Grâce à Stripe Financial Connections (le « Service »), vous pouvez accéder aux données des utilisateurs finaux pour prendre en charge les produits et services que vous fournissez à vos utilisateurs finaux. L'accès aux données de vos utilisateurs finaux doit se faire dans le respect de la législation en vigueur et offrir à l'utilisateur un contrôle et une transparence quant aux données collectées, à leur utilisation et à leur partage éventuel. Nous vous recommandons de consulter votre conseiller juridique pour comprendre vos obligations relatives à l'utilisation du service. Voici quelques exemples précis d'obligations qui peuvent s'appliquer dans certains domaines et que vous devez garder à l'esprit.
Obtenir le consentement des utilisateurs finaux
Pour utiliser le service, il est important d'obtenir le consentement valable de vos utilisateurs finaux afin d'accéder à leurs données et de les utiliser. En offrant à vos utilisateurs finaux la possibilité de lier leurs comptes financiers externes au moyen de Stripe, vous devriez :
(1) indiquer correctement le ou les objectifs pour lesquels vous cherchez à obtenir des données sur les utilisateurs finaux; et
(2) divulguer de manière transparente la façon dont vous utiliserez, stockerez et partagerez les données des utilisateurs finaux.
L'interface utilisateur doit indiquer l'objectif de la collecte et de l'utilisation des données de l'utilisateur final et, par conséquent, vous devez limiter l'utilisation des données de l'utilisateur final par votre entreprise à cet objectif. Si vous accédez à des informations et effectuez des prélèvements, vous devez obtenir des autorisations séparées et distinctes de vos utilisateurs finaux pour chacune de ces activités. Pour en savoir plus sur les mandats de prélèvement ACH, cliquez ici.
Le volet de consentement Stripe subséquent enregistrera l'acceptation des conditions d’utilisation du service et de la politique de confidentialité de Stripe de l'utilisateur final et, grâce à notre flux de consentement, celui-ci pourra lier ses comptes financiers. Le volet de consentement de Stripe ne pourra être modifié par vous ou par d'autres marchands.
Lors de la configuration de votre plateforme, vous demanderez des catégories de données particulières aux utilisateurs finaux, et celles-ci seront divulguées aux utilisateurs finaux dans le flux de consentement Stripe. Si, à l'avenir, votre entreprise souhaite accéder à d'autres types de données à partir du compte de votre utilisateur final, elle devra en faire la demande à l’utilisateur final au moyen d'un flux de consentement fourni par Stripe.
Tenue de dossiers
Vous devez conserver les dossiers relatifs au respect de la conformité du contrat que vous avez conclu avec Stripe et de la législation applicable, notamment :
Des captures d'écran de l'interface utilisateur ou des flux sur lesquels vous transmettez l'objectif ou les objectifs présenté(s) aux utilisateurs finaux du traitement de leurs données, y compris la plage de dates à laquelle chaque version unique a été mise en ligne; et
Vos politiques de confidentialité ou tout autre document à l'intention de l'utilisateur final concernant le service de partage des données, ainsi que toute modification ou mise à jour.
Nous pouvons demander des copies des documents en lien avec ces obligations de tenue de dossiers.
Conservation des données. De plus en plus de lois sur la confidentialité interdisent aux entreprises de conserver des données personnelles plus longtemps que nécessaire à l'accomplissement de l'objectif pour lequel elles ont été obtenues. Il vous incombe de mettre en place une procédure interne de conservation conforme à la législation applicable.
Obligations en matière d'assistance aux clients
Votre accès aux données de l'utilisateur final et leur utilisation sont soumis aux lois et réglementations applicables qui vous obligent à prendre des mesures précises si vous recevez les communications de l'utilisateur final ci-dessous.
Requêtes au sujet de données. Nous vous recommandons de vous préparer sur le plan interne à recevoir des demandes d'utilisateurs finaux réclamant la suppression de leurs données personnelles et/ou la dissociation de leur compte financier lié. Pour les pays ou territoires qui exigent le respect des demandes d'accès aux données, vous devrez également donner suite à ces demandes conformément à la législation applicable.
Requête de dissociation :
Interface utilisateur : Si vous offrez à vos clients la possibilité de dissocier leur compte, nous vous recommandons de préciser dans votre interface que la dissociation arrêtera le partage des nouvelles données financières du compte, mais ne supprimera pas les données précédemment partagées ni les données de Stripe. De cette façon, les utilisateurs finaux peuvent décider de faire une demande distincte de suppression des données.
Avisez Stripe : Veuillez transmettre les demandes de dissociation soit 1) au moyen du formulaire de dissociation de Stripe, soit 2) via l'API de dissociation. N'oubliez pas que l'API de dissociation n'entraîne pas la suppression des données de votre utilisateur dans Stripe. Si votre utilisateur demande à supprimer ses données, vous devez utiliser le formulaire de dissociation.
Requête de suppression :
Interface utilisateur : Nous vous recommandons de préciser dans votre interface ce que signifie une demande de « suppression », c'est-à-dire d’indiquer si une demande de suppression comprendra également la dissociation du compte lié.
Avisez Stripe : Veuillez transmettre les demandes de suppression à Stripe à l'adresse privacy@stripe.com avec pour objet « Financial Connections : requête de suppression de compte » ou demander à votre client de soumettre sa requête directement à Stripe via notre formulaire de dissociation. Vous devez également supprimer ces données sur vos propres systèmes ou informer l'utilisateur final de la base juridique sur laquelle vous vous appuyez pour conserver ces données.
Connexions non autorisées. Si vous vous rendez compte que le consentement pour le partage des données n'a pas été donné par l'un de vos utilisateurs finaux (par exemple à la suite d'un vol d'identité), soumettez une demande de suppression directement à Stripe à l'adresse privacy@stripe.com.
Plaintes. Si vous recevez une correspondance de la part d'un utilisateur qui correspond à la définition de Stripe d'une « plainte », assurez-vous de la signaler en temps opportun à Stripe en écrivant à complaints@stripe.com ou en utilisant notre formulaire de soumission des plaintes et en sélectionnant « Comptes financiers liés » dans la liste déroulante.
Stripe définit les plaintes comme « Tout signe de mécontentement à l'égard d'un produit, d'un service, d'une politique ou d'un employé lié aux services de Connections, sauf lorsque le mécontentement émane d'un titulaire de carte travaillant au sein de votre entreprise ».
Certaines plaintes peuvent être considérées comme des « plaintes urgentes » si elles comportent des menaces de litige ou sont soumises par des régulateurs. Ces plaintes doivent être transmises à Stripe dans un délai d'un jour à compter de leur réception.