PayPal et RGPD : guide de conformité 2026
PayPal est-il conforme au RGPD ? Rôle de responsable indépendant, transferts, mentions à prévoir et configuration recommandée pour les marchands.
- PayPal n’est pas votre sous-traitant : la qualification qui change tout
- Qui est votre interlocuteur : Luxembourg, pas la CNIL
- Les bonnes bases légales — côté marchand
- Transferts hors UE : ce que vous devez documenter
- Informer vos clients : une mention spécifique à PayPal
- Sécurité, conservation et droits des personnes
- Ce qu’il faut retenir
- FAQ
La plupart des marchands croient que PayPal est leur sous-traitant, comme leur hébergeur ou leur outil d’emailing. C’est faux — et cette erreur de qualification fausse tout le reste de leur conformité. Dans le flux de paiement standard, PayPal n’agit pas pour votre compte : il traite les données de vos clients pour ses propres finalités, en tant que responsable de traitement indépendant. Voici ce que cela change concrètement, et ce que vous devez faire.
PayPal n’est pas votre sous-traitant : la qualification qui change tout
Le réflexe naturel consiste à ranger PayPal dans la même case que vos autres prestataires techniques. Or la documentation contractuelle de PayPal est sans ambiguïté : pour le service de paiement classique (bouton PayPal, wallet, « Payer avec PayPal »), le marchand et PayPal sont chacun responsable de traitement indépendant au sens de l’article 4(7) du RGPD. Il ne s’agit pas d’une relation de sous-traitance régie par l’article 28.
La distinction n’est pas théorique. Un sous-traitant agit sur instruction documentée du responsable, ne traite les données que pour les finalités qu’on lui fixe, et signe un contrat de sous-traitance (DPA) qui l’encadre. PayPal fait l’inverse : il décide seul de ses finalités (gestion du risque, lutte anti-fraude, obligations bancaires, prévention du blanchiment), conserve les données selon ses propres règles, et les partage avec d’autres responsables indépendants — agences de référence crédit, acquéreurs, autres établissements financiers, agences de prévention de la fraude.
Concrètement, cela signifie que vous ne « pilotez » pas la conformité de PayPal. Vous ne pouvez pas lui imposer une durée de conservation, ni lui interdire un transfert, ni exiger un DPA de sous-traitance pour le flux de paiement. Chacun répond de son propre traitement. C’est exactement l’inverse de la logique applicable à un prestataire comme Stripe dans certaines configurations, et c’est pourquoi mélanger les deux schémas conduit à des registres et des mentions d’information erronés.
L’exception : les produits où PayPal redevient sous-traitant
Nuance importante, car la réalité dépend du produit. Pour certaines briques de traitement de paiement — notamment la passerelle Braintree ou les produits de traitement de cartes où PayPal traite des données de carte pour votre compte — PayPal propose un Data Protection Addendum dans lequel il agit cette fois comme sous-traitant au sens de l’article 28. Avant de qualifier la relation, identifiez donc précisément quel produit PayPal vous utilisez : le wallet grand public (responsables indépendants) ne suit pas le même régime que certaines solutions de card processing (sous-traitance possible). En cas de doute, la documentation contractuelle du produit tranche.
Qui est votre interlocuteur : Luxembourg, pas la CNIL
Pour les utilisateurs de l’Espace économique européen, le responsable de traitement est PayPal (Europe) S.à r.l. et Cie, S.C.A., établissement de crédit agréé au Luxembourg (22-24 Boulevard Royal, L-2449 Luxembourg). Cette domiciliation a deux conséquences pratiques.
D’abord, l’autorité chef de file pour les traitements de PayPal n’est pas la CNIL mais la CNPD (Commission nationale pour la protection des données, Luxembourg). Un client français mécontent peut toujours saisir la CNIL, mais le dossier remontera, via le mécanisme de guichet unique, vers l’autorité luxembourgeoise.
Ensuite, parce que PayPal est un établissement de crédit soumis au droit luxembourgeois, il est tenu à un niveau de transparence renforcé : sa Privacy Statement liste nommément les prestataires et partenaires auxquels il communique des données. C’est une ressource utile à exploiter quand vous cartographiez vos flux.
Les bonnes bases légales — côté marchand
Puisque vous êtes responsable indépendant pour les données que vous traitez de votre côté, vous devez identifier votre propre base légale. Pour la transmission des données nécessaires à l’exécution du paiement (montant, identifiant de transaction, données de commande), la base est l’exécution du contrat au sens de l’article 6(1)(b) : sans transmission à PayPal, la vente ne peut pas se conclure.
De son côté, PayPal s’appuie sur d’autres bases pour ses propres finalités : l’obligation légale de l’article 6(1)© pour ses contrôles KYC et de lutte anti-blanchiment (Bank Secrecy Act aux États-Unis, dispositif LCB-FT en Europe), et l’intérêt légitime de l’article 6(1)(f) pour la prévention de la fraude et la gestion du risque. Vous n’avez pas à justifier ces traitements — ils relèvent de PayPal — mais vous devez les comprendre pour informer correctement vos clients.
Point d’attention fréquent : n’utilisez pas l’adresse e-mail récupérée via un paiement PayPal pour de la prospection sans une base distincte. Le consentement préalable (article 6(1)(a) du RGPD combiné à l’article L34-5 du CPCE) reste requis en B2C. Récupérer un contact par le canal de paiement ne vaut pas autorisation de le solliciter commercialement. Voir nos règles détaillées sur la prospection commerciale.
Transferts hors UE : ce que vous devez documenter
PayPal (Europe) est une entité luxembourgeoise, donc l’établissement principal est dans l’UE. Mais le groupe PayPal est américain et opère mondialement : des flux existent vers les États-Unis et d’autres pays, notamment pour la gestion du risque, la prévention de la fraude et les déclarations aux autorités. Ces transferts hors UE sont encadrés, côté PayPal, par les clauses contractuelles types (décision d’exécution (UE) 2021/914) et par les règles d’entreprise contraignantes (BCR) du groupe pour les flux intra-groupe.
Pour vous, marchand, l’exposition est plus limitée que dans une relation de sous-traitance classique, puisque PayPal assume la responsabilité de ces flux en tant que responsable. Mais cela ne vous dispense pas de documenter l’existence du transfert dans votre registre des traitements : la communication de données de vos clients vers PayPal, avec mention du fait que PayPal opère des flux hors UE encadrés par CCT/BCR. La traçabilité de la décision est ce que vérifiera une autorité de contrôle.
Informer vos clients : une mention spécifique à PayPal
C’est l’obligation la plus souvent oubliée. Parce que PayPal est responsable indépendant, votre politique de confidentialité doit :
- Indiquer que PayPal est responsable de traitement indépendant des données traitées dans le cadre du paiement ;
- Renvoyer vers la Privacy Statement de PayPal par un lien actif ;
- Nommer PayPal comme destinataire des données de paiement (article 13(1)(e)).
Cette exigence figure explicitement dans les conditions de PayPal à destination des marchands. Une mention générique du type « nos prestataires de paiement » ne suffit pas : l’information doit être suffisamment précise pour que la personne concernée comprenne que ses données seront traitées par PayPal pour les propres finalités de PayPal, et non seulement pour votre compte.
Sécurité, conservation et droits des personnes
Côté sécurité, l’essentiel de la charge PCI-DSS sur les données de carte est porté par PayPal lorsque le client paie via son wallet : vous n’hébergez pas les numéros de carte, ce qui réduit votre périmètre. Votre risque principal n’est pas technique mais organisationnel : un compte business PayPal partagé sans authentification multifacteur, ou des accès non révoqués après le départ d’un collaborateur. Activez la MFA, appliquez le moindre privilège, et tenez à jour la liste des personnes ayant accès au compte.
Côté conservation, vous gérez la durée des données que vous détenez (commande, facturation, preuve de la transaction selon les obligations comptables). PayPal applique ses propres durées, notamment longues pour les obligations LCB-FT — c’est son affaire de responsable, pas la vôtre.
Côté droits, la conséquence de la qualification d’indépendance est nette : si un client vous adresse une demande d’accès ou d’effacement, vous ne pouvez répondre que pour les données que vous détenez. Pour les données traitées par PayPal (historique des paiements côté PayPal, données de risque), vous devez rediriger la personne vers PayPal, qui répondra comme responsable. Un droit à l’effacement ne peut d’ailleurs pas faire obstacle aux obligations légales de conservation de PayPal.
Cartographier proprement chacun de vos outils — qui est responsable, qui est sous-traitant, quels transferts, quelle base légale — est précisément le type de travail fastidieux que Legiscope automatise, en générant un registre à jour à partir de vos traitements réels.
Ce qu’il faut retenir
- Dans le flux de paiement standard, PayPal est responsable de traitement indépendant, pas votre sous-traitant : vous ne pilotez pas sa conformité, et aucun DPA de sous-traitance ne s’applique à ce flux.
- Exception : certains produits (Braintree, card processing) placent PayPal en sous-traitant avec un DPA Article 28 — vérifiez quel produit vous utilisez.
- Le responsable EEA est PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) ; l’autorité chef de file est la CNPD, pas la CNIL.
- Votre politique de confidentialité doit nommer PayPal comme responsable indépendant et renvoyer vers sa Privacy Statement.
- Documentez le transfert hors UE (CCT/BCR) au registre, sécurisez votre compte business (MFA), et redirigez vers PayPal les demandes de droits portant sur les données qu’il détient.
FAQ
PayPal est-il conforme au RGPD ?
PayPal fournit le cadre contractuel attendu d’un responsable de traitement établi dans l’UE : Privacy Statement détaillée, clauses contractuelles types et BCR pour les transferts, autorité chef de file luxembourgeoise. Mais votre conformité, elle, dépend de votre propre configuration : qualification correcte de la relation, mentions d’information, registre et sécurité de votre compte. PayPal conforme ne signifie pas votre boutique conforme.
Dois-je signer un contrat de sous-traitance (DPA) avec PayPal ?
Pas pour le service de paiement classique, où vous êtes tous deux responsables indépendants : il n’y a pas de relation de sous-traitance à encadrer par un DPA Article 28. En revanche, pour certains produits de traitement de cartes (Braintree, card processing), PayPal propose un Data Protection Addendum dans lequel il agit comme sous-traitant. Identifiez d’abord le produit utilisé.
Que dois-je écrire dans ma politique de confidentialité au sujet de PayPal ?
Indiquez que PayPal (Europe) S.à r.l. et Cie, S.C.A. est responsable de traitement indépendant des données traitées dans le cadre du paiement, nommez-le comme destinataire des données de paiement au sens de l’article 13(1)(e), et insérez un lien actif vers sa Privacy Statement. Une formule générique comme « nos prestataires de paiement » est insuffisante.
Puis-je utiliser l’e-mail d’un client PayPal pour ma newsletter ?
Non, pas automatiquement. Obtenir une adresse via un paiement ne vaut pas consentement à la prospection. En B2C, le consentement préalable de l’article 6(1)(a) du RGPD et de l’article L34-5 du CPCE reste nécessaire avant tout envoi commercial. Réutiliser le contact sans base distincte vous expose à une sanction.