Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Afterpay est un service de paiement fractionné (BNPL) appartenant à Block, Inc. (commercialisé sous le nom Clearpay au Royaume Uni et dans l'UE). Il permet aux clients de payer en quatre fois sans intérêts. Les marchands intègrent un SDK JavaScript et un widget de prix sur les pages produit et le checkout. Avant même le paiement, le widget charge des scripts, pose des cookies et transmet des données à Afterpay, ce qui engage des obligations RGPD et ePrivacy précises.
Afterpay est un service de paiement fractionné (BNPL) opéré par Afterpay Pty Ltd, filiale de Block, Inc. (société mère de Square et Cash App). Au Royaume Uni et dans la majorité de l''Europe, le même service est commercialisé sous la marque Clearpay. Le client règle l''achat en quatre échéances égales toutes les deux semaines, sans intérêts et avec des frais limités. Les marchands intègrent Afterpay via un SDK JavaScript qui affiche des widgets de prix sur les pages produit, un bouton de checkout et une redirection vers portal.afterpay.com ou portal.clearpay.com pour l''identification et la décision crédit.
Le widget Afterpay pose des cookies first party et third party pour l''état du panier, la lutte contre la fraude et la mesure d''audience. Il collecte l''adresse IP, le User Agent, les pages produit consultées, le montant du panier, la devise, l''identifiant marchand et une empreinte d''appareil utilisée par le moteur antifraude. Au checkout, Afterpay collecte le nom, l''adresse, l''email, le téléphone, la date de naissance, le moyen de paiement et, selon le pays, des identifiants partiels pour des vérifications crédit légères. Block, Inc. et ses partenaires d''underwriting peuvent consulter des bureaux de crédit externes et des bases antifraude.
Le SDK Afterpay chargé sur les pages produit et catégorie dépose des cookies avant le checkout, ce qui déclenche l''article 5(3) ePrivacy. Ces cookies ne sont pas strictement nécessaires à l''accès au site marchand : leur dépôt exige le consentement préalable. Le traitement des données de paiement, d''identité et de crédit pendant le checkout peut reposer sur l''exécution du contrat (art. 6(1)(b) RGPD), la prévention de la fraude relevant de l''intérêt légitime (art. 6(1)(f)). Les décisions automatisées de scoring crédit sont soumises aux garanties de l''article 22 RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Oui, pour le widget, le calculateur de prix et tout cookie d''analyse ou de marketing déposé sur les pages catalogue. Le marchand doit bloquer le SDK Afterpay derrière un consent gate et ne le charger qu''après acceptation au minimum de la catégorie fonctionnelle ou marketing selon le cas. Dans le checkout, lorsque l''utilisateur a choisi Afterpay comme moyen de paiement, le traitement strictement nécessaire de la commande peut se poursuivre sur la base du contrat, mais l''information sur les données partagées avec Block reste obligatoire.
Block, Inc. est basée aux États Unis et opère une infrastructure mondiale sur AWS. L''entité australienne traite également une partie des données en Australie. Block s''est auto certifié au Data Privacy Framework UE États Unis, ce qui couvre les transferts vers les entités Block certifiées. Pour les catégories hors DPF, Block s''appuie sur les nouvelles clauses contractuelles types accompagnées d''un Transfer Impact Assessment. Les marchands doivent mentionner Block, Inc. et Afterpay Pty Ltd comme destinataires dans leur politique de confidentialité et expliquer le mécanisme de transfert.
Bridez le SDK Afterpay via votre CMP pour ne le déclencher qu''après acceptation des catégories adéquates. Signez un contrat de sous traitance ou de responsabilité conjointe avec Block selon le montage contractuel applicable dans votre pays. Mettez à jour la politique de confidentialité avec les catégories de données partagées, le mécanisme de transfert (DPF et CCT) et les droits relatifs aux décisions automatisées. Listez les domaines afterpay.com et clearpay.com ainsi que les cookies dans la politique cookies. Prévoyez un parcours alternatif si Afterpay est refusé pour ne pas bloquer le reste du checkout.
Les sites web utilisant Afterpay doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD peut être nécessaire lorsque Afterpay est combiné avec du scoring crédit, du profiling antifraude ou des flux transfrontaliers à grande échelle. Le traitement implique des données financières, de la décision automatisée pour l'évaluation de crédit et des transferts vers les États Unis et l'Australie, autant de critères mis en avant par les CNIL européennes pour déclencher une AIPD au sens de l'art. 35 RGPD.
Exemple de texte de consentement
Nous utilisons Afterpay (Clearpay) pour afficher les options de paiement et traiter les commandes en quatre fois. Cela pose des cookies et partage votre adresse IP et vos données d'achat avec Block, Inc. aux États Unis. Acceptez vous ?
Domaines tiers contactes
afterpay.comstatic.afterpay.comjs.afterpay.comportal.afterpay.comapi.afterpay.comclearpay.comportal.clearpay.comjs.clearpay.comstatic.clearpay.co.ukCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ap_sso_session | third party | Session | Maintains the authenticated session between portal.afterpay.com and the merchant site during a BNPL transaction. |
| ap_segment_id | third party | 13 months | Anonymous segmentation identifier used by Afterpay analytics and fraud engine to recognise repeat devices across merchants. |
| afterpay_device_id | third party | 1 year | Device fingerprint identifier used by Afterpay risk and credit decisioning to detect fraud and duplicate accounts. |
| _ap_session | third party | Session | Short lived session cookie for the widget rendering and checkout redirect flow. |
| cf_clearance | third party | 30 days | Cloudflare bot mitigation cookie set on Afterpay domains to validate that the request comes from a real browser. |
| OptanonConsent | third party | 1 year | OneTrust consent state cookie set on afterpay.com when the user visits Afterpay owned pages, recording the cookie preferences. |
Afterpay utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Le widget pose des cookies comme ap_sso_session pour l'authentification au portail, ap_segment_id pour la segmentation antifraude et analytics, et un identifiant d'empreinte d'appareil pour le scoring de risque. Selon l'intégration, des cookies de mesure supplémentaires (Google Analytics, compteurs internes) peuvent être chargés. Tout cookie non strictement nécessaire doit être conditionné au consentement.
Pour le widget sur la fiche produit, le calculateur de paiement et tout cookie marketing, oui : ils sont posés avant le paiement et ne sont pas strictement nécessaires. Dans le checkout, après le choix d'Afterpay, le traitement strictement nécessaire peut se poursuivre sur la base du contrat, mais la bannière doit néanmoins indiquer le partage de données de façon transparente.
Trois bases coexistent : le contrat (art. 6(1)(b) RGPD) pour exécuter la commande BNPL, l'intérêt légitime (art. 6(1)(f)) pour la prévention de la fraude et le risque crédit, et le consentement (art. 6(1)(a)) pour les cookies non essentiels, le marketing et le profilage combiné. Lorsque des décisions de crédit automatisées sont prises, les garanties de l'article 22 RGPD (intervention humaine, contestation) s'appliquent.
Oui. Block, Inc. est un responsable américain qui exploite AWS à l'échelle mondiale. Block s'est auto certifié au Data Privacy Framework UE États Unis. Hors DPF, les transferts reposent sur les clauses contractuelles types accompagnées d'un Transfer Impact Assessment. Une partie du traitement a également lieu en Australie chez Afterpay Pty Ltd.
Souvent oui. La combinaison de scoring crédit, décisions automatisées, traitement à grande échelle de données de paiement et transferts internationaux coche plusieurs critères du CEPD. Une AIPD est la voie la plus sûre, même pour les marchands de taille moyenne, surtout si Afterpay coexiste avec d'autres traceurs sur le même tunnel.
Chargez le SDK Afterpay uniquement après consentement de la catégorie concernée, signez le contrat de sous traitance ou de responsabilité conjointe adéquat avec Block, mettez à jour la politique de confidentialité avec les destinataires et les transferts, et listez les cookies et domaines Afterpay dans la politique cookies. Veillez à ce que le BNPL reste une option parmi d'autres et que le checkout puisse aboutir sans Afterpay.
Des acteurs européens du BNPL (Klarna, Alma, Scalapay, Cofidis 4xCB) proposent des services comparables, souvent avec un traitement localisé en UE. La vigilance reste de mise, mais le risque de transfert est généralement plus faible. Les moyens de paiement classiques (carte, prélèvement SEPA, PayPal) restent disponibles pour les utilisateurs qui refusent le BNPL ou le suivi associé.
Ajoutez Afterpay (Clearpay) dans la catégorie Marketing ou Fonctionnel selon le cas. Listez les cookies (ap_sso_session, ap_segment_id, identifiants d'empreinte), le fournisseur (Afterpay Pty Ltd et Block, Inc.), la finalité (traitement de la commande, prévention de la fraude, analytics) et le mécanisme de transfert (DPF ou CCT). Mettez à jour la politique à chaque changement de la liste de cookies par Afterpay.