Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Razorpay est une passerelle de paiement indienne et une plateforme financiere full stack fondee en 2014, basee a Bangalore. Elle permet aux commercants en ligne d'accepter les paiements par carte, UPI, virement, wallets et financement fractionne. Pour les commercants europeens servant des clients indiens, Razorpay implique un transfert transfrontalier de donnees de paiement vers l'Inde, pays sans decision d'adequation RGPD.
Razorpay est une passerelle de paiement indienne et une plateforme financiere full stack fondee en 2014 par Harshil Mathur et Shashank Kumar. Basee a Bangalore, elle sert plus de 10 millions d''entreprises en Inde et propose des paiements par carte, UPI, virement, wallets, EMI, abonnements, versements et credit. Elle est enregistree aupres de la Reserve Bank of India comme Payment Aggregator et certifiee PCI DSS niveau 1.
Razorpay traite les donnees d''instrument de paiement (numero de carte, date d''expiration, cryptogramme saisi, identifiant UPI, compte bancaire), le nom de l''acheteur, l''email, le telephone, l''adresse de facturation, l''IP, l''empreinte de l''appareil et le montant de la transaction. L''iframe de checkout servi depuis checkout.razorpay.com depose des cookies first party sur son propre domaine pour la continuite de session, la protection CSRF et la detection de fraude. En mode redirection ou page hebergee, Razorpay peut deposer des cookies d''attribution partenaire.
Pour les commercants europeens servant des clients indiens ou operant en Inde, Razorpay agit comme sous-traitant pour la transaction et comme responsable independant pour ses propres obligations de fraude et reglementaires. La directive ePrivacy s''applique aux cookies que la page du commercant deposerait, mais l''iframe Razorpay est sur un domaine tiers : un consentement pour les cookies non essentiels doit etre obtenu avant le chargement de l''iframe. Les cookies strictement necessaires a la realisation du paiement sont exemptes.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aucun consentement n''est requis pour les cookies de checkout strictement necessaires a la prevention de fraude et a la continuite de session. Le consentement est requis pour tout cookie analytique ou marketing charge dans l''overlay, et le commercant doit informer les utilisateurs du transfert vers l''Inde. La politique de confidentialite doit mentionner Razorpay comme sous-traitant et referencer les Clauses Contractuelles Types.
L''ensemble du traitement Razorpay a lieu en Inde, qui n''a pas de decision d''adequation au sens de l''art. 45 RGPD. Les transferts depuis l''UE necessitent donc des Clauses Contractuelles Types avec mesures supplementaires, une analyse d''impact des transferts et une notice aux personnes concernees. Les donnees de carte sont en outre partagees avec les reseaux internationaux. Le DPDPA 2023, le Telegraph Act et l''IT Act autorisent un acces des autorites indiennes, a analyser dans l''AIPD.
Signez l''Accord de traitement et les Clauses Contractuelles Types de Razorpay, realisez une analyse d''impact des transferts integrant les pouvoirs d''acces du gouvernement indien, listez Razorpay et ses sous-traitants dans votre Registre des activites de traitement, configurez le checkout pour ne se charger qu''apres consentement aux cookies non essentiels, informez du transfert vers l''Inde dans la politique et au moment du checkout, limitez les donnees transmises au strict necessaire et utilisez la tokenisation lorsque possible.
Les sites web utilisant Razorpay doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Razorpay traite les donnees de paiement et personnelles en Inde. Points cles AIPD : (1) absence de decision d'adequation RGPD pour l'Inde, transferts via CCT et analyse d'impact des transferts ; (2) les regles RBI imposent le stockage des donnees de paiement en Inde, ce qui limite les alternatives ; (3) Razorpay est certifie PCI DSS niveau 1 et enregistre aupres de la RBI comme Payment Aggregator ; (4) le iframe de checkout depose des cookies de prevention de fraude qui peuvent etre strictement necessaires, tandis que les cookies analytiques exigent consentement ; (5) Razorpay partage les donnees avec les reseaux de cartes (Visa, Mastercard, RuPay) et les banques acquereurs ; (6) le Digital Personal Data Protection Act 2023 modifie le cadre indien et doit etre reference dans l'analyse d'impact des transferts.
Exemple de texte de consentement
Nous utilisons Razorpay, une passerelle de paiement indienne, pour traiter vos paiements par carte, UPI et virement. Razorpay depose des cookies strictement necessaires sur sa fenetre de checkout pour la prevention de fraude et partage les donnees de transaction avec les reseaux de cartes et les banques acquereurs. Vos donnees de paiement sont transferees et stockees en Inde au titre des Clauses Contractuelles Types.
Domaines tiers contactes
razorpay.comcheckout.razorpay.comapi.razorpay.comcdn.razorpay.comlumberjack.razorpay.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| rzp_checkout_anonymous_token | Functional | Session | Anonymous session identifier set by the Razorpay checkout iframe to maintain context during the payment flow. |
| rzp_device_id | Functional | 1 year | Persistent device identifier used by Razorpay for fraud detection across payment sessions. |
| rzp_stored_user_id | Functional | 1 year | Stores a customer identifier when the buyer uses Razorpay saved instruments to speed up future checkouts. |
| csrf_token | Functional | Session | CSRF protection token used by the Razorpay checkout API to validate requests during a payment session. |
Razorpay utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Razorpay depose des cookies first party sur son domaine checkout.razorpay.com (rzp_checkout_*, rzp_device_id, rzp_stored_user_id, csrf_token) pour la continuite de session, l'empreinte de l'appareil et la detection de fraude. Ces cookies sont strictement necessaires au iframe de checkout. Tout cookie analytique dans l'overlay requiert un consentement.
Aucun consentement n'est requis pour les cookies strictement necessaires deposes par l'iframe pour traiter un paiement. Vous devez en revanche informer les utilisateurs du transfert vers l'Inde et de la qualite de sous-traitant de Razorpay. Si vous integrez le checkout avant consentement, seuls les cookies necessaires doivent etre charges.
L'execution du contrat (art. 6(1)(b) RGPD) couvre le traitement de la transaction demandee par le client. L'interet legitime (art. 6(1)(f) RGPD) couvre la prevention de fraude, la lutte contre le blanchiment et les obligations d'audit. Les cookies marketing dans le checkout exigent un consentement (art. 6(1)(a) RGPD).
L'ensemble du traitement Razorpay a lieu en Inde, principalement dans les data centres de Mumbai, avec sauvegarde dans d'autres regions indiennes. L'Inde n'a pas de decision d'adequation RGPD : les responsables UE doivent utiliser des CCT, documenter une analyse d'impact des transferts integrant les pouvoirs d'acces du gouvernement indien et informer les personnes concernees du transfert.
Une AIPD est recommandee pour tout commercant traitant des donnees via Razorpay en raison du transfert vers un pays tiers et du volume de donnees de paiement. Elle doit couvrir le transfert vers l'Inde, le partage avec les reseaux de cartes, le DPDPA 2023 et les regles RBI, la retention des donnees de paiement et les strategies de tokenisation.
Signez l'Accord de traitement et les CCT de Razorpay, realisez une analyse d'impact des transferts, limitez les donnees transmises au strict necessaire, privilegiez la tokenisation au stockage des donnees de carte brutes, mentionnez Razorpay dans votre politique de confidentialite et au checkout, et veillez a ce que le bandeau cookies ne charge aucun script non essentiel avant consentement.
Pour des flux UE, envisagez Stripe, Adyen, Mollie, Klarna ou Worldline, qui traitent principalement dans l'EEE et disposent de cadres CCT etablis. Razorpay reste pertinent si vous devez accepter specifiquement des paiements indiens (UPI, RuPay, banking indien).
Mentionnez Razorpay comme sous-traitant dans votre politique, nommez les categories de donnees de paiement partagees, declarez le transfert vers l'Inde, referencez les CCT et votre analyse d'impact des transferts, mentionnez les cookies deposes par l'iframe et leur finalite de prevention de fraude, et liez la politique de confidentialite et le DPA de Razorpay.