La Verification of Payee ne fonctionne qu'en traitant des données personnelles : elle compare un nom de bénéficiaire au titulaire d'un IBAN. C'est exactement le type de traitement que le RGPD encadre, il vaut donc la peine de comprendre comment une vérification du nom peut être à la fois utile et conforme.
Base légale
Deux bases soutiennent couramment la VoP. D'abord, l'obligation légale : le Règlement sur les paiements instantanés impose aux PSP de proposer la vérification. Ensuite, l'intérêt légitime : prévenir les paiements mal dirigés et la fraude est un intérêt reconnu qui profite aussi au payeur. La base exacte doit être confirmée avec votre DPO, mais la VoP n'est pas un traitement sans justification.
Minimisez et ne détournez pas l'usage
N'utilisez que les données nécessaires à la vérification — nom et IBAN — et ne réutilisez pas les données de vérification à des fins sans rapport. Minimisation des données et limitation des finalités maintiennent la VoP proportionnée.
Conservation et résidence
- Conservation — ne gardez les enregistrements de vérification que le temps nécessaire à l'audit, à la gestion des litiges et à la conformité.
- Résidence des données — pour les PSP de l'UE, traiter et stocker dans l'UE évite les complications de transfert.
- Sécurité — chiffrez en transit et au repos, et journalisez les accès pour la responsabilité.
Pourquoi le choix du prestataire compte
Comme la VoP touche aux données personnelles, qui l'exécute importe. Un prestataire opérant dans l'UE, avec un traitement des données clair et une résidence dans l'UE, simplifie votre position RGPD. RoxPay opère sur une infrastructure européenne d'open banking avec résidence des données dans l'UE, de sorte que la vérification du nom reste dans l'UE et dans un cadre de protection des données clair.