Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

FastSpring

Que fait FastSpring ?

FastSpring est une plateforme de paiement américaine de type merchant of record (MoR), largement utilisée par les éditeurs logiciels et SaaS pour externaliser la facturation, la TVA UE, la prévention de la fraude et la conformité fiscale globale. Le checkout hébergé sur fastspring.com et onfastspring.com ne dépose que des cookies first party strictement nécessaires et traite les transactions via Bright Market LLC, vendeur légal de référence. En tant que MoR, FastSpring gère TVA, facturation et chargebacks pour le compte de l'éditeur.

Qu''est-ce que FastSpring ?

FastSpring est une plateforme de paiement américaine immatriculée Bright Market LLC à Santa Barbara, Californie. Elle opère comme merchant of record (MoR) pour les logiciels, SaaS et produits numériques : quand un client paie via FastSpring, c''est Bright Market LLC qui figure légalement comme vendeur sur la facture, collecte la TVA UE et les autres taxes, gère remboursements, chargebacks et litiges, puis reverse le revenu net à l''éditeur.

Les éditeurs intègrent FastSpring via Popup Storefront (overlay), Web Storefront (page hébergée) ou Embedded Storefront (iframe). Storefront.js et l''Order API permettent des scénarios avancés : prix localisés, abonnements, devis B2B.

Cookies et données collectés

Sur le checkout hébergé, seuls des cookies first party strictement nécessaires sont déposés sur fastspring.com et onfastspring.com : un cookie de session de panier, un jeton CSRF et un cookie de score de fraude. FastSpring collecte aussi les données de facturation (nom, email, adresse, pays, moyen de paiement) nécessaires à la transaction. Lorsque l''éditeur utilise la Library API pour afficher des prix localisés, la géo IP se fait côté serveur sans cookie sur le domaine éditeur.

En tant que MoR, FastSpring conserve les informations de facturation nécessaires à une facture TVA UE conforme, aux remboursements et aux règles des schémas de paiement. Les données carte sont tokenisées par des processeurs PCI DSS niveau 1 ; FastSpring n''expose jamais le PAN brut à l''éditeur.

RGPD et ePrivacy

Comme FastSpring agit comme MoR, il est responsable pour la facturation et le reversement de TVA, et sous traitant pour les données clients de l''éditeur. Les cookies strictement nécessaires du checkout hébergé sont exemptés de consentement au titre de l''art. 5(3) ePrivacy et des lignes directrices ePrivacy du CEPD. Le choix explicite du client de lancer un achat constitue la base légale du traitement des données de paiement.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux

FastSpring traite les données clients UE sur AWS US East. Le DPA FastSpring intègre les CCT (modules 2 et 3) et l''IDTA britannique, et FastSpring est auto certifié au DPF UE/États Unis. Les clients UE peuvent demander des informations sur les contrôles d''accès et la liste des sous traitants.

Étapes pratiques de conformité

Signez le DPA FastSpring depuis votre compte. Mentionnez FastSpring (Bright Market LLC) dans la politique de confidentialité comme MoR et sous traitant, indiquez le transfert US avec CCT et DPF et ajoutez le service au registre art. 30. Aucune mise à jour du bandeau cookies n''est nécessaire pour le checkout hébergé, mais tout analytics tiers branché sur les événements FastSpring (Google Analytics, GA4 ecommerce, Meta CAPI) doit rester derrière le tag manager piloté par consentement.

Categorie de consentement RGPD

Preferences

Les sites web utilisant FastSpring doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance (Art. 6(1)(b) GDPR) for processing payment data necessary to complete the purchase the user has initiated. Legal obligation (Art. 6(1)(c)) for EU VAT collection and reporting, AML and tax record keeping, since FastSpring is the merchant of record. Strictly necessary cookies on the hosted checkout are exempt from consent under Art. 5(3) ePrivacy.

Niveau de risquelow

Reglementations applicablesGDPR, UK GDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EU VAT Directive (Council Directive 2006/112/EC), PSD2, AMLD5, PCI DSS, US CCPA/CPRA

Considerations AIPD

Une AIPD n'est généralement pas requise pour une facturation SaaS classique via FastSpring. Elle devient pertinente quand la facturation s'accompagne d'un profilage étendu, de données d'industries régulées ou de catégories sensibles liées aux niveaux d'abonnement.

Exemple de texte de consentement

Les paiements et la facturation sur ce site sont assurés par FastSpring (Bright Market LLC, États Unis), notre merchant of record. FastSpring traite vos données de paiement et la TVA UE au titre du contrat et des obligations légales sur son infrastructure américaine. Les transferts internationaux vers les États Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework UE/États Unis.

Details techniques

Methode de suiviMerchant of record (MoR) SaaS payment platform: hosted checkout (Popup, Embedded, Web Storefront) loaded from fastspring.com / onfastspring.com, with the Storefront.js library and the Order API; first party session, CSRF and fraud cookies are set on the hosted checkout domain; product listings and price localisation can be rendered on the publisher domain via the Library API

Localisation des serveursUnited States (FastSpring, doing business as Bright Market LLC, Santa Barbara, California, headquarters); production hosted on AWS US East regions; static assets and the checkout web app served from Cloudflare and AWS CloudFront with EU edge presence

Donnees transferees hors UEFastSpring (Bright Market LLC) is established in the United States. EU customer payment data and billing addresses are processed on AWS US East. FastSpring is self certified under the EU US Data Privacy Framework and the FastSpring DPA includes the EU Standard Contractual Clauses (modules 2 and 3) and the UK International Data Transfer Addendum. As a merchant of record, FastSpring handles EU VAT collection and reporting for the seller.

Domaines tiers contactes

fastspring.comonfastspring.comsbl.onfastspring.comd1f8f9xcsvx3ha.cloudfront.net

Cookies deposes

Nom	Type	Duree	Finalite
fs_session	first_party	Session	Strictly necessary session cookie on the FastSpring hosted checkout used to maintain the customer cart and the in progress order.
fs_csrf	first_party	Session	CSRF protection token used to validate the payment form submission on the FastSpring hosted checkout.
fs_risk	first_party	30 minutes	Strictly necessary fraud risk cookie used by FastSpring for transaction risk scoring during the checkout.
fs_locale	first_party	1 year	Functional cookie used by the FastSpring hosted checkout to remember the customer's language and currency preference between sessions.

FastSpring utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies FastSpring dépose-t-il ?

Sur le checkout hébergé FastSpring, seuls des cookies first party strictement nécessaires sont déposés sur fastspring.com et onfastspring.com : un cookie de session (fs_session) maintenant le panier, un jeton CSRF (fs_csrf) et un cookie de score de fraude (fs_risk). Lors du paiement par carte, le processeur sous jacent peut ajouter ses propres cookies de risque éphémères.

Faut-il un consentement pour utiliser FastSpring ?

Non, les cookies du checkout hébergé sont strictement nécessaires au titre de l'art. 5(3) ePrivacy et exemptés de consentement préalable. Le client initie activement l'achat, ce qui constitue la base légale du traitement des données de paiement au titre de l'art. 6(1)(b) RGPD. Les analytics optionnels sur le domaine éditeur (GA4 ecommerce, Meta CAPI) doivent rester derrière le tag manager piloté par consentement.

Quelle est la base légale ?

Exécution du contrat (art. 6(1)(b) RGPD) pour les données nécessaires à la transaction. Obligation légale (art. 6(1)(c)) pour la TVA UE, l'AML et la conservation des registres fiscaux, puisque FastSpring est merchant of record. Cookies strictement nécessaires exemptés au titre de l'art. 5(3) ePrivacy.

FastSpring transfère-t-il des données hors UE ?

Oui. Bright Market LLC est établie aux États Unis et traite les données clients UE sur AWS US East. Le DPA FastSpring intègre les CCT UE et l'IDTA britannique, et FastSpring est auto certifié au DPF UE/États Unis. Une TIA doit examiner les lois américaines de surveillance.

Faut-il une AIPD pour FastSpring ?

La facturation SaaS standard via FastSpring ne nécessite pas d'AIPD. Une AIPD peut être pertinente si FastSpring est combiné à un profilage étendu, à des industries régulées ou à des catégories sensibles liées aux paliers d'abonnement.

Comment intégrer FastSpring de manière conforme ?

Signez le DPA, mentionnez FastSpring (Bright Market LLC) comme merchant of record et sous traitant dans la politique, documentez le transfert US avec CCT et DPF et ajoutez le service au registre art. 30. Utilisez le checkout hébergé pour limiter le périmètre des données de paiement et conservez les analytics optionnels dans le tag manager piloté par consentement.

Existe-t-il des alternatives à FastSpring ?

Autres MoR : Paddle (UK avec AWS UE), Lemon Squeezy (US avec DPF), 2Checkout / Verifone (US et UE). Pour des options non MoR UE : Stripe Billing (Irlande), Mollie subscriptions (Pays Bas), Adyen subscriptions (Pays Bas) et Chargebee Billing (US avec résidence UE en enterprise).

Comment mettre à jour ma politique cookies et confidentialité ?

Pour la plupart des configurations, aucun ajustement du bandeau n'est nécessaire (cookies strictement nécessaires). Mettez à jour la politique de confidentialité pour mentionner FastSpring comme merchant of record, le transfert US avec CCT et DPF et son rôle de responsable distinct pour la TVA et la fiscalité.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min