Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Paddle

Que fait Paddle ?

Paddle est une plateforme de paiement britannique de type merchant of record (MoR), très utilisée par les éditeurs SaaS en Europe pour externaliser la facturation, la collecte de la TVA UE, la prévention de la fraude et le reporting. Le traitement principal se fait sur des régions AWS UE ; le Royaume-Uni bénéficie d'une décision d'adéquation. Le checkout hébergé Paddle ne dépose que des cookies first party strictement nécessaires, et en tant que MoR, Paddle gère la TVA et la facturation pour le compte du vendeur.

Qu''est-ce que Paddle ?

Paddle est une plateforme de paiement britannique fondée en 2012 à Londres, opérant comme merchant of record (MoR) pour les logiciels et produits numériques. Les vendeurs intègrent Paddle Checkout ou l''API Paddle Billing ; Paddle gère ensuite le traitement carte, la prévention de la fraude, le calcul et la collecte de la TVA UE, la facturation, le dunning et les chargebacks pour le compte du vendeur. Très utilisé par les éditeurs SaaS européens pour externaliser des opérations de facturation lourdes en conformité.

Cookies et données collectées

Paddle traite les données de paiement saisies par le client (numéro de carte, adresse de facturation, IP, pays pour la TVA), les métadonnées de commande envoyées par le vendeur, les signaux de risque pour la prévention de la fraude et la SCA, ainsi que l''email du client pour reçus et factures. Sur l''overlay de checkout hébergé, seuls des cookies first party strictement nécessaires sont déposés : cookie de session, jeton CSRF et un petit cookie de score de risque. Aucun cookie publicitaire ou comportemental n''est déposé.

Implications RGPD et ePrivacy

Pour les cookies du checkout Paddle, l''exemption de stricte nécessité de l''article 5(3) ePrivacy s''applique. Les données de paiement reposent sur l''exécution du contrat (art. 6(1)(b) RGPD), la conservation LCB FT, TVA UE et fiscale sur l''obligation légale (art. 6(1)(c)). Comme Paddle est le merchant of record, il agit comme responsable de traitement pour certaines parties (notamment la conformité fiscale et les chargebacks) et comme sous traitant pour d''autres. Mettez votre politique à jour en conséquence.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts et hébergement

Paddle.com Market Limited est immatriculé au Royaume-Uni, qui bénéficie d''une décision d''adéquation de la Commission européenne. Le traitement principal se fait sur les régions AWS UE de Francfort et Dublin, avec réplication vers le Royaume-Uni et des sous traitants US limités pour la prévention de la fraude et l''observabilité. Les clauses contractuelles types figurent dans le DPA Paddle pour tout transfert non adéquat.

Étapes pratiques de conformité

Signez le DPA Paddle depuis votre dashboard. Mentionnez Paddle comme merchant of record et sous traitant dans votre politique avec l''adéquation UK et l''hébergement AWS UE. Utilisez le Paddle Checkout hébergé pour limiter votre périmètre PCI DSS. Configurez SCA et règles de risque conformes à la DSP2. Définissez une durée de conservation des métadonnées alignée sur vos obligations LCB FT, TVA UE et fiscales. Documentez la répartition des responsabilités MoR (taxes, chargebacks, remboursements).

Categorie de consentement RGPD

Preferences

Les sites web utilisant Paddle doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance (Art. 6(1)(b) GDPR) for processing payment data necessary to complete a transaction the customer has initiated. Legal obligation (Art. 6(1)(c)) for AML, EU VAT and tax record keeping (Paddle acts as merchant of record). Cookies on the Paddle hosted checkout are strictly necessary and exempt from consent under Art. 5(3) ePrivacy.

Niveau de risquelow

Reglementations applicablesGDPR, UK GDPR, ePrivacy Directive 2002/58/EC, PSD2, EU VAT Directive (Council Directive 2006/112/EC), AMLD5, PCI DSS

Considerations AIPD

Une AIPD n'est généralement pas requise pour la facturation SaaS standard via Paddle. Elle peut devenir pertinente si elle est combinée à un profilage client étendu, à des flux produits transfrontaliers ou à des données sensibles liées aux paliers d'abonnement.

Exemple de texte de consentement

Les paiements et la facturation sur ce site sont assurés par Paddle (Paddle.com Market Limited, Royaume-Uni), notre merchant of record. Paddle traite vos données de paiement et la TVA UE au titre du contrat et des obligations légales sur infrastructure AWS UE. Voir notre politique de confidentialité.

Details techniques

Methode de suivimerchant of record SaaS payment platform; hosted Paddle Checkout overlay or Paddle Billing API with first party session and risk cookies on the Paddle hosted pages

Localisation des serveursEuropean Union (Paddle.com Market Limited, London, United Kingdom; primary EU processing on AWS regions in Frankfurt and Dublin)

Suivi sans cookie disponibleOui

Donnees transferees hors UEPaddle.com Market Limited is a UK company. The UK benefits from a European Commission adequacy decision under the GDPR. EU customer data is processed primarily on AWS EU regions (Frankfurt, Dublin) with replication to the UK and limited US sub processors for fraud prevention. Standard Contractual Clauses are included in the Paddle DPA for any transfer outside the EEA or the UK.

Domaines tiers contactes

paddle.comcheckout.paddle.comcdn.paddle.combuy.paddle.com

Cookies deposes

Nom	Type	Duree	Finalite
paddle_session	first_party	Session	Strictly necessary session cookie used to maintain the customer session on the Paddle hosted checkout while a payment is in progress.
paddle_csrf	first_party	Session	CSRF protection token used to validate the payment form submission on the Paddle hosted checkout.
paddle_risk	first_party	30 minutes	Strictly necessary risk score cookie used by Paddle for fraud prevention during the transaction.

Paddle utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Paddle dépose-t-il ?

Sur l'overlay de checkout hébergé Paddle, seuls des cookies first party strictement nécessaires sont déposés : un cookie de session (paddle_session), un jeton CSRF (paddle_csrf) et un petit cookie de score de risque (paddle_risk) utilisé pour la prévention de la fraude pendant la transaction. Paddle ne dépose pas de cookies publicitaires ou comportementaux.

Faut-il un consentement pour utiliser Paddle ?

Aucun bandeau n'est nécessaire pour afficher le checkout hébergé Paddle car les cookies en question sont strictement nécessaires au sens de l'article 5(3) ePrivacy. Le consentement ne devient pertinent que si vous intégrez des composants marketing Paddle optionnels sur vos propres pages, ce que Paddle ne requiert pas par défaut.

Quelle est la base légale du traitement des données de paiement via Paddle ?

Exécution du contrat (art. 6(1)(b) RGPD) pour les données nécessaires à la transaction. Obligation légale (art. 6(1)(c)) pour la conservation LCB FT, TVA UE et fiscale (Paddle est merchant of record pour ces obligations). Les cookies strictement nécessaires du checkout reposent sur l'article 5(3) ePrivacy.

Paddle transfère-t-il des données hors UE ?

Paddle.com Market Limited est immatriculé au Royaume-Uni, qui bénéficie d'une décision d'adéquation de la Commission européenne. Le traitement principal a lieu sur les régions AWS UE de Francfort et Dublin, avec réplication vers le Royaume-Uni et des sous traitants US limités pour la prévention de la fraude et l'observabilité. Les clauses contractuelles types figurent dans le DPA Paddle pour tout transfert non adéquat.

Faut-il une AIPD pour Paddle ?

Une facturation SaaS standard via Paddle ne nécessite normalement pas d'AIPD. Elle peut devenir pertinente si elle est combinée à un profilage client étendu, à des flux produits transfrontaliers ou à des données sensibles liées aux paliers d'abonnement.

Comment intégrer Paddle de manière conforme ?

Signez le DPA Paddle depuis votre dashboard. Mentionnez Paddle comme merchant of record et sous traitant dans votre politique avec l'adéquation UK et l'hébergement AWS UE. Utilisez le Paddle Checkout hébergé pour limiter votre périmètre PCI DSS. Configurez SCA et règles de risque conformes à la DSP2. Définissez une durée de conservation des métadonnées alignée sur vos obligations LCB FT, TVA UE et fiscales.

Quelles alternatives à Paddle pour la facturation SaaS en UE ?

Autres plateformes merchant of record : Lemon Squeezy (US), FastSpring (US) et les solutions européennes ConsentMagic / 2Checkout. Pour des options UE non MoR, Stripe Billing, les abonnements Mollie et Adyen Subscriptions gèrent les paiements récurrents tout en laissant la conformité TVA UE au vendeur.

Comment mettre à jour la politique de cookies pour Paddle ?

Pour la plupart des configurations, aucune mise à jour du bandeau n'est nécessaire car Paddle ne dépose que des cookies strictement nécessaires au sens de l'article 5(3) ePrivacy. Mettez à jour la politique pour mentionner Paddle comme merchant of record et sous traitant, l'adéquation UK, l'hébergement AWS UE et la base légale pour chaque étape (paiements, TVA, anti-fraude).

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min