Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Sogecommerce est la solution de paiement en ligne de Société Générale, l'un des principaux groupes bancaires français. Elle permet aux commerçants d'accepter les paiements par carte via une page sécurisée hébergée par la banque, avec prise en charge des grands réseaux de cartes, Apple Pay, Google Pay et SEPA. Sogecommerce gère la conformité PCI DSS, l'authentification 3D Secure et la détection de fraude côté banque, écartant ainsi les données carte des systèmes du marchand. Le traitement s'effectue exclusivement en France, ce qui en fait un choix solide pour les entreprises européennes soucieuses de la résidence des données.
Sogecommerce est le service d'acquisition en e-commerce opéré par Société Générale, l'une des principales banques de détail et d'entreprise françaises. Il permet aux commerçants d'encaisser des paiements à distance auprès de clients en Europe et au-delà, la banque jouant le rôle d'acquéreur et de processeur technique.
Lorsque le client arrive à l'étape de paiement, le marchand le redirige vers une page de paiement hébergée par Société Générale (ou l'affiche dans une iframe). Le client saisit ses données carte sur l'infrastructure bancaire, jamais sur le serveur du marchand. La banque gère l'authentification 3D Secure, le scoring antifraude et l'autorisation auprès du réseau de cartes, puis renvoie un statut de succès ou d'échec au marchand via un callback serveur à serveur.
Comme l'interaction avec le porteur de carte se déroule sur un domaine de Société Générale (typiquement payment.sogecommerce.com ou payment.systempay.fr selon la pile technique), la banque dépose ses propres cookies de session sur son propre domaine. Ces cookies sont essentiels pour maintenir la session de transaction sécurisée, prévenir les attaques CSRF et compléter le challenge 3D Secure.
Les données collectées pendant la transaction incluent le numéro de carte (tokenisé et jamais rendu en clair au marchand), la date d'expiration, le CVV, le nom du porteur, le montant, la devise et l'adresse IP pour le scoring antifraude. Le marchand ne reçoit qu'un identifiant de transaction et un token de paiement, pas les données carte brutes.
Société Générale agit en qualité de responsable de traitement indépendant au sens du RGPD pour les opérations bancaires liées à ses obligations légales (lutte contre le blanchiment, déclarations financières, prévention de la fraude). Le marchand reste responsable de la relation commerciale avec le client.
Au titre de la directive ePrivacy, les cookies déposés pendant une transaction de paiement relèvent de la catégorie strictement nécessaires : ils sont indispensables à la fourniture d'un service explicitement demandé par l'utilisateur, à savoir la finalisation immédiate du paiement. Ils sont donc exemptés de l'obligation de consentement de l'article 5(3) ePrivacy.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le traitement Sogecommerce se déroule dans les centres de données de Société Générale situés en France, sous la supervision de l'Autorité de contrôle prudentiel et de résolution (ACPR). Aucun transfert vers des pays tiers n'a lieu dans la configuration standard du service, ce qui en fait une solution adaptée aux marchands qui ont besoin d'un acquéreur français ou européen.
Des transferts indirects peuvent survenir via les réseaux de cartes (Visa, Mastercard) et les banques émettrices, mais ces flux sont inhérents à l'infrastructure mondiale du paiement par carte et sont encadrés par des cadres juridiques propres négociés par les réseaux eux-mêmes.
Référencez Sogecommerce dans votre politique de confidentialité comme prestataire de paiement et responsable conjoint pour le traitement spécifique au paiement. Indiquez clairement qu'aucun consentement n'est requis pour les cookies de paiement déposés pendant le checkout, puisqu'ils sont strictement nécessaires au sens de l'article 5(3) ePrivacy et de l'article 6, alinéa 1, lettre b RGPD.
Si vous réutilisez les tokens de transaction pour de la facturation récurrente ou du paiement en un clic, documentez la base légale appropriée (typiquement le contrat sous-jacent pour les abonnements, ou un opt-in explicite pour la tokenisation des cartes en vue d'utilisations ultérieures) et mettez à jour votre registre des activités de traitement.
Si vous évaluez Sogecommerce, les alternatives courantes dans la même catégorie résidente UE incluent Systempay du groupe BPCE (Banque Populaire et Caisse d'Epargne), Monext, Worldline (ex Atos), Adyen (Pays-Bas) et Stripe Europe (Irlande). Chacun adopte une posture différente sur la résidence des données, l'usage des cookies et les capacités de reporting.
Choisissez en fonction de l'empreinte géographique de vos clients, de la prise en charge des langues et devises, des besoins de facturation récurrente, et de la nécessité d'une intégration profonde avec la réconciliation bancaire française (auquel cas les banques françaises restent le choix le plus naturel).
Les sites web utilisant Sogecommerce doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise car Sogecommerce traite un ensemble limité de données de paiement sur une base légale strictement nécessaire. Toutefois, les responsables de traitement qui gèrent un volume important de transactions ou des secteurs sensibles (abonnements, dons politiques ou de santé) doivent documenter une analyse de risques couvrant le scoring antifraude, la conservation des journaux de transaction et la chaîne de sous-traitants impliqués dans le règlement interbancaire.
Exemple de texte de consentement
Nous utilisons Sogecommerce, opéré par Société Générale, pour traiter de manière sécurisée votre paiement par carte. Aucun consentement n'est requis : les cookies bancaires posés pendant le paiement sont strictement nécessaires pour finaliser votre transaction et respecter les obligations légales de lutte contre la fraude.
Domaines tiers contactes
sogecommerce.societegenerale.eupayment-webinit.sogecommerce.societegenerale.eusecurepayments.societegenerale.euCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| JSESSIONID | http | session | Manages the payer session on the hosted payment page during checkout. |
| SG_PAYMENT_TOKEN | http | session | Carries the one-time payment token between the bank and the merchant return URL. |
| XSRF-TOKEN | http | session | Prevents cross-site request forgery on bank forms. |
| 3DS_SESSION | http | session | Maintains state during 3D Secure strong customer authentication. |
Sogecommerce utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Sogecommerce dépose uniquement des cookies strictement nécessaires sur le domaine de la banque pendant le paiement : un identifiant de session, un jeton anti-CSRF, un jeton de paiement et un cookie d'état 3D Secure. Aucun cookie marketing ou de mesure d'audience n'est posé par la passerelle.
Non. Les cookies posés par Sogecommerce étant strictement nécessaires au traitement du paiement, l'article 82 de la loi Informatique et Libertés et l'article 5(3) de la directive ePrivacy les dispensent de consentement préalable. Mentionnez néanmoins Sogecommerce dans votre politique de confidentialité comme responsable autonome.
Société Générale s'appuie sur l'article 6(1)(b) du RGPD (exécution du contrat) pour le traitement de la transaction, et sur l'article 6(1)(c) (obligation légale) pour les contrôles antifraude et la conservation des registres bancaires. Le commerçant invoque les mêmes bases pour ses propres données de commande.
Aucun transfert systématique n'a lieu : le traitement et le stockage sont réalisés dans les centres de données de Société Générale en France. Certaines étapes de règlement Visa ou Mastercard peuvent impliquer des flux ponctuels hors UE lorsque la banque émettrice est hors UE, mais ils sont encadrés par les contrats des réseaux.
Une AIPD n'est généralement pas obligatoire car Sogecommerce traite un ensemble limité de données de paiement sur des bases strictement nécessaires et d'obligation légale. Les responsables qui gèrent un volume important de transactions, des abonnements ou des secteurs sensibles devraient néanmoins documenter une analyse de risques ciblée.
Mentionnez Sogecommerce dans votre politique de confidentialité comme responsable autonome, renvoyez vers la politique de Société Générale, décrivez l'étape 3D Secure dans le tunnel d'achat et configurez votre bandeau cookies pour traiter le flux de paiement comme strictement nécessaire et non comme un traceur optionnel.
Les passerelles bancaires européennes comparables incluent Adyen (Pays-Bas), Worldline (France/Belgique), BNP Mercanet (France), Crédit Agricole CAEPS ou Sherlock's de Banque Populaire. Des alternatives fintech comme Stripe et Adyen offrent plus de fonctionnalités mais peuvent ajouter des sous-traitants aux États-Unis ou dans d'autres pays tiers.
Listez Sogecommerce comme prestataire de paiement plutôt que comme traceur, indiquez que ses cookies sont strictement nécessaires et non soumis au consentement, renvoyez vers la politique de Société Générale, mentionnez la base légale et la durée de conservation, puis actualisez la mention à chaque mise à jour publiée par la banque.