Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Affirm est un acteur américain de paiement fractionné (BNPL) et de financement au point de vente, exploité par Affirm Holdings, Inc. Les marchands intègrent affirm.js pour afficher des estimations mensuelles sur les fiches produit et ouvrir un parcours de demande de crédit hébergé au checkout. Le widget transmet des données de visite et de transaction aux serveurs d'Affirm aux États Unis, ce qui implique des obligations RGPD et ePrivacy complètes pour les marchands européens.
Affirm est une plateforme de paiement fractionné et de financement au point de vente exploitée par Affirm Holdings, Inc., société cotée dont le siège est à San Francisco. Contrairement aux solutions courtes en 4 fois, Affirm propose des prêts de quelques semaines à plusieurs années, avec un taux affiché et une vérification de crédit légère ou approfondie selon l''offre. Les marchands intègrent Affirm via affirm.js, qui affiche le widget de mensualités sur les pages produit et ouvre un parcours de demande de crédit hébergé au checkout.
Sur les pages produit, Affirm collecte l''adresse IP, le User Agent, l''URL, le montant du panier et l''identifiant marchand via le script du widget, et pose des cookies d''analytics et antifraude. Pendant la demande de crédit, Affirm collecte nom, date de naissance, adresse, téléphone, email, les quatre derniers chiffres d''un identifiant national, des données d''emploi et une vérification bancaire. Affirm interroge des bureaux de crédit et des bases antifraude pour rendre sa décision et la communique au marchand.
Les cookies Affirm posés sur les pages catégorie et produit ne sont pas strictement nécessaires et exigent un consentement au sens de l''article 5(3) ePrivacy. La demande de crédit au checkout relève de l''article 6(1)(b) RGPD parce qu''elle est nécessaire à la conclusion d''un contrat sollicité par la personne. Le scoring automatisé est soumis aux garanties de l''article 22 RGPD : information, droit à une intervention humaine et droit de contester la décision. Les transferts vers les États Unis relèvent du chapitre V.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour le widget marketing et les cookies d''analytics déposés avant le checkout, oui : conditionnez affirm.js au consent manager. Au checkout, lorsque l''utilisateur a explicitement choisi Affirm comme moyen de financement, le traitement de la demande peut s''appuyer sur le contrat. L''information doit néanmoins décrire clairement les données transmises et le caractère automatisé de la décision.
Affirm Holdings, Inc. est un responsable américain qui traite les données sur une infrastructure américaine. Affirm est auto certifié au Data Privacy Framework UE États Unis, ce qui fournit une décision d''adéquation pour ses flux. Affirm publie également des clauses contractuelles types pour ses clients internationaux et précise comment il traite les demandes d''accès des autorités américaines au titre du FISA 702. Les marchands doivent référencer ces mécanismes dans leur politique de confidentialité.
Conditionnez le widget Affirm au consent manager, documentez l''intégration dans le registre des activités, menez une AIPD couvrant la décision automatisée et le transfert UE États Unis, et signez l''accord adéquat avec Affirm (responsabilités conjointes ou contractuelles selon la jurisprudence applicable). Mettez à jour la politique avec les catégories de données, les bases légales, le mécanisme CCT ou DPF et les droits liés à l''article 22.
Les sites web utilisant Affirm doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée dès qu'Affirm est intégré. Le traitement implique des décisions de crédit automatisées, des données financières, du profilage antifraude et des transferts systématiques vers les États Unis, trois des neuf critères du WP29 pour les traitements à risque élevé. Documentez la nécessité et la proportionnalité de l'intégration, ainsi que les garanties (consent gate, mécanisme de transfert, durées de conservation).
Exemple de texte de consentement
Nous utilisons Affirm pour afficher des plans de paiement et traiter les demandes de crédit. Cela pose des cookies et partage votre adresse IP et vos données de transaction avec Affirm Holdings, Inc. aux États Unis. Acceptez vous ?
Domaines tiers contactes
affirm.comcdn-assets.affirm.comapi.affirm.comtracker.affirm.comwww.affirm.comcdn1.affirm.comsift.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _affirm_session | third party | Session | Maintains the user session between the merchant site and the Affirm hosted application flow. |
| affirm_sift_session_id | third party | 1 year | Sift fraud detection session identifier used by Affirm to score risk on incoming credit applications. |
| mp_<token>_mixpanel | third party | 1 year | Mixpanel analytics cookie set on affirm.com to measure the funnel of the credit application. |
| _ga | third party | 2 years | Google Analytics first party cookie set on affirm.com to track usage of Affirm marketing and merchant facing pages. |
| csrftoken | third party | 1 year | Cross site request forgery protection token used during the hosted credit application flow. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Le widget pose des cookies comme _affirm_session, affirm_sift_session_id (identifiant antifraude fourni par Sift) et des cookies d'analyse (Mixpanel, Google Analytics) sur les domaines Affirm. Ces cookies ne sont pas strictement nécessaires sur un site marchand et requièrent un consentement au sens des règles ePrivacy.
Oui pour le widget de mensualités affiché en catégorie et produit, et pour les cookies d'analytics qu'il déclenche. Dans le checkout, après le choix d'Affirm, le traitement peut s'appuyer sur le contrat, mais la couche de consentement doit déjà avoir classé ces cookies comme marketing ou fonctionnels.
Contrat (art. 6(1)(b) RGPD) pour la demande de crédit, intérêt légitime (art. 6(1)(f)) pour la prévention de la fraude via Sift et la modélisation du risque, et consentement (art. 6(1)(a)) pour les cookies non essentiels et le widget marketing. La décision automatisée impose les garanties de l'article 22.
Oui. Affirm est un responsable américain qui traite tout aux États Unis. Affirm est auto certifié au Data Privacy Framework UE États Unis et propose les clauses contractuelles types. Les deux doivent être référencés dans la politique du marchand, avec la liste des destinataires.
Oui dans la plupart des cas. Le scoring crédit automatisé appliqué à tout client atterrissant sur une fiche produit coche plusieurs critères AIPD. L'AIPD doit couvrir les flux, la logique de décision, les droits article 22 et les garanties pour les transferts internationaux.
Bloquez affirm.js tant que le consentement n'est pas obtenu, isolez le parcours de financement derrière un choix utilisateur explicite, signez les instruments contractuels nécessaires avec Affirm et mettez à jour la politique. Avertissez l'utilisateur lorsqu'une décision automatisée va être prise et expliquez comment demander une intervention humaine.
Pour les marchands européens, Klarna, Alma, Scalapay, Riverty et Cofidis proposent des services BNPL réglementés et plus présents en UE. Ils ont leurs propres obligations privacy mais traitent souvent les données dans l'UE. Les solutions de financement traditionnelles via banques partenaires restent disponibles pour les achats élevés.
Ajoutez une entrée Marketing ou Fonctionnel. Listez les cookies (_affirm_session, affirm_sift_session_id, cookies d'analyse), le fournisseur (Affirm Holdings, Inc., San Francisco, USA), la finalité (affichage du widget, prévention de la fraude, analytics) et le mécanisme de transfert (DPF UE États Unis ou CCT).