Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Unipag est une passerelle de paiement et un agrégateur russe qui expose un point d'intégration unique vers plusieurs moyens de paiement régionaux. Le flux est côté serveur : l'acheteur est redirigé vers une page hébergée par Unipag ou interagit avec un iframe Unipag, sans que le marchand ne collecte de données bancaires. Si les cookies strictement nécessaires ne demandent pas de consentement, le transfert des métadonnées de paiement et des adresses IP vers la Russie déclenche les garanties de l'article 46 du RGPD.
Unipag est une passerelle de paiement et un agrégateur russe qui expose une API unique et un checkout hébergé aux marchands souhaitant accepter plusieurs moyens de paiement régionaux d''un seul tenant. Plutôt que d''intégrer chaque acquéreur et chaque portefeuille séparément, le marchand s''intègre à Unipag, qui route ensuite chaque transaction vers le processeur en aval approprié. Cette consolidation simplifie la réconciliation et réduit le nombre de frontières PCI à maintenir côté marchand.
L''intégration est côté serveur. L''acheteur est soit redirigé depuis le checkout du marchand vers une page de paiement hébergée par Unipag, soit invité à saisir ses informations de carte dans un iframe Unipag intégré à la page du marchand. Dans les deux cas, les données de paiement sensibles n''atteignent jamais le serveur du marchand, ce qui maintient ce dernier hors du périmètre PCI DSS le plus strict. Des cookies sont posés sur le domaine Unipag pour maintenir la session de paiement, protéger contre le CSRF et alimenter les modèles de scoring de risque.
Lors de l''étape de paiement, Unipag collecte les données du titulaire le cas échéant, les informations de facturation, l''adresse IP, l''agent utilisateur, des signaux de fingerprinting et des traits comportementaux utilisés par les modèles anti-fraude. Le marchand transmet la référence de commande, le montant, la devise et un identifiant client. Les cookies posés sur le domaine Unipag portent la session de paiement, des jetons anti-CSRF et des identifiants de scoring de courte durée ; ces cookies restent sur le domaine Unipag et ne sont pas accessibles directement depuis le site marchand.
Après le paiement, Unipag retourne un statut, un identifiant de transaction et, le cas échéant, une référence tokenisée permettant des paiements ultérieurs sans recollecter les données de carte. Ce token, associé à l''identifiant client, constitue une donnée personnelle au sens du RGPD même s''il ne s''agit pas du PAN. La conservation est dictée par la lutte contre le blanchiment, le droit comptable et le contrat marchand.
Du point de vue ePrivacy, les cookies de paiement posés sur le domaine Unipag sont strictement nécessaires à l''exécution de la transaction expressément demandée par l''utilisateur. Ils relèvent de l''exemption de l''article 5(3) et n''exigent pas de consentement préalable. Le marchand n''a pas besoin d''encadrer la redirection par une barrière de consentement, mais la politique de cookies doit néanmoins décrire ces cookies et leur finalité.
Sur le terrain du RGPD, la base légale est l''exécution du contrat pour le paiement (article 6(1)(b)), l''obligation légale pour la conservation LCB-FT et comptable (article 6(1)(c)) et l''intérêt légitime pour la prévention de la fraude et la gestion des litiges (article 6(1)(f)). Unipag agit comme sous-traitant du marchand pour l''instruction de paiement et comme responsable indépendant pour les obligations de scoring anti-fraude et LCB-FT qui lui sont propres.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le point structurel d''Unipag est que les métadonnées de paiement, les adresses IP, les signaux comportementaux et les identifiants client sont transmis à une infrastructure située en Fédération de Russie. La Russie ne dispose pas de décision d''adéquation européenne : le marchand doit donc mettre en place des garanties valides au titre de l''article 46, le plus souvent les clauses contractuelles types 2021, et conduire une analyse d''impact sur les transferts afin d''évaluer le risque d''accès par les autorités russes et l''efficacité des mesures supplémentaires.
En outre, la loi fédérale russe 152-FZ impose un stockage local des données personnelles des résidents russes, ce qui peut conduire Unipag à conserver des copies de données en Russie et complique les demandes d''effacement. Les marchands doivent aussi prendre en compte que le contexte politique et le régime de sanctions peuvent limiter les voies de recours offertes aux clients européens, un élément qui pèse fortement dans l''analyse du risque résiduel.
Une AIPD est recommandée pour tout marchand européen recourant à Unipag. Elle doit décrire le flux de paiement, les catégories de données, les destinataires en Russie, les durées dictées par la comptabilité et la LCB-FT, les mesures supplémentaires (chiffrement, pseudonymisation, limites contractuelles d''accès) et le risque résiduel pour les personnes concernées. Le marchand doit aussi documenter le droit à l''information dans la politique de confidentialité, avec mention explicite du pays de destination.
Concrètement : signez l''accord de sous-traitance, archivez l''analyse d''impact sur les transferts, mentionnez la Russie dans la politique de confidentialité et alignez les durées de conservation sur la DSP2 et la LCB-FT plutôt que sur un stockage indéfini. Pour des bases clients exclusivement européennes, envisagez Stripe, Adyen, Mollie, Worldline ou un acquéreur domestique : ces alternatives maintiennent les données de carte et les métadonnées dans l''EEE et évitent le risque de transfert vers la Russie qui domine l''analyse d''Unipag.
Les sites web utilisant Unipag doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Même si les cookies sont strictement nécessaires, une AIPD se justifie car Unipag traite des données de transaction financière, des adresses IP, des signaux d'appareil et des identifiants client, et les route vers une infrastructure située en Fédération de Russie. L'AIPD doit couvrir le risque d'accès par les autorités russes, la conservation au titre de la LCB-FT et de la DSP2, les mesures supplémentaires et la faisabilité d'un acquéreur européen.
Exemple de texte de consentement
Les paiements sur ce site sont traités par Unipag, qui reçoit vos données de paiement, votre adresse IP et les informations de commande, et les stocke sur des serveurs situés en Fédération de Russie. Ce traitement est strictement nécessaire pour exécuter la transaction que vous demandez, c'est pourquoi nous ne vous demandons pas de consentement pour les cookies de paiement. Consultez la politique de confidentialité pour les garanties appliquées à ce transfert international.
Domaines tiers contactes
unipag.compay.unipag.comapi.unipag.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| unipag_sid | Strictly necessary | Session | Maintains the payment session between the merchant redirect, the Unipag hosted page and the callback to the merchant. |
| unipag_csrf | Strictly necessary | Session | Anti-CSRF token protecting the payment form against cross-site request forgery attacks. |
| unipag_risk | Strictly necessary | 30 minutes | Short-lived risk scoring identifier used by the anti-fraud engine during a single payment attempt. |
| unipag_3ds | Strictly necessary | 15 minutes | Carries the state of the 3-D Secure authentication challenge between the issuer ACS and the Unipag flow. |
Unipag utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Unipag dépose des cookies strictement nécessaires sur son propre domaine : un cookie de session de paiement, un jeton anti-CSRF, un identifiant de scoring de risque de courte durée et un cookie d'état pour l'authentification 3-D Secure. Ces cookies restent sur le domaine Unipag et ne sont pas lisibles directement depuis le site marchand. Aucun cookie marketing ou analytics n'intervient dans le flux de paiement central.
Aucun consentement via bannière n'est requis pour les cookies de paiement eux-mêmes : ils sont strictement nécessaires pour exécuter la transaction expressément initiée par l'utilisateur. Le marchand doit néanmoins décrire ces cookies dans la politique de cookies et recueillir un consentement pour toute autre technologie de suivi (analytics, marketing) chargée ailleurs sur le site.
Exécution du contrat (article 6(1)(b) RGPD) pour l'instruction de paiement elle-même, obligation légale (article 6(1)(c)) pour la conservation LCB-FT et comptable, intérêt légitime (article 6(1)(f)) pour la prévention de la fraude et la gestion des litiges. Chaque base doit être restituée dans la politique de confidentialité avec un périmètre clair.
Les métadonnées de paiement, les adresses IP et les identifiants client sont transmis à l'infrastructure Unipag en Fédération de Russie. Le marchand doit signer les clauses contractuelles types, finaliser une analyse d'impact sur les transferts, documenter les mesures supplémentaires et mentionner la Russie comme pays de destination dans la politique de confidentialité. Le risque résiduel est généralement jugé élevé.
Une AIPD est recommandée. Des données financières, des adresses IP, des signaux comportementaux et des identifiants client quittent l'EEE vers un pays non adéquat et alimentent un scoring antifraude automatisé. Deux critères du CEPD sont remplis (données financières à grande échelle et transferts à risque), ce qui justifie une analyse formelle de la chaîne de transfert et du risque résiduel pour les personnes concernées.
Signez l'accord de sous-traitance et les CCT, finalisez l'analyse d'impact sur les transferts, documentez les mesures supplémentaires (TLS en transit, pseudonymisation des identifiants client, contrôles d'accès), alignez la conservation sur la DSP2 et la LCB-FT, mentionnez la Russie dans la politique de confidentialité et offrez aux clients un point de contact clair pour leurs droits.
Oui. Stripe, Adyen, Mollie, Worldline, Nexi et de nombreux acquéreurs domestiques offrent une agrégation comparable des moyens de paiement européens tout en gardant les données dans l'EEE. Pour des verticales spécifiques (abonnements, places de marché, BNPL), des spécialistes régionaux proposent également une résidence des données dans l'UE.
Ajoutez une ligne dans le tableau de cookies pour chaque cookie Unipag (unipag_sid, unipag_csrf, unipag_risk, unipag_3ds), en précisant type, durée et finalité. Dans la rubrique des transferts internationaux, nommez la Fédération de Russie, citez les CCT de l'article 46 et renvoyez à l'analyse d'impact sur les transferts. Listez Unipag parmi les sous-traitants et mettez à jour la politique à chaque évolution du flux de paiement.