WORLDLINE_DOCUMENT_REFERENCE_2017

Descriptiondes activités duGroupe Réglementation

Respect des normes techniques

C.5.4

Les fournisseurs de solutions de paiement, et notamment les fabricants de terminaux, doivent respecter un ensemble de normes de sécurité. Ils sont notamment soumis à des normes développées par le PCI-SSC (Payment Card Industry – Security Standard Council). Ces normes de sécurité visent à améliorer la

terminaux

de

paiements,

régulateurs,

commerçants,

associations de banques, banques, prestataires de traitement, etc.). Cette organisation permet aux industriels de participer à l’élaboration des normes et à leurs règles d’application. Le Groupe participe au Groupe de travail européen sur la A titre d’exemple, le Groupe a obtenu la certification PCI-DSS (Payment Card Industry – Data Security Standard) de sa plate-forme de paiement en ligne sécurisé et de son service Paylib (porte-monnaie électronique basé sur le Cloud). Cette norme vise à garantir que les données confidentielles du porteur de carte ainsi que les données sensibles des transactions fassent systématiquement l’objet d’un traitement sécurisé au niveau des systèmes et bases de données. Le Groupe est également soumis à des normes internationales de certification telles que les normes ISO 9001 sur les exigences relatives aux systèmes de gestion de la qualité et les normes ISO 14001 relatives aux exigences environnementales des infrastructures technologiques. Enfin, le Groupe est soumis à des exigences internationales de sécurité telles que la norme internationale de sécurité des cartes de paiement définie par l’EMV User Group (Europay MasterCard Visa User Group), auquel le Groupe participe. La Directive Données personnelles et par la suite le RGPD s’appliquent aux traitements de données personnelles automatisés ou non-automatisés si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier. Les « données personnelles » sont définies largement comme toute information concernant une personne physique identifiée ou identifiable de façon directe ou indirecte et ce, quel que soit le pays de résidence ou de nationalité de cette personne. La Directive Données personnelles et par la suite le RGPD obligent les responsables de traitements de données personnelles établis dans un Etat membre de l’EEE ou ayant recours à des moyens de traitement situés sur le territoire d’un Etat membre à prendre un certain nombre de mesures en amont de la collecte de ces données, pendant leur conservation et jusqu’à leur effacement. Aux termes de la Directive Données personnelles et par la suite du RGPD, est considérée comme « responsable de traitement » (par opposition à un simple sous-traitant agissant pour le compte d’un tiers) la personne ou entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Toute personne ou entité qui traite des données à caractère personnel pour le compte d’un responsable de traitement, sur ses instructions et aux fins définies par celui-ci, est considérée comme un sous-traitant. Chaque entité du Groupe Worldline en Europe réalise une analyse au cas par cas afin de déterminer si elle agit en qualité de responsable de traitement ou de sous-traitant pour chacune de ses activités impliquant des traitements de données personnelles.

sécurité des données des cartes à travers une large adoption standardisation des protocoles en la matière. des normes spécifiques relatives aux différents composants d’une transaction de paiement par carte. La norme PCI-PTS (anciennement PCI-PED), relative aux dispositifs de saisie du code PIN en est la principale (Payment Card Industry – PIN Entry Device). Elle a comme objectif de garantir que le code confidentiel du porteur de carte fasse toujours l’objet d’un traitement sécurisé au niveau du dispositif d’acceptation du code et présente le plus haut niveau de sécurité pour les transactions de paiement. D’autres normes de PCI-SSC sont entrées en application comme PCI-DSS (Payment Card Industry – Data Security Standard), visant à sécuriser la confidentialité des données durant la réalisation d’une transaction et PCI-UPT (norme de sécurité spécifique au module de paiement sur automate). Les évolutions de ces normes impliquant des modifications au niveau des exigences en place sont gérées par les membres fondateurs du PCI-SSC : Visa, MasterCard, JCB, American Express et Discover, en consultation avec les autres acteurs du secteur des paiements électroniques (fabricants de

C

Protection des données personnelles

C.5.5

Dans le cadre de son activité, le Groupe Worldline collecte et traite des informations soumises aux législations et réglementations relatives à la protection des données à caractère personnel en Europe ainsi que dans d’autres régions où le Groupe Worldline a des activités. Ces traitements de données personnelles sont effectués tant pour le propre compte des sociétés du Groupe Worldline que pour celui de leurs clients.

C.5.5.1

Traitements effectués au sein de l’Espace économique européen

Jusqu’au 24 mai 2018, la directive 95/46/CE du 24 octobre 1995 (ci-après, la « Directive Données personnelles ») constitue le cadre de référence en la matière dans l’ensemble des pays de l’Espace économique européen (l’« EEE », qui inclut l’Union européenne, l’Islande, la Norvège et le Liechtenstein). En France, la directive sur la protection des données personnelles a été transposée aux termes de plusieurs amendements à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dont le principal a été adopté par la loi n° 2004-801 du 6 août 2004. A compter du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) remplacera la directive et les dispositions nationales au sein des Etats membres de l’Union Européenne. La législation nationale prévoira des dispositions complémentaires relatives aux clauses ouvertes dans le RGPD afin d’intégrer cette réglementation européenne dans les contextes nationaux.

63

Worldline Document de Référence 2017