Worldline - Document d'enregistrement universel 2019

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

Le protocole d’authentification 3-D secure a été initialement conçu pour sécuriser les paiements en ligne, garantissant l’identité du titulaire de carte utilisé pour limiter les risques de fraude. Après plusieurs années d’utilisation, les opérateurs de paiement ont mis en évidence les points faibles du protocole actuel, notamment: les transactions qui échouent à tort, le manque d’ergonomie de certains processus d’authentification – notamment sur les téléphones mobiles et le faible taux d’adoption par les commerçants. En 2016, les actionnaires d’EMVCo, qui garantissent les spécifications 3D Secure, ont commencé la mise à niveau vers EMV 3DS 2.0 ou 3DS2. Les améliorations apportées au protocole par EMVCo visent à : Renforcer la sécurité des paiements en proposant des ● méthodes d’authentification mises à jour ; Eviter l'abandons du paiement lors de l’authentification ; ● Dans le cadre de ses activités ainsi qu'en interne, le Groupe Worldline collecte et traite des informations soumises aux législations et réglementations relatives à la protection des données à caractère personnel en Europe ainsi que dans d’autres régions où le Groupe Worldline a des activités. Ces traitements de données personnelles sont effectués tant pour le propre compte des sociétés du Groupe Worldline que pour celui de leurs clients. Traitements effectués au sein de C.4.4.1 l’Espace économique européen Depuis le 25 mai 2018, le traitement de données à caractère personnel est soumis au Règlement Général sur la Protection des Données (UE) 2016/679 au sein des Etats membres de l’Union européenne et de l'Espace Economique Européen. Les législations nationales peuvent prévoir des dispositions complémentaires relatives aux clauses ouvertes dans le RGPD afin d’intégrer cette réglementation européenne dans les contextes nationaux. Le RGPD s’applique aux traitements de données personnelles automatisés ou non automatisés. Les « données personnelles » sont définies largement comme « toute information concernant une personne physique identifiée ou identifiable de façon directe ou indirecte » et est applicable aux activités de traitement concernant des résidents de l'UE ou de l'EEE, ou lorsque les activités de traitement sont conduite sur le territoire de l'UE. Le RGPD régit le traitement des données à caractère personnel sur l’ensemble du cycle de vie du traitement : depuis la collecte, l'utilisation effective, jusqu’à l'éffacement des données. Aux termes du RGPD, est considérée comme « responsable de traitement » la personne ou entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Toute personne ou entité qui traite des données à caractère personnel pour le compte d’un responsable de traitement, sur ses instructions et aux fins définies par celui-ci, est considérée comme un « sous-traitant ». Chaque entité du Groupe Worldline en Europe réalise une revue des conditions de traitement des données à caractère personnel (CTDCP) afin de déterminer pour chacune de ses activités impliquant des traitements de données personnelles, afin de déterminer les conditions de traitement au regard de la

Rendre le protocole compatible avec les applications pour ● un voyage mobile plus fluide ; Enrichir les données transactionnelles partagées entre ● émetteurs et acquéreurs. « EMV 3DS 2.0 » ou « 3DS2 » est le nom officiel de la dernière version du protocole 3-D Secure. Il répond au exigences Strong Customer Authentication (SCA) définies par les Normes Techniques Réglementaires (RTS) publiées par l’Autorité Bancaire Européenne (ABE) et approuvées en mars 2018. Il est à noter que les spécifications publiées par EMVCo en octobre 2017 concernent la version 2.1.0 du protocole, la version 2.2.0 ayant été rendue publique en décembre 2018. Seule la version 2.2 répond pleinement aux exigences introduites par la PSD2. réglementation applicable. Cette revue est conduite par chaque entité du groupe, considérée de manière indépendante au regard de la réglementation. Lorsqu’une entité du Groupe Worldline agit en qualité de responsable de traitement pour ses activités de traitement internes, elle est notamment soumise aux obligations suivantes : S’assurer de ne traiter des données à caractère personnel ● que sur la base d’un fondement prévu par le RGPD et par les dispositions de droit national pour procéder au traitement de données personnelles, qui peut notamment résulter du consentement de la personne concernée ou de la nécessité de procéder au traitement pour permettre au responsable de traitement de réaliser un intérêt légitime ou d’exécuter un contrat avec la personne concernée ou de la conformité à une obligation légale, ou encore du traitement réalisé au titre de l’intérêt général ; S’assurer que les données personnelles sont (i) traitées ● loyalement, licitement et de façon transparente (ii) collectées pour des finalités déterminées, explicites et légitimes (iii) adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux buts pour lesquels les données sont traitées, (iv) exactes et, si nécessaire, mises à jour, (v) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données personnelles sont traitées et (vi) traitées de façon à garantir une sécurité adéquate des données personnelles, y compris la protection contre tout traitement non autorisé ou illicite, et contre toute perte, destruction ou détérioration accidentelles ; Etre capable de démontrer le respect aux principes liés au ● traitement des données personnelles ; Prendre des précautions particulières avant de procéder ● aux traitements de catégories particulières de données personnelles (art. 9 RGPD: par exemple, les données de santé ou les données biométriques) en évaluant les risques potentiels découlant d’un tel traitement et en s’assurant que le consentement explicite des personnes concernées a bien été recueilli ou que le traitement se fonde sur l’une des exceptions prévues par la loi applicable transposant le RGDP pour permettre de procéder à un tel traitement (par exemple, lorsque le traitement est nécessaire pour

Protection des données personnelles C.4.4

C

65

Document d’Enregistrement Universel 2019