Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Mastercard est un réseau de paiement mondial qui traite les transactions par carte de crédit et de débit. Intégré comme moyen de paiement sur un site e, commerce, il déclenche un parcours d'authentification 3D Secure 2 (Mastercard Identity Check) qui peut déposer des cookies sur les domaines de Mastercard et transmettre des signaux d'appareil, d'adresse IP et comportementaux aux États, Unis. Pour le flux de paiement lui, même, la base légale est la nécessité contractuelle ; le consentement reste requis pour toute couche analytique ou marketing greffée par, dessus.
Mastercard apparaît sur les sites e, commerce européens sous deux formes. La première est le SDK JavaScript Mastercard que certains PSP (Adyen, Stripe, Worldpay) chargent dans la page de paiement pour tokeniser le numéro de carte côté client. La seconde est la redirection vers idcheck.mastercard.com qui exécute l''authentification forte 3D Secure 2. Les deux flux traitent des données personnelles et peuvent déposer des cookies ; il est donc indispensable de les cartographier avant toute AIPD ou notice d''information.
Pendant Mastercard Identity Check, le navigateur du porteur reçoit des cookies Akamai (AKA_A2, bm_sz, _abck) destinés à la détection de bots, des cookies Adobe Analytics (s_cc, s_sq, AMCV_*) qui mesurent les pages Mastercard, ainsi qu''un cookie IDS qui mémorise une authentification frictionless. Le serveur 3DS de Mastercard collecte également l''empreinte de l''appareil (version du navigateur, langue, taille d''écran, fuseau horaire), le User, Agent et l''adresse IP publique du porteur, plus l''identifiant marchand et le montant. Les noms et numéros de carte sont pseudonymisés via le coffre, fort Mastercard mais restent des données personnelles au sens du RGPD.
Pour le paiement, la base légale est l''article 6(1)(b) RGPD (exécution du contrat), renforcée par l''article 6(1)(c) au titre de l''obligation DSP2 d''authentification forte. Pour le scoring de fraude, Mastercard et le commerçant invoquent l''article 6(1)(f) RGPD (intérêt légitime). Les cookies déposés sur idcheck.mastercard.com sont strictement nécessaires au sens de l''article 5(3) de la directive ePrivacy car ils servent un service explicitement demandé par l''utilisateur ; ils n''ont donc pas à figurer dans le bandeau de consentement. En revanche, toute couche analytique ajoutée par le marchand sur sa propre page de paiement nécessite, elle, un consentement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Mastercard International Inc. est établie à Purchase, dans l''État de New York. Les données d''authentification et de fraude transitent régulièrement par les centres américains de Mastercard et peuvent être répliquées vers son réseau mondial. Le transfert s''appuie sur des Clauses Contractuelles Types signées avec le commerçant ou son acquéreur, complétées par le Data Privacy Framework UE, US lorsque les filiales Mastercard concernées sont certifiées. La CNIL et les autorités européennes attendent une analyse d''impact des transferts qui documente l''exposition au droit américain (FISA 702, EO 12333) et les mesures supplémentaires.
Cartographiez chaque point de contact Mastercard (SDK, iframe, redirection) dans votre registre des traitements. Mentionnez Mastercard International Inc. comme destinataire dans votre politique de confidentialité et ajoutez les États, Unis à la liste des pays de destination. Signez le DPA Mastercard via votre acquéreur. Documentez la répartition des bases légales (contrat pour le paiement, intérêt légitime pour la fraude). Excluez les cookies 3DS Mastercard du bandeau de consentement car ils sont strictement nécessaires, mais ne les mélangez jamais avec des balises analytiques ou marketing chargées depuis le même domaine.
Les sites web utilisant Mastercard doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Mastercard traite des données de porteur de carte, des métadonnées de transaction, des empreintes d'appareil et des signaux comportementaux pour scorer le risque lors de l'authentification 3D Secure 2 (Identity Check). Points clés pour l'AIPD : (1) transferts internationaux vers Mastercard International Inc. aux États, Unis et son réseau de processeurs ; (2) fingerprinting d'appareil et adresse IP utilisés comme signaux de fraude, avec possible enjeu Art. 22 RGPD si une transaction est rejetée automatiquement sans revue humaine ; (3) conservation longue des résultats d'authentification pour la défense en chargeback (jusqu'à 13 mois au titre de la DSP2) et 7 ans au titre de la lutte anti, blanchiment ; (4) analyse de la responsabilité conjointe entre commerçant, acquéreur et Mastercard pendant l'échange 3DS (lignes directrices CEPD 7/2020) ; (5) périmètre PCI DSS lorsque la page marchande embarque directement le SDK JavaScript Mastercard plutôt qu'un iframe hébergé. Une AIPD est recommandée pour tout checkout à fort volume ou lorsque les signaux Mastercard contribuent à un rejet automatique de transaction.
Exemple de texte de consentement
Lorsque vous payez par carte, nous partageons les détails de la transaction et les données nécessaires à votre authentification (3D Secure) avec Mastercard International Inc. et notre prestataire de services de paiement. Ce traitement est nécessaire à l'exécution de notre contrat avec vous et au respect de nos obligations anti, fraude au titre de la DSP2. Mastercard peut déposer des cookies et traiter des signaux d'appareil sur son propre domaine (idcheck.mastercard.com) à des fins de prévention de la fraude. Le paiement ne requiert pas de consentement, mais vous pouvez refuser tout cookie analytique ou marketing optionnel dans notre bandeau de gestion du consentement.
Domaines tiers contactes
mastercard.comidcheck.mastercard.comsecurecode.mastercard.comsrc.mastercard.comsandbox.mastercard.commastercard.usCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| AMCV_*@AdobeOrg | Functional | 2 years | Persistent cross, domain visitor identifier set during 3D Secure (Mastercard Identity Check) and used to recognise the same user across sessions and Mastercard properties. |
| AKA_A2 | Strictly necessary | 1 hour | Akamai bot detection token used to verify that the 3D Secure challenge is performed by a human and not by an automated client. |
| bm_sz | Strictly necessary | 4 hours | Akamai Bot Manager session cookie that protects the Mastercard Identity Check endpoint from credential, stuffing and scripted attacks. |
| IDS | Functional | 1 year | Identity Check session identifier used by Mastercard to remember a frictionless authentication outcome and avoid challenging the same low, risk device repeatedly. |
| s_cc | Analytics | Session | Adobe Analytics cookie that tells Mastercard whether cookies are enabled in the user's browser during the authentication flow. |
| s_sq | Analytics | Session | Adobe Analytics cookie that records the last link clicked inside the Mastercard Identity Check pages. |
Mastercard utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Mastercard ne dépose pas de cookies first, party sur votre domaine. Pendant 3D Secure 2, le navigateur du porteur est redirigé vers idcheck.mastercard.com qui dépose des cookies Akamai (AKA_A2, bm_sz, _abck), des cookies Adobe Analytics (s_cc, s_sq, AMCV_*) et un cookie de session IDS. Tous ces cookies se trouvent sur les domaines Mastercard, pas sur le vôtre.
Non. Le paiement lui, même repose sur l'exécution du contrat (article 6(1)(b) RGPD) et sur l'obligation DSP2 d'authentification forte. Les cookies 3DS posés sur idcheck.mastercard.com sont strictement nécessaires au sens de l'article 5(3) ePrivacy et sont exemptés de bandeau. En revanche, tout tag analytique ou marketing ajouté par vos soins sur la page checkout reste soumis au consentement.
L'article 6(1)(f) RGPD (intérêt légitime) pour les signaux anti, fraude (empreinte d'appareil, IP, comportements) et l'article 6(1)(c) pour l'obligation réglementaire d'authentification forte au titre de la DSP2. Documentez le test de mise en balance dans votre registre et informez vos utilisateurs dans la politique de confidentialité.
Oui. Mastercard International Inc. est établie à Purchase (New York) et les données d'authentification transitent régulièrement par ses centres américains. Les transferts s'appuient sur des Clauses Contractuelles Types et, le cas échéant, sur le Data Privacy Framework UE, US. Une analyse d'impact des transferts est attendue par les autorités européennes.
Une AIPD est recommandée pour les checkouts à fort volume, pour les cas où les signaux Mastercard contribuent au rejet automatique d'une transaction (risque article 22 RGPD), ou lorsque le marchand embarque directement le SDK Mastercard plutôt qu'un iframe hébergé. Les déploiements modestes peuvent s'appuyer sur l'AIPD de leur acquéreur, complétée par leur propre test de mise en balance.
Privilégiez un iframe hébergé ou une redirection complète pour limiter le périmètre PCI DSS. Signez le DPA Mastercard via votre acquéreur. Mentionnez Mastercard International Inc. et les États, Unis dans votre politique de confidentialité. Laissez les cookies 3DS hors du bandeau mais listez, les comme strictement nécessaires dans votre politique cookies. Vérifiez qu'aucun pixel marketing Mastercard ne se charge sans consentement.
Plusieurs schémas européens existent : Cartes Bancaires (France), Girocard (Allemagne), Bancontact (Belgique), Dankort (Danemark) et le futur European Payments Initiative (EPI Wero) pour les paiements de compte à compte. La plupart restent dépendants des rails Mastercard ou Visa à l'international ; une vraie alternative passe donc par la combinaison d'un schéma local et de SEPA Instant pour le transfrontalier.
Listez les cookies Mastercard Identity Check (Akamai, Adobe, IDS) dans la catégorie strictement nécessaire de votre tableau, avec le domaine (mastercard.com ou sous, domaines), la durée et une description courte. Ajoutez Mastercard International Inc. à la liste des destinataires, mentionnez les États, Unis et renvoyez vers la Notice Globale de confidentialité de Mastercard.