Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Mul-Pay est la passerelle de paiement et l'agrégateur opérés par GMO Payment Gateway, Inc., l'un des plus grands prestataires de paiement japonais. Elle expose une page de paiement hébergée sur le domaine mul-pay.jp qui traite serveur à serveur les paiements par carte et les moyens alternatifs. Les cookies sont écrits uniquement sur le domaine de paiement, sont strictement nécessaires et bénéficient de la décision d'adéquation UE Japon pour les transferts soumis au RGPD.
Mul-Pay est le service unifié de passerelle de paiement opéré par GMO Payment Gateway, Inc., l''un des plus grands prestataires de paiement japonais. La solution prend en charge les paiements par carte, les paiements en konbini, les virements bancaires, Pay-easy, le carrier billing et un large éventail de portefeuilles japonais. L''intégration au site marchand s''effectue soit via un appel API serveur vers mul-pay.jp, soit par redirection de l''acheteur vers une page de paiement hébergée sur le domaine de la passerelle. Dans les deux cas, les données carte ne parviennent jamais au marchand : elles sont captées dans l''environnement GMO PG qui détient une attestation PCI DSS niveau 1.
Les cookies sont écrits exclusivement sur le domaine mul-pay.jp lors de l''étape de paiement et sont tous strictement nécessaires : un identifiant de session qui rattache la soumission du formulaire au registre de la transaction, un jeton CSRF qui prévient la falsification de requêtes et un jeton de sécurité éphémère utilisé pour le 3D Secure lorsque l''émetteur l''exige. Aucun cookie publicitaire, analytique ou de suivi persistant n''est posé par Mul-Pay. Les données échangées comprennent le montant, la devise, le numéro de carte masqué, le cryptogramme et, pour certains moyens de paiement, les nom et coordonnées de l''acheteur nécessaires au contrôle anti-fraude.
Les cookies déposés pendant l''étape de paiement sont strictement nécessaires au sens de l''article 5(3) de la directive ePrivacy car ils permettent de fournir le service de paiement expressément demandé par l''acheteur, à savoir le traitement sécurisé de la transaction. Ils n''exigent pas de consentement et le marchand ne doit pas les bloquer via la CMP. Le traitement des données carte et de transaction repose sur l''exécution du contrat (art. 6(1)(b) RGPD) et sur des obligations légales liées à PCI DSS, à la LCB-FT et à la réglementation financière japonaise (art. 6(1)(c)). GMO Payment Gateway agit comme responsable de traitement indépendant pour les données anti-fraude et comme sous-traitant pour l''exécution de la transaction pour le compte du marchand.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En janvier 2019, la Commission européenne a reconnu le Japon comme offrant un niveau de protection adéquat, décision renouvelée en 2024. Les transferts de données personnelles européennes vers Mul-Pay ne nécessitent donc ni clauses contractuelles types ni évaluation d''impact du transfert. Le marchand doit toutefois s''assurer que les règles supplémentaires adoptées par la Personal Information Protection Commission japonaise (PPC) sont référencées dans le contrat et respectées par GMO Payment Gateway. La loi japonaise APPI s''applique également côté local et impose ses propres obligations à la passerelle.
Les cookies étant strictement nécessaires et le transfert reposant sur l''adéquation, le seuil du consentement n''est pas franchi pour la seule étape de paiement. Une AIPD est rarement requise pour la passerelle seule, mais elle doit être citée dans l''AIPD plus large couvrant la pile e-commerce. Les garanties à documenter sont les contrôles PCI DSS niveau 1, l''application de 3D Secure 2 sur les cartes UE, le chiffrement en transit, la tokenisation des numéros de carte et les durées de conservation des métadonnées de transaction (généralement 5 à 10 ans à des fins fiscales et LCB-FT).
Signez le DPA GMO Payment Gateway, référencez la décision d''adéquation UE Japon dans la notice de confidentialité et listez mul-pay.jp dans la politique cookies comme domaine de paiement. Configurez la CMP pour ne jamais bloquer la passerelle et affichez à l''étape de paiement un message clair indiquant la redirection vers un prestataire japonais. Activez 3D Secure 2 pour répondre à l''authentification forte du client imposée par DSP2 lorsque l''émetteur est en EEE. Documentez séparément la conservation des tokens et journaux de transaction des données marketing.
Les sites web utilisant Mul-Pay doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour la seule étape de paiement car Mul-Pay traite un jeu de données limité dans un cadre contractuel précis, sur une infrastructure japonaise couverte par la décision d'adéquation UE. Le marchand doit néanmoins documenter le flux dans le registre des activités, la conservation des métadonnées de transaction pour PCI DSS et LCB-FT (généralement 5 à 10 ans) et les sous-traitants utilisés par GMO Payment Gateway. Lorsque le 3D Secure est invoqué, la banque émettrice intervient comme acteur supplémentaire.
Exemple de texte de consentement
À l'étape du paiement, vous êtes redirigé vers la passerelle sécurisée Mul-Pay opérée par GMO Payment Gateway au Japon. Les cookies posés sur la page Mul-Pay sont strictement nécessaires au traitement sécurisé de votre paiement et à la prévention de la fraude ; ils ne nécessitent pas votre consentement. Aucune donnée de carte n'est conservée par le marchand : elle est traitée par Mul-Pay sous PCI DSS et transférée de l'UE vers le Japon sur la base de la décision d'adéquation.
Domaines tiers contactes
mul-pay.jpp01.mul-pay.jpp02.mul-pay.jpgmopg.jpCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| MULPAY_SESSION | strictly-necessary | Session | Session identifier set on mul-pay.jp that links the buyer payment form to the transaction record. Required to deliver the payment service requested by the buyer. |
| XSRF-TOKEN | strictly-necessary | Session | CSRF token used to validate form submissions on the Mul-Pay hosted payment page and prevent request forgery. |
| mulpay_3ds | strictly-necessary | 15 minutes | Short lived token used during the 3-D Secure 2 challenge flow to bind the issuer authentication step to the original transaction. |
Mul-Pay utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Mul-Pay n'écrit que des cookies strictement nécessaires sur le domaine mul-pay.jp pendant le flux de paiement : un identifiant de session reliant l'acheteur au registre de la transaction, un jeton XSRF pour la protection CSRF de la page de paiement hébergée et un jeton 3-D Secure éphémère lorsque l'émetteur exige l'authentification forte. Aucun cookie publicitaire, analytique ou de suivi persistant n'est posé.
Non. Les cookies déposés sur la page de paiement Mul-Pay sont strictement nécessaires au traitement de la transaction expressément demandée par l'acheteur. Au sens de l'article 5(3) ePrivacy, ils sont exemptés de consentement. Le marchand ne doit pas bloquer le domaine Mul-Pay via sa CMP, ce qui empêcherait l'aboutissement du paiement.
L'exécution du contrat (art. 6(1)(b) RGPD) est la base principale du traitement du paiement : sans lui, le marchand ne peut livrer l'achat. Les obligations légales (art. 6(1)(c)) couvrent PCI DSS, la LCB-FT et la réglementation financière japonaise. L'intérêt légitime (art. 6(1)(f)) peut soutenir la lutte contre la fraude menée de façon indépendante par GMO Payment Gateway.
Le Japon bénéficie d'une décision d'adéquation de la Commission européenne adoptée en janvier 2019 et renouvelée en 2024. Les transferts vers Mul-Pay sont donc licites sans clauses contractuelles types et sans TIA. Le marchand doit néanmoins référencer la décision d'adéquation dans sa notice de confidentialité et s'assurer que les règles supplémentaires adoptées par la Personal Information Protection Commission japonaise sont respectées par GMO Payment Gateway.
Une AIPD est rarement obligatoire pour la seule intégration de paiement car le jeu de données est limité, la finalité bien définie et le pays destinataire couvert par une décision d'adéquation. Mul-Pay doit néanmoins être référencé dans l'AIPD couvrant la pile e-commerce et dans le registre de l'article 30. Documentez la conservation des métadonnées de transaction (généralement 5 à 10 ans à des fins fiscales et LCB-FT) et la liste des sous-traitants fournie par GMO Payment Gateway.
Utilisez si possible l'API serveur à serveur pour que les données carte restent intégralement chez GMO Payment Gateway, ou utilisez la page de paiement hébergée en HTTPS avec un message clair indiquant la redirection vers un prestataire japonais. Signez le DPA avec GMO Payment Gateway, listez mul-pay.jp dans la politique cookies comme domaine de paiement et ne bloquez jamais la passerelle via la CMP. Activez 3-D Secure 2 pour répondre à l'authentification forte du client DSP2 lorsque l'émetteur est en EEE.
Oui. Adyen (Pays-Bas), Mollie (Pays-Bas), Worldline (France), Nexi (Italie) et Stripe Europe (Irlande) sont des prestataires de paiement européens couvrant des fonctionnalités équivalentes. Ils sont généralement préférés pour un commerce purement européen car ils éliminent toute dimension pays tiers. Mul-Pay reste le choix naturel lorsque le marché cible est le Japon et que les acheteurs attendent des moyens de paiement locaux comme Konbini ou Pay-easy.
Mentionnez Mul-Pay comme passerelle de paiement opérée par GMO Payment Gateway, Inc. sur le domaine mul-pay.jp, classez ses cookies comme strictement nécessaires et référencez la décision d'adéquation UE Japon dans la section transferts internationaux. Précisez que les cookies de paiement ne sont posés que pendant le flux de checkout, qu'ils ne sont pas accessibles au marchand et que l'acheteur peut consulter la politique de confidentialité de la passerelle sur le site Mul-Pay.