Politique de protection
des données personnelles

Politique de protection des données personnelles – CentralPay

Dernière mise à jour : 15/09/2025

Chez CentralPay, la protection des données personnelles est au cœur de nos engagements. En tant qu’Établissement de Monnaie Électronique agréé par l’ACPR (n° d’agrément 17138 nous traitons des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679) et à la législation française applicable.

Cette politique présente, de manière claire et transparente, les traitements de données personnelles que nous réalisons.

1. Qui est responsable du traitement ?

Le responsable de traitement est :
CentralPay – 19 rue Edouard VAILLANT – 37000 TOURS
Contact DPO : dpo@centralpay.com

2. Quelles données collectons-nous ?

CentralPay collecte uniquement les données strictement nécessaires à la fourniture de ses services de paiement et au respect de ses obligations légales et réglementaires.

Données d’identification
  • Nom, prénom, civilité
  • Date et lieu de naissance
  • Nationalité
  • Qualité (dirigeant, représentant légal, UBO)
 
Données d’identification
  • Adresse email
  • Numéro de téléphone (mobile ou fixe)
  • Adresse postale professionnelle ou personnelle (selon le cas)
 
Données de paiement
  • Coordonnées bancaires : IBAN et BIC
  • Données de carte : numéro de carte (collecté uniquement dans un environnement sécurisé PCI DSS et immédiatement tokenisé), date d’expiration, schéma (Visa, Mastercard, etc.), pays émetteur, 4 derniers chiffres
  • Important : CentralPay n’expose jamais le numéro complet ni le cryptogramme au marchand
 
Données transactionnelles
  • Identifiant de transaction, date et heure
  • Montant, devise, statut de paiement
  • Référence commande (orderId)
  • Historique des opérations (paiements uniques, récurrents, fractionnés, remboursements)
 
Données de sécurité et de lutte contre la fraude
  • Adresse IP de connexion
  • Empreinte technique du terminal (navigateur, langue, résolution écran) lors de l’authentification 3DS
  • Résultats et scores antifraude internes
  • Statut éventuel de mise en surveillance (liste noire technique)
 
Données de conformité KYC/LCB-FT
  • Pièces d’identité (CNI, passeport, titre de séjour)
  • Justificatifs de domicile (facture d’énergie, quittance)
  • Documents légaux de l’entreprise (Kbis, statuts, registre des bénéficiaires effectifs)
  • Informations sur les UBO (noms, pourcentages de détention)
 
Données techniques (liées aux services)
  • Journaux applicatifs et techniques (logs API)
  • Événements de traitement (webhooks envoyés aux marchands)
  • Identifiants techniques de suivi (transactionId, customerId, etc.)

3. Pour quelles finalités utilisons-nous vos données ?

CentralPay traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes. Chaque traitement repose sur une base légale conforme au RGPD.


a) Exécution des paiements et gestion des services
  • Finalité : exécuter vos opérations de paiement (SEPA, carte, prélèvement, virement, récurrents ou fractionnés), assurer la facturation et gérer les flux financiers
  • Données concernées : coordonnées bancaires (IBAN, BIC), données de carte (token, schéma, pays, PAN masqué), identifiants de transaction, montants, devises, références commandes
  • Base légale : exécution du contrat (art. 6.1.b RGPD)

b) Vérification d’identité et obligations réglementaires (KYC/LCB-FT)
  • Finalité : satisfaire aux obligations légales de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), et aux exigences de supervision de l’ACPR
  • Données concernées : données d’identification (nom, prénom, date de naissance, nationalité), pièces d’identité, justificatifs de domicile, documents légaux de l’entreprise, informations sur les UBO
  • Base légale : obligation légale (art. 6.1.c RGPD, Code monétaire et financier art. L561-1 et suivants)

c) Prévention et détection de la fraude
  • Finalité : sécuriser les transactions, prévenir les paiements non autorisés ou frauduleux, appliquer les règles d’authentification renforcée (DSP2/3DS)
  • Données concernées : adresse IP, empreinte technique du navigateur/appareil, schéma et pays émetteur de la carte, résultats des contrôles antifraude, statut éventuel de mise en surveillance
  • Base légale : obligation légale (DSP2) et intérêt légitime (sécurité des paiements – art. 6.1.f RGPD)

d) Gestion de la relation client et du support
  • Finalité : communiquer avec les clients et utilisateurs (confirmation d’opérations, envoi de liens de paiement, notifications), répondre aux demandes de support, assurer le suivi des réclamations et litiges
  • Données concernées : email, téléphone, identifiants client, données transactionnelles associées
  • Base légale : exécution du contrat (art. 6.1.b RGPD) et intérêt légitime (gestion de la relation client)

e) Respect d’obligations comptables, fiscales et probatoires
  • Finalité : conserver certaines données pour répondre aux obligations légales de conservation (Code de commerce, Code général des impôts), produire des justificatifs comptables et probatoires
  • Données concernées : données transactionnelles (montants, devises, dates, statuts, références), coordonnées bancaires liées aux opérations
  • Base légale : obligation légale (art. 6.1.c RGPD)
 
f) Amélioration de nos services et sécurité technique
  • Finalité : analyser l’usage de nos services, optimiser la performance, assurer la résilience et la cybersécurité, conformément au règlement DORA
  • Données concernées : journaux techniques (logs), événements (webhooks), identifiants techniques, statistiques d’usage anonymisées
  • Base légale : intérêt légitime (art. 6.1.f RGPD)

4. Quelle est la base légale de ces traitements ?

Chaque traitement repose sur une base légale clairement définie :

  • Exécution du contrat (art. 6.1.b RGPD) : exécution des paiements, gestion de compte, relation client, support
  • Obligation légale (art. 6.1.c RGPD) : conformité LCB-FT (art. L561 CMF), obligations comptables et fiscales (Code de commerce, CGI), obligations réglementaires (DSP2, ACPR)
  • Intérêt légitime (art. 6.1.f RGPD) : prévention de la fraude, sécurité des systèmes, gestion des litiges, amélioration des services
  • Consentement (art. 6.1.a RGPD) : uniquement pour certaines communications marketing optionnelles ou si requis par la loi

5. Combien de temps conservons-nous vos données ?

CentralPay applique un calendrier de conservation strict, conforme aux exigences du RGPD, du Code monétaire et financier et du Code de commerce.

Nous distinguons :

a) Transactions financières (écritures comptables et probatoires)
  • Conservées 10 ans conformément aux obligations comptables et probatoires (art. L123-22 Code de commerce)
  • Données concernées : identifiants de transaction (transactionId), date, montant, devise, statut, référence commande (orderId)
  • Ces informations sont nécessaires à la preuve contractuelle et à la comptabilité et ne sont pas anonymisées
 
b) Données personnelles associées aux transactions
  • Conservées 24 mois maximum puis anonymisées de manière irréversible
  • Données concernées :
    • Coordonnées du payeur (email, téléphone)
    • Adresse IP, empreinte navigateur/appareil (3DS)
    • Données carte (token, PAN masqué, date d’expiration, schéma, pays émetteur)
    • Résultats antifraude (score, statut blacklist)
  • Ces informations ne sont plus conservées au-delà de 24 mois car elles ne sont plus nécessaires ni légalement ni contractuellement
 
c) Données relatives aux cartes de paiement
  • Conservées jusqu’à 24 mois après la date d’expiration de la carte, puis supprimées/anonymisées
  • CentralPay n’expose jamais le PAN complet ni le CVC hors de sa zone PCI DSS
 
d) Données relatives aux comptes bancaires (IBAN/BIC) et mandats SEPA
  • Conservées pendant la durée du mandat + 10 ans (preuve contractuelle), puis supprimées/anonymisées
 
e) Données KYC / LCB-FT
  • Conservées 5 ans après la fin de la relation d’affaires (art. L561-12 CMF), puis supprimées/anonymisées
  • Données concernées : pièces d’identité, justificatifs de domicile, documents légaux de l’entreprise, informations sur les UBO
 
f) Abonnements et paiements fractionnés
  • Conservés pendant la durée de l’abonnement + 5 ans (exigences probatoires), puis anonymisés.
  • Données concernées : identifiant d’abonnement, échéancier, lien vers moyen de paiement.
 
g) Journaux techniques et webhooks
  • Conservés 24 mois maximum, puis anonymisés.
  • Données concernées : logs API, événements de traitement, identifiants techniques (customerId, eventId), statuts, horodatages.

Vous pouvez exercer ces droits en adressant un email à dpo@centralpay.eu ou par voie postale à l’adresse : CentralPay – 19 rue Edouard vaillant – 37000 Tours.

Vous pouvez également, à tout moment et sans frais, sans avoir à motiver votre demande, vous opposer à ce que vos données soient utilisées à des fins de prospection commerciale.

Si, pour quelque raison que ce soit, vous considérez que notre réponse n’est pas satisfaisante, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) ; site internet : cnil.fr.

6. Qui sont les destinataires de vos données ?

Vos données peuvent être transmises uniquement à :

  • Services internes CentralPay (opérations, conformité, support, sécurité)
  • Partenaires de paiement et établissements bancaires (acquéreurs, systèmes de règlement SEPA, schémas carte)
  • Prestataires techniques (hébergement cloud, prestataire KYC, envoi SMS/email), soumis à des clauses contractuelles conformes RGPD
  • Autorités compétentes (ACPR, TRACFIN, Banque de France, autorités judiciaires)

Nous ne revendons jamais vos données à des tiers.

7. Où sont traitées vos données ?

  • Les données sont hébergées dans l’Union européenne et majoritairement en France
  • En cas de transfert hors UE (ex. prestataire SMS, email), des clauses contractuelles types (SCC) et mesures supplémentaires sont mises en place pour garantir un niveau de protection équivalent

8. Quels sont vos droits ?

Conformément aux articles 15 à 22 du RGPD, vous disposez de :

  • Droit d’accès, rectification, effacement
  • Droit à la limitation, opposition, portabilité
  • Droit de retrait du consentement (le cas échéant)
  • Droit d’introduire une réclamation auprès de la CNIL

Vous pouvez exercer vos droits en écrivant à : dpo@centralpay.com (réponse sous 30 jours).

9. Sécurité

CentralPay met en œuvre une politique de sécurité alignée sur les standards PCI DSS, ISO 27001/27005 et sur le règlement européen DORA (Digital Operational Resilience Act). Nos dispositifs couvrent l’ensemble du cycle de vie des données et des services de paiement afin de garantir leur confidentialité, leur intégrité et leur disponibilité.

La sécurité est d’abord assurée par une gouvernance claire et une gestion proactive des risques. Nous disposons d’un cadre de gestion des risques validé par la direction, qui comprend une politique d’appétence au risque, une cartographie alignée sur les normes ISO et DORA, ainsi que des indicateurs de risque suivis régulièrement. Ce cadre est mis en œuvre à travers une organisation en trois lignes de défense et piloté par un comité de sécurité et de conformité.

La protection des données repose sur un chiffrement systématique, tant en transit (TLS 1.2/1.3) qu’au repos (AES-256), avec une gestion centralisée des clés. Les données de paiement sont traitées exclusivement dans un environnement certifié PCI DSS niveau 1 et font l’objet d’une tokenisation irréversible qui évite toute exposition des numéros complets de carte ou des cryptogrammes. De plus, nous appliquons des politiques strictes de purge et d’anonymisation automatique des données personnelles à l’issue des durées de conservation prévues par le RGPD.

Les accès aux systèmes sont strictement contrôlés grâce à une gestion des identités centralisée et basée sur le principe du moindre privilège. Chaque collaborateur est soumis à une authentification forte à deux facteurs (MFA), et les habilitations font l’objet de revues régulières afin de garantir leur pertinence.

Nos infrastructures font l’objet d’une surveillance permanente. Les opérations sensibles sont journalisées de manière exhaustive et horodatée, et un système de supervision en temps réel, couplé à un SIEM, permet de détecter rapidement les incidents de sécurité.

La résilience opérationnelle est assurée par un dispositif de continuité aligné sur DORA. CentralPay a mis en place un Plan d’Urgence et de Poursuite d’Activité (PUPA) incluant des volets PCA et PRI, régulièrement testés. Des tests de pénétration et des exercices de gestion de crise sont organisés chaque année, tandis qu’une politique stricte d’externalisation TIC garantit l’évaluation continue des prestataires critiques et la tenue d’un registre d’information réglementaire.

La gestion des incidents suit une procédure formalisée de détection, classification et traitement. En cas d’incident majeur, nous respectons les délais de notification réglementaire auprès de l’ACPR et de la CNIL, et un retour d’expérience systématique est organisé afin d’améliorer en permanence le dispositif de sécurité.

Enfin, CentralPay s’inscrit dans une logique d’amélioration continue. Des audits internes et externes, y compris des audits indépendants PCI DSS et de cybersécurité, sont réalisés régulièrement. Nos dispositifs de contrôle permanent et d’audit périodique sont revus chaque année afin de garantir leur efficacité et leur conformité aux normes internationales et aux exigences réglementaires.

10. Mise à jour de la politique

Cette politique peut être modifiée pour refléter l’évolution des traitements et obligations légales. Toute mise à jour sera publiée sur notre site et, si nécessaire, communiquée aux clients concernés.