Stripe et RGPD : conformité paiement en ligne

Stripe est le prestataire de paiement en ligne le plus utilisé par les startups et PME en France. Fondé par les frères Collison (irlandais d’origine), basé à San Francisco, Stripe traite chaque année des milliards de transactions à travers le monde. Pour les entreprises françaises, la question centrale est de savoir si l’utilisation de Stripe est compatible avec les exigences du RGPD – et, si oui, à quelles conditions.

La réponse n’est pas binaire. Stripe n’est pas un simple sous-traitant : son architecture juridique implique un double rôle (sous-traitant et responsable de traitement indépendant) qui modifie significativement l’analyse de conformité. Dans mon expérience de conseil, c’est un point que la majorité des marchands ignorent, et qui peut poser problème en cas de contrôle.

Ce guide analyse la conformité RGPD de Stripe sous l’angle juridique et opérationnel : qualification des rôles, DPA, transferts internationaux, sécurité, et configuration recommandée.

Qualification juridique : le double role de Stripe

Stripe en tant que sous-traitant

Pour le traitement des paiements stricto sensu – c’est-à-dire l’exécution de la transaction demandée par le marchand – Stripe agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Le marchand (vous) est le responsable de traitement : vous déterminez les finalités (encaisser un paiement) et les moyens essentiels (utiliser Stripe comme prestataire).

Dans ce cadre, Stripe traite les données suivantes pour votre compte : nom du titulaire de la carte, numéro de carte (tokenisé), date d’expiration, CVC (tokenisé), adresse de facturation, montant de la transaction, devise, et metadata associées. Ces données sont traitées exclusivement sur vos instructions, conformément au DPA de Stripe.

Stripe en tant que responsable de traitement independant

C’est le point critique. Pour certaines finalités, Stripe agit comme responsable de traitement indépendant, et non comme votre sous-traitant. Cela concerne principalement :

• La prévention de la fraude (Stripe Radar) : Stripe analyse les transactions à l’échelle de son réseau global pour détecter les comportements frauduleux. Cette analyse repose sur des données provenant de l’ensemble de ses marchands, pas uniquement des vôtres. Stripe détermine seul les finalités et les moyens de ce traitement.

• Les obligations réglementaires (KYC/AML) : en tant qu’établissement de paiement agréé, Stripe est soumis à des obligations de vérification d’identité (Know Your Customer) et de lutte contre le blanchiment (Anti-Money Laundering). Ces traitements lui sont imposés par la loi, et il les effectue en tant que responsable de traitement.

• L’amélioration des services : Stripe utilise des données de transaction agrégées et anonymisées pour améliorer ses algorithmes et ses produits.

Cette dualité est conforme au RGPD – rien n’interdit à un prestataire d’être à la fois sous-traitant (pour certains traitements) et responsable de traitement (pour d’autres). Mais elle impose au marchand de documenter correctement les deux relations dans son registre des traitements.

Stripe Payments Europe Ltd : l’entite europeenne

Pour les marchands européens, le traitement des paiements est assuré par Stripe Payments Europe Ltd, entité irlandaise basée à Dublin. Cette structure est déterminante pour l’analyse des transferts internationaux : vos données de paiement sont traitées par une entité soumise au droit européen, et non directement par la maison-mère américaine.

Analyse du DPA de Stripe

Le Data Processing Addendum (DPA) de Stripe constitue le contrat de sous-traitance au sens de l’article 28 du RGPD. Voici l’analyse systématique de sa conformité aux exigences de l’article 28.

Exigence Art. 28	Disposition du DPA Stripe	Évaluation
Instructions documentées (28(3)(a))	Stripe traite les données uniquement sur instructions documentées du marchand, sauf obligation légale	Conforme
Confidentialité du personnel (28(3)(b))	Engagement de confidentialité de l’ensemble du personnel	Conforme
Mesures de sécurité (28(3)©)	Renvoi à l’annexe sécurité : chiffrement, contrôle d’accès, tests de pénétration, PCI-DSS	Conforme
Sous-traitance ultérieure (28(3)(d))	Liste de sous-traitants ultérieurs publiée, mécanisme de notification et d’objection	Conforme
Assistance aux droits des personnes (28(3)(e))	Stripe s’engage à assister le marchand pour répondre aux demandes d’exercice des droits	Conforme
Assistance sécurité et AIPD (28(3)(f))	Coopération pour les analyses d’impact et les notifications de violation	Conforme
Suppression ou restitution (28(3)(g))	Suppression des données en fin de contrat, sauf obligation légale de conservation	Conforme
Audits et inspections (28(3)(h))	Mise à disposition de rapports de certification (SOC 2, PCI-DSS) ; audit sur site possible sous conditions	Partiellement conforme

Le point d’attention principal concerne les droits d’audit. Le DPA de Stripe prévoit la mise à disposition de rapports de certification plutôt qu’un accès direct à l’audit sur site. Cette approche est courante chez les grands prestataires et est généralement acceptée par les autorités de contrôle, mais elle limite la capacité du responsable de traitement à mener des audits approfondis. Pour les traitements à haut risque, il peut être nécessaire de négocier des clauses d’audit complémentaires.

Transferts internationaux et evaluation d’impact du transfert

Architecture de transfert

Stripe Payments Europe Ltd (Dublin) traite les paiements des marchands européens. En principe, le flux de données reste au sein de l’EEE pour l’exécution de la transaction. Toutefois, des transferts vers les États-Unis peuvent intervenir dans les situations suivantes :

• Support technique : les équipes de support de Stripe aux États-Unis peuvent accéder à des données de transaction pour résoudre des incidents.
• Prévention de la fraude (Radar) : l’analyse de fraude exploite un réseau global, ce qui implique le traitement de données sur des infrastructures américaines.
• Services complémentaires : certains services optionnels (Stripe Atlas, Stripe Issuing) peuvent impliquer un traitement aux États-Unis.

Mécanismes de transfert

Stripe s’appuie sur plusieurs mécanismes pour encadrer les transferts hors UE :

1. EU-US Data Privacy Framework (DPF) : Stripe Inc. est certifié DPF. Ce cadre, adopté par la Commission européenne en juillet 2023, fournit une base légale pour les transferts vers les États-Unis. Sa pérennité fait toutefois l’objet de recours (NOYB devant la CJUE).

2. Clauses contractuelles types (CCT) : le DPA de Stripe intègre les CCT adoptées par la Commission européenne (décision d’exécution 2021/914) en tant que mécanisme de transfert subsidiaire, au cas où le DPF serait invalidé.

3. Mesures supplémentaires : Stripe met en oeuvre des mesures techniques complémentaires – chiffrement en transit et au repos, tokenisation des données de carte, segmentation réseau, contrôles d’accès stricts.

Evaluation d’impact du transfert (TIA)

Pour les marchands qui doivent réaliser une évaluation d’impact du transfert (Transfer Impact Assessment), les éléments suivants sont pertinents :

• Législation américaine : le CLOUD Act permet aux autorités américaines de demander l’accès à des données détenues par des entreprises américaines, y compris sur des serveurs situés hors des États-Unis. Stripe, en tant qu’entreprise américaine, est soumise à cette législation.
• Facteur atténuant : les données de paiement tokenisées ont une valeur limitée pour la surveillance gouvernementale. Le numéro de carte complet n’est jamais stocké en clair par Stripe.
• Facteur atténuant : Stripe conteste les demandes d’accès gouvernementales qu’elle considère comme excessives, conformément à sa politique de transparence.
• Risque résiduel : le risque est faible mais non nul. Pour les marchands traitant des volumes importants ou des données sensibles (santé, par exemple), une analyse d’impact approfondie est recommandée.

Sécurité informatique : PCI-DSS et au-delà

La certification PCI-DSS Level 1

Stripe est certifié PCI-DSS Level 1, le niveau de certification le plus élevé du standard de sécurité des données de l’industrie des cartes de paiement. Cette certification atteste de la mise en oeuvre de mesures de sécurité rigoureuses : chiffrement des données de carte en transit (TLS 1.2+) et au repos (AES-256), tokenisation – les numéros de carte sont remplacés par des tokens inutilisables en dehors du système Stripe, segmentation réseau et isolation des environnements de traitement des cartes, journalisation et surveillance continue des accès, tests de pénétration réguliers par des auditeurs indépendants, et programme de gestion des vulnérabilités.

Pour le marchand, la certification PCI-DSS de Stripe réduit considérablement la charge de conformité PCI. Si vous utilisez Stripe Checkout ou Stripe Elements (iframe), les données de carte ne transitent jamais par vos serveurs : elles sont envoyées directement de la page de paiement vers les serveurs de Stripe. Votre périmètre PCI se limite alors à l’auto-évaluation SAQ-A, la plus légère.

Certifications complémentaires

Au-delà de PCI-DSS, Stripe détient les certifications suivantes : SOC 2 Type II (contrôles de sécurité, disponibilité, confidentialité), ISO 27001 (système de management de la sécurité de l’information), et des rapports d’audit accessibles aux marchands via le tableau de bord Stripe.

Article 32 du RGPD

L’article 32 du RGPD impose au sous-traitant de mettre en oeuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Les certifications et mesures de Stripe répondent à cette exigence pour le traitement des données de paiement. Toutefois, la sécurité des données sur votre propre site (avant qu’elles n’atteignent Stripe) relève de votre responsabilité : HTTPS obligatoire, Content Security Policy, protection contre les injections de scripts (Magecart).

Configuration recommandée pour la conformité RGPD

1. Utiliser Stripe Checkout ou Stripe Elements

Privilégiez Stripe Checkout (page de paiement hébergée par Stripe) ou Stripe Elements (composants d’interface intégrés via iframe). Ces solutions garantissent que les données de carte ne transitent jamais par vos serveurs, ce qui réduit votre périmètre de responsabilité et votre exposition PCI.

Évitez les intégrations où vous collectez directement les données de carte sur votre site avant de les transmettre à l’API Stripe : cette approche augmente considérablement vos obligations de sécurité et de conformité.

2. Configurer le tableau de bord Stripe

• Activez l’authentification à deux facteurs (2FA) pour tous les comptes d’accès au tableau de bord Stripe.
• Limitez les accès : attribuez des rôles et des permissions granulaires à chaque membre de l’équipe (administrateur, analyste, support).
• Désactivez les fonctionnalités non utilisées : si vous n’utilisez pas Stripe Radar, Stripe Tax ou Stripe Identity, désactivez-les ou ne les configurez pas pour éviter des traitements de données inutiles.

3. Configurer les webhooks avec sécurité

Les webhooks Stripe doivent être protégés par la vérification de signature (webhook signing secret) pour garantir l’authenticité des notifications. Utilisez HTTPS exclusivement pour vos endpoints de webhook.

4. Gérer la conservation des données

Stripe conserve les données de transaction conformément aux obligations légales et réglementaires (comptabilité, lutte contre la fraude). Le marchand peut supprimer les données client via l’API Stripe (endpoint /v1/customers), mais les données de transaction elles-mêmes sont conservées par Stripe pour ses propres obligations réglementaires.

Documentez les durées de conservation dans votre registre des traitements et dans votre politique de confidentialité.

5. Informer les personnes concernées

Votre politique de confidentialité doit mentionner Stripe comme destinataire des données de paiement, les catégories de données transmises (nom, adresse, données de carte tokenisées, IP), les finalités (exécution du paiement, prévention de la fraude), le double rôle de Stripe (sous-traitant et responsable de traitement indépendant pour la fraude), les transferts vers les États-Unis et les mécanismes de protection (DPF, CCT), et les droits des personnes concernées auprès de Stripe.

Points d’attention spécifiques

Stripe Radar (prévention de la fraude)

Stripe Radar est le système de détection de fraude de Stripe. Il analyse chaque transaction en temps réel en s’appuyant sur des signaux provenant de l’ensemble du réseau Stripe (empreinte de l’appareil, adresse IP, comportement de navigation, historique de transactions). Pour ce traitement, Stripe agit en tant que responsable de traitement indépendant.

Point juridique : le marchand bénéficie de Radar sans pouvoir en contrôler les paramètres fins (les modèles de machine learning sont propriétés de Stripe). Cela signifie que les personnes concernées doivent être informées de ce traitement, mais que le droit d’opposition s’exerce auprès de Stripe directement, pas auprès du marchand. Le marchand doit néanmoins mentionner l’existence de ce traitement dans sa politique de confidentialité.

Stripe Link (paiement accéléré)

Stripe Link est un service de paiement accéléré qui permet aux clients de sauvegarder leurs informations de paiement pour des achats futurs. Si vous activez Link, les clients qui l’utilisent voient leurs données traitées par Stripe en tant que responsable de traitement indépendant pour le service Link. Assurez-vous que le consentement du client est correctement recueilli (Link est opt-in).

Stripe Tax et Stripe Billing

Si vous utilisez Stripe Tax (calcul automatique de la TVA) ou Stripe Billing (facturation récurrente), des données supplémentaires sont traitées par Stripe : adresse complète du client (pour la détermination du taux de TVA), historique de facturation, et informations fiscales. Ces traitements relèvent de la sous-traitance classique (Stripe agit sur vos instructions), mais ils doivent être documentés dans votre registre.

Stripe Identity (vérification KYC)

Stripe Identity est un service de vérification d’identité qui traite des données biométriques (photo d’identité, selfie). Ce service implique le traitement de données sensibles au sens de l’article 9 du RGPD. Si vous utilisez Stripe Identity, une analyse d’impact (AIPD) est probablement nécessaire, et le consentement explicite des personnes concernées doit être recueilli.

Les transactions Stripe alimentent généralement un CRM comme Salesforce – documentez ce flux dans votre registre des traitements.

Les tickets de support client (Zendesk) contiennent fréquemment des données de paiement transmises par les clients – un flux à documenter.

Les données de transaction Stripe sont exportées vers votre logiciel comptable (Sage), créant un flux de données personnelles supplémentaire à documenter.

SCA et PSD2

Stripe gère l’authentification forte du client (Strong Customer Authentication) imposée par la directive PSD2. Le processus 3D Secure implique un échange de données entre Stripe, la banque émettrice et le client. Ces données (résultat d’authentification, identifiants de session) sont traitées par Stripe dans le cadre de son obligation réglementaire.

FAQ

Stripe est-il conforme au RGPD ?

Stripe dispose d’un DPA conforme à l’article 28, de certifications de sécurité robustes (PCI-DSS Level 1, SOC 2, ISO 27001), d’une entité européenne (Stripe Payments Europe Ltd) pour le traitement des paiements, et de mécanismes de transfert documentés (DPF, CCT). Ces éléments constituent un cadre solide de conformité. Toutefois, la conformité globale dépend aussi de la configuration du marchand : politique de confidentialité à jour, registre des traitements documenté, sécurité du site marchand, et information correcte des personnes concernées. Stripe fournit les outils ; le marchand doit les utiliser correctement. C’est ce type de vérification que Legiscope automatise pour les entreprises qui souhaitent auditer systématiquement leurs sous-traitants.

Stripe est-il sous-traitant ou responsable de traitement ?

Les deux. Pour le traitement des paiements proprement dit (exécution de la transaction sur instruction du marchand), Stripe est sous-traitant. Pour la prévention de la fraude (Radar), les obligations réglementaires (KYC/AML) et l’amélioration de ses services, Stripe agit comme responsable de traitement indépendant. Cette dualité doit être documentée dans le registre des traitements et expliquée dans la politique de confidentialité. Les outils RGPD de conformité doivent tenir compte de cette double qualification.

Les données de carte sont-elles stockées en clair par Stripe ?

Non. Stripe tokenise les données de carte : le numéro complet de carte n’est jamais stocké en clair, même sur les serveurs de Stripe. Le système utilise des tokens (identifiants uniques sans valeur intrinsèque) qui permettent de traiter les paiements sans exposer les données sensibles. Cette approche est conforme aux exigences PCI-DSS et constitue une mesure de sécurité importante au sens de l’article 32 du RGPD. Si vous utilisez Stripe Checkout ou Elements, les données de carte ne transitent même pas par vos serveurs.

Comment exercer un droit d’effacement auprès de Stripe ?

Le marchand peut supprimer les données client via l’API Stripe (endpoint /v1/customers) ou via le tableau de bord. Toutefois, Stripe conservera certaines données de transaction pour se conformer à ses propres obligations légales (comptabilité, lutte contre la fraude, obligations KYC/AML). Ce point doit être expliqué aux personnes qui exercent leur droit à l’effacement : l’effacement est effectif pour les données traitées par le marchand, mais Stripe peut légitimement conserver des données en tant que responsable de traitement indépendant pour ses obligations légales. Les durées de conservation sont détaillées dans la politique de confidentialité de Stripe.