’autres régions

réglementations relatives à la protection des données à

données personnelles sont effectués tant pour le propre compte

où le Groupe Worldline a des activités. Ces traitements de

l’Espace économique européen

Traitements effectués au sein de

6.9.5.1

1978 relative à l’informatique, aux fichiers et aux libertés, dont le

termes de plusieurs amendements à la loi n°

78-17 du 6

janvier

principal a été adopté par la loi n°

2004-801 du 6

août 2004.

La directive

95/46/CE du 24

octobre 1995 (ci-après, la « Directive

matière dans l’ensemble des pays de l’Espace économique

Données personnelles

») constitue le cadre de référence en la

Norvège et le Liechtenstein). En France, la directive sur la

européen (l’«

EEE

», qui inclut l’Union européenne, l’Islande, la

protection des données personnelles a été transposée aux

données sur lesquelles ils portent sont contenues ou sont

de données personnelles automatisés ou non-automatisés si les

personnelles

» sont définies largement comme toute

destinées à être contenues dans un fichier. Les «

données

identifiable de façon directe ou indirecte et ce, quel que soit le

information concernant une personne physique identifiée ou

La Directive Données personnelles s’applique aux traitements

effacement. Aux termes de la Directive Données personnelles,

de ces données, pendant leur conservation et jusqu’à leur

opposition à un simple sous-traitant agissant pour le compte

est considérée comme «

responsable de traitement

» (par

d’un tiers) la personne ou entité qui, seule ou conjointement

pays de résidence ou de nationalité de cette personne. Elle

établis dans un Etat membre de l’EEE ou ayant recours à des

oblige les responsables de traitements de données personnelles

prendre un certain nombre de mesures en amont de la collecte

moyens de traitement situés sur le territoire d’un Etat membre à

traitement de données personnelles.

avec d’autres, détermine les finalités et les moyens du

personnelles.

analyse au cas par cas afin de déterminer si elle agit en qualité

Chaque entité du Groupe Worldline en Europe réalise une

de ses activités impliquant des traitements de données

de responsable de traitement ou de sous-traitant pour chacune

fraude), elle est notamment soumise aux obligations suivantes

:

Lorsqu’une entité du Groupe Worldline agit en qualité de

les données personnelles des salariés ou la lutte contre la

responsable de traitement (par exemple pour ceux concernant

un contrat avec la personne concernée

;

personnelles pour procéder au traitement de données

Bénéficier d’un fondement prévu par la Directive Données

consentement de la personne concernée ou de la nécessité

personnelles,

qui

peut

notamment

résulter

du

de traitement de réaliser un intérêt légitime ou d’exécuter

de procéder au traitement pour permettre au responsable

finalités et (ii) exactes et, si nécessaire, mises à jour

;

explicites et légitimes, et de façon proportionnée à ces

S’assurer que les données personnelles sont (i) traitées

loyalement et licitement, pour des finalités déterminées,