Worldline - Document de référence 2016

6

Aperçudes activités Réglementation

Respect des normes techniques

6.9.4

(norme de sécurité spécifique au module de paiement sur modifications au niveau des exigences en place sont gérées par automate). Les évolutions de ces normes impliquant des American Express et Discover en consultation avec les autres les membres fondateurs PCI-SSC : Visa, MasterCard, JCB, acteurs de l’industrie des paiements électroniques (fabricants de données durant la réalisation d’une transaction) et PCI-UPT – Data Security Standard, visant à sécuriser la confidentialité des entrées en application comme PCI-DSS (Payment Card Industry transactions de paiement. D’autres normes de PCI-SSC sont code et présente le plus haut niveau de sécurité pour les traitement sécurisé au niveau du dispositif d’acceptation du code PIN en est la principale (Payment Card Industry – PIN Entry (anciennement PCI-PED), relative aux dispositifs de saisie du confidentiel du porteur de carte fasse toujours l’objet d’un Device). Elle a comme objectif de garantir que le code des normes spécifiques relatives aux différents composants sécurité des données des cartes à travers d’une large adoption d’une transaction de paiement par carte. La norme PCI-PTS Standard Council). Ces normes de sécurité visent à améliorer la développées par le PCI-SSC (Payment Card Industry – Security Les fournisseurs de solutions de paiement, et notamment les normes de sécurité. Ils sont notamment soumis à des normes fabricants de terminaux, doivent respecter un ensemble de

terminaux

de

paiements,

régulateurs,

commerçants,

protocoles en la matière. au groupe de travail européen sur la standardisation des organisation permet aux industriels de participer à l’élaboration associations de banques, banques, processeurs, etc.). Cette des normes et à leurs règles d’application. Le Groupe participe (Payment Card Industry – Data Security Standard) de sa A titre d’exemple, le Groupe a obtenu la certification PCI-DSS Paylib (portefeuille électronique basé sur le Cloud). Cette norme plate-forme de paiement en ligne sécurisé et de son service carte ainsi que les données sensibles des transactions fassent vise à garantir que les données confidentielles du porteur de systèmes et bases de données. systématiquement l’objet d’un traitement sécurisé au niveau des relatives aux systèmes de management de la qualité et les de certification, telles que les normes ISO 9001 sur les exigences des infrastructures technologiques. Enfin, le Groupe est soumis normes ISO 14001 relatives aux exigences environnementales international de sécurité des cartes de paiement, défini par l’EMV à des exigences internationales de sécurité, comme le standard Groupe participe. User Group (Europay MasterCard Visa User Group), auquel le Le Groupe est également soumis à des normes internationales effacement. Aux termes de la Directive Données personnelles, de ces données, pendant leur conservation et jusqu’à leur opposition à un simple sous-traitant agissant pour le compte est considérée comme « responsable de traitement » (par d’un tiers) la personne ou entité qui, seule ou conjointement prendre un certain nombre de mesures en amont de la collecte moyens de traitement situés sur le territoire d’un Etat membre à traitement de données personnelles. avec d’autres, détermine les finalités et les moyens du analyse au cas par cas afin de déterminer si elle agit en qualité Chaque entité du Groupe Worldline en Europe réalise une de ses activités impliquant des traitements de données de responsable de traitement ou de sous-traitant pour chacune fraude), elle est notamment soumise aux obligations suivantes : Lorsqu’une entité du Groupe Worldline agit en qualité de les données personnelles des salariés ou la lutte contre la responsable de traitement (par exemple pour ceux concernant personnelles pour procéder au traitement de données Bénéficier d’un fondement prévu par la Directive Données ● consentement de la personne concernée ou de la nécessité personnelles, qui peut notamment résulter du de traitement de réaliser un intérêt légitime ou d’exécuter de procéder au traitement pour permettre au responsable finalités et (ii) exactes et, si nécessaire, mises à jour ; explicites et légitimes, et de façon proportionnée à ces S’assurer que les données personnelles sont (i) traitées ● loyalement et licitement, pour des finalités déterminées, personnelles. un contrat avec la personne concernée ;

Protection des données personnelles

6.9.5

des sociétés du Groupe Worldline que pour celui de leurs clients. données personnelles sont effectués tant pour le propre compte où le Groupe Worldline a des activités. Ces traitements de traite des informations soumises aux législations et Dans le cadre de son activité, le Groupe Worldline collecte et caractère personnel en Europe ainsi que dans d’autres régions réglementations relatives à la protection des données à

6.9.5.1

l’Espace économique européen Traitements effectués au sein de

1978 relative à l’informatique, aux fichiers et aux libertés, dont le termes de plusieurs amendements à la loi n° 78-17 du 6 janvier principal a été adopté par la loi n° 2004-801 du 6 août 2004. Norvège et le Liechtenstein). En France, la directive sur la européen (l’« EEE », qui inclut l’Union européenne, l’Islande, la protection des données personnelles a été transposée aux La directive 95/46/CE du 24 octobre 1995 (ci-après, la « Directive matière dans l’ensemble des pays de l’Espace économique Données personnelles ») constitue le cadre de référence en la données sur lesquelles ils portent sont contenues ou sont de données personnelles automatisés ou non-automatisés si les » sont définies largement comme toute destinées à être contenues dans un fichier. Les « données identifiable de façon directe ou indirecte et ce, quel que soit le information concernant une personne physique identifiée ou La Directive Données personnelles s’applique aux traitements pays de résidence ou de nationalité de cette personne. Elle établis dans un Etat membre de l’EEE ou ayant recours à des oblige les responsables de traitements de données personnelles personnelles

70

Worldline Document de Référence 2016