Stripe et RGPD : conformite paiement en ligne

Stripe est le prestataire de paiement en ligne le plus utilise par les startups et PME en France. Fonde par les freres Collison (irlandais d’origine), base a San Francisco, Stripe traite chaque annee des milliards de transactions a travers le monde. Pour les entreprises francaises, la question centrale est de savoir si l’utilisation de Stripe est compatible avec les exigences du RGPD – et, si oui, a quelles conditions.

La reponse n’est pas binaire. Stripe n’est pas un simple sous-traitant : son architecture juridique implique un double role (sous-traitant et responsable de traitement independant) qui modifie significativement l’analyse de conformite. Dans mon experience de conseil, c’est un point que la majorite des marchands ignorent, et qui peut poser probleme en cas de controle.

Ce guide analyse la conformite RGPD de Stripe sous l’angle juridique et operationnel : qualification des roles, DPA, transferts internationaux, securite, et configuration recommandee.

Qualification juridique : le double role de Stripe

Stripe en tant que sous-traitant

Pour le traitement des paiements stricto sensu – c’est-a-dire l’execution de la transaction demandee par le marchand – Stripe agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Le marchand (vous) est le responsable de traitement : vous determinez les finalites (encaisser un paiement) et les moyens essentiels (utiliser Stripe comme prestataire).

Dans ce cadre, Stripe traite les donnees suivantes pour votre compte : nom du titulaire de la carte, numero de carte (tokenise), date d’expiration, CVC (tokenise), adresse de facturation, montant de la transaction, devise, et metadata associees. Ces donnees sont traitees exclusivement sur vos instructions, conformement au DPA de Stripe.

Stripe en tant que responsable de traitement independant

C’est le point critique. Pour certaines finalites, Stripe agit comme responsable de traitement independant, et non comme votre sous-traitant. Cela concerne principalement :

• La prevention de la fraude (Stripe Radar) : Stripe analyse les transactions a l’echelle de son reseau global pour detecter les comportements frauduleux. Cette analyse repose sur des donnees provenant de l’ensemble de ses marchands, pas uniquement des votres. Stripe determine seul les finalites et les moyens de ce traitement.

• Les obligations reglementaires (KYC/AML) : en tant qu’etablissement de paiement agree, Stripe est soumis a des obligations de verification d’identite (Know Your Customer) et de lutte contre le blanchiment (Anti-Money Laundering). Ces traitements lui sont imposes par la loi, et il les effectue en tant que responsable de traitement.

• L’amelioration des services : Stripe utilise des donnees de transaction agregees et anonymisees pour ameliorer ses algorithmes et ses produits.

Cette dualite est conforme au RGPD – rien n’interdit a un prestataire d’etre a la fois sous-traitant (pour certains traitements) et responsable de traitement (pour d’autres). Mais elle impose au marchand de documenter correctement les deux relations dans son registre des traitements.

Stripe Payments Europe Ltd : l’entite europeenne

Pour les marchands europeens, le traitement des paiements est assure par Stripe Payments Europe Ltd, entite irlandaise basee a Dublin. Cette structure est determinante pour l’analyse des transferts internationaux : vos donnees de paiement sont traitees par une entite soumise au droit europeen, et non directement par la maison-mere americaine.

Analyse du DPA de Stripe

Le Data Processing Addendum (DPA) de Stripe constitue le contrat de sous-traitance au sens de l’article 28 du RGPD. Voici l’analyse systematique de sa conformite aux exigences de l’article 28.

Exigence Art. 28	Disposition du DPA Stripe	Evaluation
Instructions documentees (28(3)(a))	Stripe traite les donnees uniquement sur instructions documentees du marchand, sauf obligation legale	Conforme
Confidentialite du personnel (28(3)(b))	Engagement de confidentialite de l’ensemble du personnel	Conforme
Mesures de securite (28(3)©)	Renvoi a l’annexe securite : chiffrement, controle d’acces, tests de penetration, PCI-DSS	Conforme
Sous-traitance ulterieure (28(3)(d))	Liste de sous-traitants ulterieurs publiee, mecanisme de notification et d’objection	Conforme
Assistance aux droits des personnes (28(3)(e))	Stripe s’engage a assister le marchand pour repondre aux demandes d’exercice des droits	Conforme
Assistance securite et AIPD (28(3)(f))	Cooperation pour les analyses d’impact et les notifications de violation	Conforme
Suppression ou restitution (28(3)(g))	Suppression des donnees en fin de contrat, sauf obligation legale de conservation	Conforme
Audits et inspections (28(3)(h))	Mise a disposition de rapports de certification (SOC 2, PCI-DSS) ; audit sur site possible sous conditions	Partiellement conforme

Le point d’attention principal concerne les droits d’audit. Le DPA de Stripe prevoit la mise a disposition de rapports de certification plutot qu’un acces direct a l’audit sur site. Cette approche est courante chez les grands prestataires et est generalement acceptee par les autorites de controle, mais elle limite la capacite du responsable de traitement a mener des audits approfondis. Pour les traitements a haut risque, il peut etre necessaire de negocier des clauses d’audit complementaires.

Transferts internationaux et evaluation d’impact du transfert

Architecture de transfert

Stripe Payments Europe Ltd (Dublin) traite les paiements des marchands europeens. En principe, le flux de donnees reste au sein de l’EEE pour l’execution de la transaction. Toutefois, des transferts vers les Etats-Unis peuvent intervenir dans les situations suivantes :

• Support technique : les equipes de support de Stripe aux Etats-Unis peuvent acceder a des donnees de transaction pour resoudre des incidents.
• Prevention de la fraude (Radar) : l’analyse de fraude exploite un reseau global, ce qui implique le traitement de donnees sur des infrastructures americaines.
• Services complementaires : certains services optionnels (Stripe Atlas, Stripe Issuing) peuvent impliquer un traitement aux Etats-Unis.

Mecanismes de transfert

Stripe s’appuie sur plusieurs mecanismes pour encadrer les transferts hors UE :

1. EU-US Data Privacy Framework (DPF) : Stripe Inc. est certifie DPF. Ce cadre, adopte par la Commission europeenne en juillet 2023, fournit une base legale pour les transferts vers les Etats-Unis. Sa perennite fait toutefois l’objet de recours (NOYB devant la CJUE).

2. Clauses contractuelles types (CCT) : le DPA de Stripe integre les CCT adoptees par la Commission europeenne (decision d’execution 2021/914) en tant que mecanisme de transfert subsidiaire, au cas ou le DPF serait invalide.

3. Mesures supplementaires : Stripe met en oeuvre des mesures techniques complementaires – chiffrement en transit et au repos, tokenisation des donnees de carte, segmentation reseau, controles d’acces stricts.

Evaluation d’impact du transfert (TIA)

Pour les marchands qui doivent realiser une evaluation d’impact du transfert (Transfer Impact Assessment), les elements suivants sont pertinents :

• Legislation americaine : le CLOUD Act permet aux autorites americaines de demander l’acces a des donnees detenues par des entreprises americaines, y compris sur des serveurs situes hors des Etats-Unis. Stripe, en tant qu’entreprise americaine, est soumise a cette legislation.
• Facteur attenuant : les donnees de paiement tokenisees ont une valeur limitee pour la surveillance gouvernementale. Le numero de carte complet n’est jamais stocke en clair par Stripe.
• Facteur attenuant : Stripe conteste les demandes d’acces gouvernementales qu’elle considere comme excessives, conformement a sa politique de transparence.
• Risque residuel : le risque est faible mais non nul. Pour les marchands traitant des volumes importants ou des donnees sensibles (sante, par exemple), une analyse d’impact approfondie est recommandee.

Securite informatique : PCI-DSS et au-dela

La certification PCI-DSS Level 1

Stripe est certifie PCI-DSS Level 1, le niveau de certification le plus eleve du standard de securite des donnees de l’industrie des cartes de paiement. Cette certification atteste de la mise en oeuvre de mesures de securite rigoureuses : chiffrement des donnees de carte en transit (TLS 1.2+) et au repos (AES-256), tokenisation – les numeros de carte sont remplaces par des tokens inutilisables en dehors du systeme Stripe, segmentation reseau et isolation des environnements de traitement des cartes, journalisation et surveillance continue des acces, tests de penetration reguliers par des auditeurs independants, et programme de gestion des vulnerabilites.

Pour le marchand, la certification PCI-DSS de Stripe reduit considerablement la charge de conformite PCI. Si vous utilisez Stripe Checkout ou Stripe Elements (iframe), les donnees de carte ne transitent jamais par vos serveurs : elles sont envoyees directement de la page de paiement vers les serveurs de Stripe. Votre perimetre PCI se limite alors a l’auto-evaluation SAQ-A, la plus legere.

Certifications complementaires

Au-dela de PCI-DSS, Stripe detient les certifications suivantes : SOC 2 Type II (controles de securite, disponibilite, confidentialite), ISO 27001 (systeme de management de la securite de l’information), et des rapports d’audit accessibles aux marchands via le tableau de bord Stripe.

Article 32 du RGPD

L’article 32 du RGPD impose au sous-traitant de mettre en oeuvre des mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque. Les certifications et mesures de Stripe repondent a cette exigence pour le traitement des donnees de paiement. Toutefois, la securite des donnees sur votre propre site (avant qu’elles n’atteignent Stripe) releve de votre responsabilite : HTTPS obligatoire, Content Security Policy, protection contre les injections de scripts (Magecart).

Configuration recommandee pour la conformite RGPD

1. Utiliser Stripe Checkout ou Stripe Elements

Privilegiez Stripe Checkout (page de paiement hebergee par Stripe) ou Stripe Elements (composants d’interface integres via iframe). Ces solutions garantissent que les donnees de carte ne transitent jamais par vos serveurs, ce qui reduit votre perimetre de responsabilite et votre exposition PCI.

Evitez les integrations ou vous collectez directement les donnees de carte sur votre site avant de les transmettre a l’API Stripe : cette approche augmente considerablement vos obligations de securite et de conformite.

2. Configurer le tableau de bord Stripe

• Activez l’authentification a deux facteurs (2FA) pour tous les comptes d’acces au tableau de bord Stripe.
• Limitez les acces : attribuez des roles et des permissions granulaires a chaque membre de l’equipe (administrateur, analyste, support).
• Desactivez les fonctionnalites non utilisees : si vous n’utilisez pas Stripe Radar, Stripe Tax ou Stripe Identity, desactivez-les ou ne les configurez pas pour eviter des traitements de donnees inutiles.

3. Configurer les webhooks avec securite

Les webhooks Stripe doivent etre proteges par la verification de signature (webhook signing secret) pour garantir l’authenticite des notifications. Utilisez HTTPS exclusivement pour vos endpoints de webhook.

4. Gerer la conservation des donnees

Stripe conserve les donnees de transaction conformement aux obligations legales et reglementaires (comptabilite, lutte contre la fraude). Le marchand peut supprimer les donnees client via l’API Stripe (endpoint /v1/customers), mais les donnees de transaction elles-memes sont conservees par Stripe pour ses propres obligations reglementaires.

Documentez les durees de conservation dans votre registre des traitements et dans votre politique de confidentialite.

5. Informer les personnes concernees

Votre politique de confidentialite doit mentionner Stripe comme destinataire des donnees de paiement, les categories de donnees transmises (nom, adresse, donnees de carte tokenisees, IP), les finalites (execution du paiement, prevention de la fraude), le double role de Stripe (sous-traitant et responsable de traitement independant pour la fraude), les transferts vers les Etats-Unis et les mecanismes de protection (DPF, CCT), et les droits des personnes concernees aupres de Stripe.

Points d’attention specifiques

Stripe Radar (prevention de la fraude)

Stripe Radar est le systeme de detection de fraude de Stripe. Il analyse chaque transaction en temps reel en s’appuyant sur des signaux provenant de l’ensemble du reseau Stripe (empreinte de l’appareil, adresse IP, comportement de navigation, historique de transactions). Pour ce traitement, Stripe agit en tant que responsable de traitement independant.

Point juridique : le marchand beneficie de Radar sans pouvoir en controler les parametres fins (les modeles de machine learning sont proprietes de Stripe). Cela signifie que les personnes concernees doivent etre informees de ce traitement, mais que le droit d’opposition s’exerce aupres de Stripe directement, pas aupres du marchand. Le marchand doit neanmoins mentionner l’existence de ce traitement dans sa politique de confidentialite.

Stripe Link (paiement accelere)

Stripe Link est un service de paiement accelere qui permet aux clients de sauvegarder leurs informations de paiement pour des achats futurs. Si vous activez Link, les clients qui l’utilisent voient leurs donnees traitees par Stripe en tant que responsable de traitement independant pour le service Link. Assurez-vous que le consentement du client est correctement recueilli (Link est opt-in).

Stripe Tax et Stripe Billing

Si vous utilisez Stripe Tax (calcul automatique de la TVA) ou Stripe Billing (facturation recurrente), des donnees supplementaires sont traitees par Stripe : adresse complete du client (pour la determination du taux de TVA), historique de facturation, et informations fiscales. Ces traitements relevent de la sous-traitance classique (Stripe agit sur vos instructions), mais ils doivent etre documentes dans votre registre.

Stripe Identity (verification KYC)

Stripe Identity est un service de verification d’identite qui traite des donnees biometriques (photo d’identite, selfie). Ce service implique le traitement de donnees sensibles au sens de l’article 9 du RGPD. Si vous utilisez Stripe Identity, une analyse d’impact (AIPD) est probablement necessaire, et le consentement explicite des personnes concernees doit etre recueilli.

SCA et PSD2

Stripe gere l’authentification forte du client (Strong Customer Authentication) imposee par la directive PSD2. Le processus 3D Secure implique un echange de donnees entre Stripe, la banque emettrice et le client. Ces donnees (resultat d’authentification, identifiants de session) sont traitees par Stripe dans le cadre de son obligation reglementaire.

FAQ

Stripe est-il conforme au RGPD ?

Stripe dispose d’un DPA conforme a l’article 28, de certifications de securite robustes (PCI-DSS Level 1, SOC 2, ISO 27001), d’une entite europeenne (Stripe Payments Europe Ltd) pour le traitement des paiements, et de mecanismes de transfert documentes (DPF, CCT). Ces elements constituent un cadre solide de conformite. Toutefois, la conformite globale depend aussi de la configuration du marchand : politique de confidentialite a jour, registre des traitements documente, securite du site marchand, et information correcte des personnes concernees. Stripe fournit les outils ; le marchand doit les utiliser correctement. C’est ce type de verification que Legiscope automatise pour les entreprises qui souhaitent auditer systematiquement leurs sous-traitants.

Stripe est-il sous-traitant ou responsable de traitement ?

Les deux. Pour le traitement des paiements proprement dit (execution de la transaction sur instruction du marchand), Stripe est sous-traitant. Pour la prevention de la fraude (Radar), les obligations reglementaires (KYC/AML) et l’amelioration de ses services, Stripe agit comme responsable de traitement independant. Cette dualite doit etre documentee dans le registre des traitements et expliquee dans la politique de confidentialite. Les outils RGPD de conformite doivent tenir compte de cette double qualification.

Les donnees de carte sont-elles stockees en clair par Stripe ?

Non. Stripe tokenise les donnees de carte : le numero complet de carte n’est jamais stocke en clair, meme sur les serveurs de Stripe. Le systeme utilise des tokens (identifiants uniques sans valeur intrinseque) qui permettent de traiter les paiements sans exposer les donnees sensibles. Cette approche est conforme aux exigences PCI-DSS et constitue une mesure de securite importante au sens de l’article 32 du RGPD. Si vous utilisez Stripe Checkout ou Elements, les donnees de carte ne transitent meme pas par vos serveurs.

Comment exercer un droit d’effacement aupres de Stripe ?

Le marchand peut supprimer les donnees client via l’API Stripe (endpoint /v1/customers) ou via le tableau de bord. Toutefois, Stripe conservera certaines donnees de transaction pour se conformer a ses propres obligations legales (comptabilite, lutte contre la fraude, obligations KYC/AML). Ce point doit etre explique aux personnes qui exercent leur droit a l’effacement : l’effacement est effectif pour les donnees traitees par le marchand, mais Stripe peut legitimement conserver des donnees en tant que responsable de traitement independant pour ses obligations legales. Les durees de conservation sont detaillees dans la politique de confidentialite de Stripe.