Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Braintree est la plateforme de paiement marchand de PayPal Holdings, qui propose carte bancaire, PayPal, Venmo, Apple Pay, Google Pay et prélèvement SEPA dans une intégration unique.
Braintree est la plateforme de paiement marchand détenue par PayPal Holdings Inc., dont le siège est à Chicago. Elle propose une intégration unique pour les paiements carte, PayPal, Venmo, Apple Pay, Google Pay, prélèvement SEPA, Bancontact, iDEAL, Sofort, Klarna et de nombreuses méthodes locales européennes. Les marchands intègrent Braintree via Hosted Fields (iframes à scope PCI réduit), le Drop in UI ou l''API GraphQL. En coulisse, Braintree gère la tokenisation, l''authentification 3DS2, la détection de fraude (Kount, ThreatMetrix) et le Vault pour les paiements récurrents.
Braintree dépose des cookies first party sur le domaine du marchand (BraintreeJS_ pour l''état du SDK) et des cookies tiers sur braintreegateway.com et paypal.com quand les boutons PayPal ou Venmo sont affichés (LANG, tsrce, x-pp-s, l7_az, ts, ts_c, _ga lié à paypal.com). Les scripts avancés de détection de fraude (collector.js, data collector) prennent l''empreinte du terminal : user agent, résolution d''écran, plug-ins, polices, IP et signaux comportementaux. Les données de carte sont tokenisées et transmises directement de l''iframe à Braintree sans jamais passer par le serveur marchand.
Les cookies de paiement strictement nécessaires à la transaction demandée par l''utilisateur relèvent de l''exemption de l''article 5(3) ePrivacy. Les scripts de fraud detection, en revanche, dépassent souvent le strict nécessaire et exigent un consentement, sauf cas où l''intérêt légitime prépondérant à la prévention de la fraude est documenté. Les lignes directrices CNIL et CEPD distinguent les fonctions anti-fraude essentielles (intérêt légitime) du profilage comportemental large (consentement). Braintree et le marchand sont responsables conjoints indépendants pour le traitement du paiement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Chargez Hosted Fields et Drop in UI sans consentement préalable car ils sont strictement nécessaires au paiement. Ne chargez collector.js (data collector) qu''après consentement, ou documentez une analyse d''intérêt légitime limitant les données collectées au strict nécessaire pour la prévention de la fraude. Ne préchargez pas les PayPal Smart Buttons avant le consentement s''ils déclenchent des cookies tiers sur paypal.com au-delà du strict besoin du checkout.
Braintree fournit une passerelle UE hébergée en Irlande (payments-eu.braintree-api.com), mais les données de carte et les signaux de fraude peuvent transiter par les États-Unis via PayPal Holdings pour PCI DSS, lutte anti-blanchiment, gestion des litiges et scoring de risque. Les transferts reposent sur les CCT UE et la certification DPF de PayPal. Documentez le mécanisme dans le registre des traitements et informez clairement les utilisateurs dans la mention d''information.
Signez le contrat marchand Braintree et le DPA PayPal avec les CCT UE. Activez la passerelle UE quand c''est possible. Déclenchez Hosted Fields et Drop in UI sans consentement (strictement nécessaire). Encadrez le data collector avancé par une gate CMP ou documentez une analyse d''intérêt légitime. Listez les cookies Braintree dans votre politique cookies comme Fonctionnels ou Prévention de la fraude. Identifiez PayPal (Europe) Sarl & Cie, S.C.A et PayPal Inc. comme responsables indépendants dans la mention d''information avec la divulgation des transferts.
Les sites web utilisant Braintree doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée dès lors que Braintree est couplé aux scripts avancés de fraud detection (Kount, ThreatMetrix), que les marchands stockent les données de carte via le Vault pour les paiements récurrents, ou que la 3DS2 risk-based traite un large set de signaux comportementaux.
Exemple de texte de consentement
Nous utilisons Braintree by PayPal pour traiter vos paiements et détecter les transactions frauduleuses. Braintree dépose des cookies sur votre terminal pour sécuriser le tunnel et identifier les comportements suspects. Les cookies de paiement sont strictement nécessaires, mais les scripts de fraud avancés qui profilent votre terminal ne s'exécutent qu'avec votre consentement.
Domaines tiers contactes
braintreegateway.combraintree-api.compayments-eu.braintree-api.compaypal.compaypalobjects.comvenmo.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| BraintreeJS_* | Functional | Session | Maintains the Hosted Fields and Drop in UI state on the merchant domain during checkout. Strictly necessary for the payment to complete. |
| ts | Functional | 3 years | PayPal session cookie used by Braintree when PayPal buttons are loaded. Helps recognise the user during the PayPal flow. |
| ts_c | Functional | 3 years | PayPal companion cookie to ts, used together for session continuity in the PayPal checkout. |
| l7_az | Functional | 30 minutes | Load balancer routing cookie on paypal.com used during the checkout to keep the user on the same backend instance. |
| tsrce | Functional | 3 days | PayPal traffic source cookie set when Smart Buttons are displayed for analytics and attribution. |
| x-pp-s | Functional | Session | PayPal session identifier used during the PayPal Smart Button flow. |
Braintree est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Braintree dépose des cookies first party sur le domaine marchand pour maintenir l'état des Hosted Fields, et des cookies tiers sur braintreegateway.com et paypal.com (LANG, tsrce, x-pp-s, l7_az, ts, ts_c) quand les boutons PayPal ou Venmo sont affichés. La détection de fraude avancée (collector.js) génère également une empreinte du terminal stockée dans le navigateur.
Les cookies Hosted Fields et Drop in UI sont strictement nécessaires et exemptés de consentement au titre de l'article 5(3) ePrivacy. Les scripts de fraud detection avancée et les PayPal Smart Buttons exigent généralement un consentement, sauf analyse d'intérêt légitime documentée.
Exécution du contrat (article 6(1)(b) RGPD) pour le traitement du paiement. Intérêt légitime (article 6(1)(f) RGPD) pour les mesures anti-fraude essentielles. Consentement (article 6(1)(a) RGPD) pour le profilage non essentiel, les boutons marketing et le comportemental anti-fraude.
Braintree fournit une passerelle UE en Irlande mais les données de carte et de fraude peuvent être traitées aux États-Unis par PayPal Holdings. Les transferts reposent sur les CCT UE et la certification DPF de PayPal.
Une AIPD est recommandée lors de l'activation de la fraud detection avancée (Kount, ThreatMetrix), lors de la 3DS2 risk based avec signaux comportementaux étendus, ou lors du stockage de cartes dans le Vault pour des paiements récurrents à grande échelle.
Chargez Hosted Fields sans consentement. Chargez le collector avancé seulement après consentement ou sous intérêt légitime documenté. Signez le contrat marchand Braintree et le DPA PayPal avec les CCT UE. Activez la passerelle UE quand possible. Informez les utilisateurs dans la mention d'information avec un équilibre entre transparence et sécurité.
Stripe Connect, Adyen, Mollie (néerlandais, UE uniquement), Worldline, Checkout.com, GoCardless pour SEPA, Klarna pour le BNPL, ou des acteurs locaux comme Lemonway et Lyra Network. La plupart offrent une conformité PCI DSS et un support 3DS2 similaires avec une empreinte UE différente.
Listez les cookies first party BraintreeJS_ et les cookies tiers sur braintreegateway.com et paypal.com avec leur domaine, durée et finalité. Catégorisez les cookies de paiement comme Strictement nécessaires et les cookies de fraud detection comme Prévention de la fraude. Identifiez PayPal (Europe) Sarl & Cie, S.C.A et PayPal Inc. comme responsables indépendants dans la mention d'information avec la mention des transferts.