logo de CentralPay en couleur
Prendre contact

Politique de protection
des données personnelles

Politique de protection des données personnelles – CentralPay

Dernière mise à jour : 15/09/2025

Chez CentralPay, la protection des données personnelles est au cœur de nos engagements. En tant qu’Établissement de Monnaie Électronique agréé par l’ACPR (n° d’agrément 17138 nous traitons des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679) et à la législation française applicable.

Cette politique présente, de manière claire et transparente, les traitements de données personnelles que nous réalisons.

1. Qui est responsable du traitement ?

Le responsable de traitement est :
CentralPay – 19 rue Edouard VAILLANT – 37000 TOURS
Contact DPO : dp*@********ay.com

2. Quelles données collectons-nous ?

CentralPay collecte uniquement les données strictement nécessaires à la fourniture de ses services de paiement et au respect de ses obligations légales et réglementaires.

Données d’identification
  • Nom, prĂ©nom, civilitĂ©
  • Date et lieu de naissance
  • NationalitĂ©
  • QualitĂ© (dirigeant, reprĂ©sentant lĂ©gal, UBO)
 
Données d’identification
  • Adresse email
  • NumĂ©ro de tĂ©lĂ©phone (mobile ou fixe)
  • Adresse postale professionnelle ou personnelle (selon le cas)
 
Données de paiement
  • CoordonnĂ©es bancaires : IBAN et BIC
  • DonnĂ©es de carte : numĂ©ro de carte (collectĂ© uniquement dans un environnement sĂ©curisĂ© PCI DSS et immĂ©diatement tokenisĂ©), date d’expiration, schĂ©ma (Visa, Mastercard, etc.), pays Ă©metteur, 4 derniers chiffres
  • Important : CentralPay n’expose jamais le numĂ©ro complet ni le cryptogramme au marchand
 
Données transactionnelles
  • Identifiant de transaction, date et heure
  • Montant, devise, statut de paiement
  • RĂ©fĂ©rence commande (orderId)
  • Historique des opĂ©rations (paiements uniques, rĂ©currents, fractionnĂ©s, remboursements)
 
Données de sécurité et de lutte contre la fraude
  • Adresse IP de connexion
  • Empreinte technique du terminal (navigateur, langue, rĂ©solution Ă©cran) lors de l’authentification 3DS
  • RĂ©sultats et scores antifraude internes
  • Statut Ă©ventuel de mise en surveillance (liste noire technique)
 
Données de conformité KYC/LCB-FT
  • Pièces d’identitĂ© (CNI, passeport, titre de sĂ©jour)
  • Justificatifs de domicile (facture d’énergie, quittance)
  • Documents lĂ©gaux de l’entreprise (Kbis, statuts, registre des bĂ©nĂ©ficiaires effectifs)
  • Informations sur les UBO (noms, pourcentages de dĂ©tention)
 
Données techniques (liées aux services)
  • Journaux applicatifs et techniques (logs API)
  • ÉvĂ©nements de traitement (webhooks envoyĂ©s aux marchands)
  • Identifiants techniques de suivi (transactionId, customerId, etc.)

3. Pour quelles finalités utilisons-nous vos données ?

CentralPay traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes. Chaque traitement repose sur une base légale conforme au RGPD.


a) Exécution des paiements et gestion des services
  • FinalitĂ© : exĂ©cuter vos opĂ©rations de paiement (SEPA, carte, prĂ©lèvement, virement, rĂ©currents ou fractionnĂ©s), assurer la facturation et gĂ©rer les flux financiers
  • DonnĂ©es concernĂ©es : coordonnĂ©es bancaires (IBAN, BIC), donnĂ©es de carte (token, schĂ©ma, pays, PAN masquĂ©), identifiants de transaction, montants, devises, rĂ©fĂ©rences commandes
  • Base lĂ©gale : exĂ©cution du contrat (art. 6.1.b RGPD)

b) Vérification d’identité et obligations réglementaires (KYC/LCB-FT)
  • FinalitĂ© : satisfaire aux obligations lĂ©gales de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), et aux exigences de supervision de l’ACPR
  • DonnĂ©es concernĂ©es : donnĂ©es d’identification (nom, prĂ©nom, date de naissance, nationalitĂ©), pièces d’identitĂ©, justificatifs de domicile, documents lĂ©gaux de l’entreprise, informations sur les UBO
  • Base lĂ©gale : obligation lĂ©gale (art. 6.1.c RGPD, Code monĂ©taire et financier art. L561-1 et suivants)

c) Prévention et détection de la fraude
  • FinalitĂ© : sĂ©curiser les transactions, prĂ©venir les paiements non autorisĂ©s ou frauduleux, appliquer les règles d’authentification renforcĂ©e (DSP2/3DS)
  • DonnĂ©es concernĂ©es : adresse IP, empreinte technique du navigateur/appareil, schĂ©ma et pays Ă©metteur de la carte, rĂ©sultats des contrĂ´les antifraude, statut Ă©ventuel de mise en surveillance
  • Base lĂ©gale : obligation lĂ©gale (DSP2) et intĂ©rĂŞt lĂ©gitime (sĂ©curitĂ© des paiements – art. 6.1.f RGPD)

d) Gestion de la relation client et du support
  • FinalitĂ© : communiquer avec les clients et utilisateurs (confirmation d’opĂ©rations, envoi de liens de paiement, notifications), rĂ©pondre aux demandes de support, assurer le suivi des rĂ©clamations et litiges
  • DonnĂ©es concernĂ©es : email, tĂ©lĂ©phone, identifiants client, donnĂ©es transactionnelles associĂ©es
  • Base lĂ©gale : exĂ©cution du contrat (art. 6.1.b RGPD) et intĂ©rĂŞt lĂ©gitime (gestion de la relation client)

e) Respect d’obligations comptables, fiscales et probatoires
  • FinalitĂ© : conserver certaines donnĂ©es pour rĂ©pondre aux obligations lĂ©gales de conservation (Code de commerce, Code gĂ©nĂ©ral des impĂ´ts), produire des justificatifs comptables et probatoires
  • DonnĂ©es concernĂ©es : donnĂ©es transactionnelles (montants, devises, dates, statuts, rĂ©fĂ©rences), coordonnĂ©es bancaires liĂ©es aux opĂ©rations
  • Base lĂ©gale : obligation lĂ©gale (art. 6.1.c RGPD)
 
f) Amélioration de nos services et sécurité technique
  • FinalitĂ© : analyser l’usage de nos services, optimiser la performance, assurer la rĂ©silience et la cybersĂ©curitĂ©, conformĂ©ment au règlement DORA
  • DonnĂ©es concernĂ©es : journaux techniques (logs), Ă©vĂ©nements (webhooks), identifiants techniques, statistiques d’usage anonymisĂ©es
  • Base lĂ©gale : intĂ©rĂŞt lĂ©gitime (art. 6.1.f RGPD)

4. Quelle est la base légale de ces traitements ?

Chaque traitement repose sur une base légale clairement définie :

  • ExĂ©cution du contrat (art. 6.1.b RGPD) : exĂ©cution des paiements, gestion de compte, relation client, support
  • Obligation lĂ©gale (art. 6.1.c RGPD) : conformitĂ© LCB-FT (art. L561 CMF), obligations comptables et fiscales (Code de commerce, CGI), obligations rĂ©glementaires (DSP2, ACPR)
  • IntĂ©rĂŞt lĂ©gitime (art. 6.1.f RGPD) : prĂ©vention de la fraude, sĂ©curitĂ© des systèmes, gestion des litiges, amĂ©lioration des services
  • Consentement (art. 6.1.a RGPD) : uniquement pour certaines communications marketing optionnelles ou si requis par la loi

5. Combien de temps conservons-nous vos données ?

CentralPay applique un calendrier de conservation strict, conforme aux exigences du RGPD, du Code monétaire et financier et du Code de commerce.

Nous distinguons :

a) Transactions financières (écritures comptables et probatoires)
  • ConservĂ©es 10 ans conformĂ©ment aux obligations comptables et probatoires (art. L123-22 Code de commerce)
  • DonnĂ©es concernĂ©es : identifiants de transaction (transactionId), date, montant, devise, statut, rĂ©fĂ©rence commande (orderId)
  • Ces informations sont nĂ©cessaires Ă  la preuve contractuelle et Ă  la comptabilitĂ© et ne sont pas anonymisĂ©es
 
b) Données personnelles associées aux transactions
  • ConservĂ©es 24 mois maximum puis anonymisĂ©es de manière irrĂ©versible
  • DonnĂ©es concernĂ©es :
    • CoordonnĂ©es du payeur (email, tĂ©lĂ©phone)
    • Adresse IP, empreinte navigateur/appareil (3DS)
    • DonnĂ©es carte (token, PAN masquĂ©, date d’expiration, schĂ©ma, pays Ă©metteur)
    • RĂ©sultats antifraude (score, statut blacklist)
  • Ces informations ne sont plus conservĂ©es au-delĂ  de 24 mois car elles ne sont plus nĂ©cessaires ni lĂ©galement ni contractuellement
 
c) Données relatives aux cartes de paiement
  • ConservĂ©es jusqu’à 24 mois après la date d’expiration de la carte, puis supprimĂ©es/anonymisĂ©es
  • CentralPay n’expose jamais le PAN complet ni le CVC hors de sa zone PCI DSS
 
d) Données relatives aux comptes bancaires (IBAN/BIC) et mandats SEPA
  • ConservĂ©es pendant la durĂ©e du mandat + 10 ans (preuve contractuelle), puis supprimĂ©es/anonymisĂ©es
 
e) Données KYC / LCB-FT
  • ConservĂ©es 5 ans après la fin de la relation d’affaires (art. L561-12 CMF), puis supprimĂ©es/anonymisĂ©es
  • DonnĂ©es concernĂ©es : pièces d’identitĂ©, justificatifs de domicile, documents lĂ©gaux de l’entreprise, informations sur les UBO
 
f) Abonnements et paiements fractionnés
  • ConservĂ©s pendant la durĂ©e de l’abonnement + 5 ans (exigences probatoires), puis anonymisĂ©s.
  • DonnĂ©es concernĂ©es : identifiant d’abonnement, Ă©chĂ©ancier, lien vers moyen de paiement.
 
g) Journaux techniques et webhooks
  • ConservĂ©s 24 mois maximum, puis anonymisĂ©s.
  • DonnĂ©es concernĂ©es : logs API, Ă©vĂ©nements de traitement, identifiants techniques (customerId, eventId), statuts, horodatages.

Vous pouvez exercer ces droits en adressant un email à dp*@********ay.eu ou par voie postale à l’adresse : CentralPay – 19 rue Edouard vaillant – 37000 Tours.

Vous pouvez également, à tout moment et sans frais, sans avoir à motiver votre demande, vous opposer à ce que vos données soient utilisées à des fins de prospection commerciale.

Si, pour quelque raison que ce soit, vous considĂ©rez que notre rĂ©ponse n’est pas satisfaisante, vous pouvez introduire une rĂ©clamation auprès de la Commission Nationale de l’Informatique et des LibertĂ©s (CNIL) ; site internet : cnil.fr.

6. Qui sont les destinataires de vos données ?

Vos données peuvent être transmises uniquement à :

  • Services internes CentralPay (opĂ©rations, conformitĂ©, support, sĂ©curitĂ©)
  • Partenaires de paiement et Ă©tablissements bancaires (acquĂ©reurs, systèmes de règlement SEPA, schĂ©mas carte)
  • Prestataires techniques (hĂ©bergement cloud, prestataire KYC, envoi SMS/email), soumis Ă  des clauses contractuelles conformes RGPD
  • AutoritĂ©s compĂ©tentes (ACPR, TRACFIN, Banque de France, autoritĂ©s judiciaires)

Nous ne revendons jamais vos données à des tiers.

7. Où sont traitées vos données ?

  • Les donnĂ©es sont hĂ©bergĂ©es dans l’Union europĂ©enne et majoritairement en France
  • En cas de transfert hors UE (ex. prestataire SMS, email), des clauses contractuelles types (SCC) et mesures supplĂ©mentaires sont mises en place pour garantir un niveau de protection Ă©quivalent

8. Quels sont vos droits ?

Conformément aux articles 15 à 22 du RGPD, vous disposez de :

  • Droit d’accès, rectification, effacement
  • Droit Ă  la limitation, opposition, portabilitĂ©
  • Droit de retrait du consentement (le cas Ă©chĂ©ant)
  • Droit d’introduire une rĂ©clamation auprès de la CNIL

Vous pouvez exercer vos droits en écrivant à : dp*@********ay.com (réponse sous 30 jours).

9. Sécurité

CentralPay met en œuvre une politique de sécurité alignée sur les standards PCI DSS, ISO 27001/27005 et sur le règlement européen DORA (Digital Operational Resilience Act). Nos dispositifs couvrent l’ensemble du cycle de vie des données et des services de paiement afin de garantir leur confidentialité, leur intégrité et leur disponibilité.

La sécurité est d’abord assurée par une gouvernance claire et une gestion proactive des risques. Nous disposons d’un cadre de gestion des risques validé par la direction, qui comprend une politique d’appétence au risque, une cartographie alignée sur les normes ISO et DORA, ainsi que des indicateurs de risque suivis régulièrement. Ce cadre est mis en œuvre à travers une organisation en trois lignes de défense et piloté par un comité de sécurité et de conformité.

La protection des données repose sur un chiffrement systématique, tant en transit (TLS 1.2/1.3) qu’au repos (AES-256), avec une gestion centralisée des clés. Les données de paiement sont traitées exclusivement dans un environnement certifié PCI DSS niveau 1 et font l’objet d’une tokenisation irréversible qui évite toute exposition des numéros complets de carte ou des cryptogrammes. De plus, nous appliquons des politiques strictes de purge et d’anonymisation automatique des données personnelles à l’issue des durées de conservation prévues par le RGPD.

Les accès aux systèmes sont strictement contrôlés grâce à une gestion des identités centralisée et basée sur le principe du moindre privilège. Chaque collaborateur est soumis à une authentification forte à deux facteurs (MFA), et les habilitations font l’objet de revues régulières afin de garantir leur pertinence.

Nos infrastructures font l’objet d’une surveillance permanente. Les opérations sensibles sont journalisées de manière exhaustive et horodatée, et un système de supervision en temps réel, couplé à un SIEM, permet de détecter rapidement les incidents de sécurité.

La résilience opérationnelle est assurée par un dispositif de continuité aligné sur DORA. CentralPay a mis en place un Plan d’Urgence et de Poursuite d’Activité (PUPA) incluant des volets PCA et PRI, régulièrement testés. Des tests de pénétration et des exercices de gestion de crise sont organisés chaque année, tandis qu’une politique stricte d’externalisation TIC garantit l’évaluation continue des prestataires critiques et la tenue d’un registre d’information réglementaire.

La gestion des incidents suit une procédure formalisée de détection, classification et traitement. En cas d’incident majeur, nous respectons les délais de notification réglementaire auprès de l’ACPR et de la CNIL, et un retour d’expérience systématique est organisé afin d’améliorer en permanence le dispositif de sécurité.

Enfin, CentralPay s’inscrit dans une logique d’amélioration continue. Des audits internes et externes, y compris des audits indépendants PCI DSS et de cybersécurité, sont réalisés régulièrement. Nos dispositifs de contrôle permanent et d’audit périodique sont revus chaque année afin de garantir leur efficacité et leur conformité aux normes internationales et aux exigences réglementaires.

10. Mise Ă  jour de la politique

Cette politique peut être modifiée pour refléter l’évolution des traitements et obligations légales. Toute mise à jour sera publiée sur notre site et, si nécessaire, communiquée aux clients concernés.