Stripe et RGPD en 2026 : encaisser en ligne en restant conforme

Stripe est la solution de paiement la plus utilisée par les freelances, e-commerçants et SaaS. C'est un service américain (Stripe, Inc.) qui traite pour votre compte des données personnelles et bancaires de vos clients. Voici comment l'utiliser sans accroc côté RGPD.

Les enjeux RGPD de Stripe

1. Stripe est votre sous-traitant

Quand un client paie, Stripe traite ses données (nom, email, adresse, informations de carte) pour votre compte : c'est un sous-traitant au sens de l'article 28 du RGPD. Vous devez donc disposer d'un DPA (accord de traitement des données).

Bonne nouvelle : le DPA de Stripe est intégré à ses conditions et accepté à la création du compte. Vérifiez-le dans Dashboard → Settings → Legal & compliance. Pour comprendre vos obligations, voir notre guide sous-traitant et DPA.

2. Transfert de données hors UE

Stripe, Inc. est basé aux États-Unis. Même avec un traitement partiellement en Europe (Stripe Payments Europe est en Irlande), l'entité mère reste américaine. C'est un transfert hors UE, encadré depuis 2023 par le Data Privacy Framework (DPF) auquel Stripe est certifié.

Concrètement : c'est légal, à condition de le mentionner dans votre politique de confidentialité. Détails sur le DPF et les clauses contractuelles types dans notre guide des transferts hors UE.

3. Données bancaires : qui est responsable ?

Vous ne stockez jamais les numéros de carte vous-même : Stripe est certifié PCI DSS niveau 1 et gère cette partie. Cela réduit fortement votre surface de risque. Vous restez néanmoins responsable de traitement pour les données que vous collectez (identité client, historique d'achat, factures).

Configurer Stripe pour être conforme

Étape 1 — Limiter les données collectées

Au checkout, ne demandez que le strict nécessaire (principe de minimisation). Si vous n'expédiez rien de physique, ne demandez pas l'adresse postale. Désactivez la collecte de champs inutiles dans Stripe Checkout.

Étape 2 — Gérer le consentement cookies

Stripe pose des cookies de détection de fraude (Stripe.js / Radar). Ces cookies sont liés à la sécurité du paiement : ils relèvent généralement de l'intérêt légitime (prévention de la fraude) et n'exigent pas de consentement préalable lorsqu'ils sont strictement nécessaires à la transaction. En revanche, si vous chargez Stripe.js sur toutes les pages alors qu'il n'est utile qu'au checkout, vous créez un dépôt de cookies injustifié.

Bonne pratique : ne chargez Stripe.js que sur les pages de paiement. Vérifiez le comportement réel avec notre bannière conforme et un scan.

Étape 3 — Mentionner Stripe dans la politique de confidentialité

Section type à inclure :

"Les paiements sont traités par Stripe Payments Europe Ltd (Irlande) et Stripe, Inc. (États-Unis), certifié au Data Privacy Framework. Les données traitées incluent : identité, email, montant et historique de transaction. Stripe agit en tant que sous-traitant et prestataire de services de paiement certifié PCI DSS. Base légale : exécution du contrat. Plus d'informations : stripe.com/fr/privacy."

Modèle complet : politique de confidentialité 2026.

Étape 4 — Durées de conservation

Les factures doivent être conservées 10 ans (obligation comptable). Les données clients liées au compte se conservent le temps de la relation commerciale, puis en archivage légal. Inscrivez Stripe et ces durées dans votre registre des traitements.

Et les alternatives européennes ?

Si vous souhaitez réduire le transfert hors UE :

• Mollie (Pays-Bas) — paiement en ligne UE, simple, tarifs proches de Stripe.
• Lemon Squeezy / Paddle — merchant of record, utiles pour les SaaS (gestion TVA incluse), mais entités hors UE à vérifier.
• Stancer ou Lyra/PayZen (France) — acteurs français pour l'e-commerce.

Évaluation honnête : Stripe reste le plus complet pour les SaaS et l'international. Le cadre DPF le rend parfaitement utilisable ; l'essentiel est la transparence dans vos mentions.

Checklist conformité Stripe

• [ ] DPA Stripe vérifié (Dashboard → Legal & compliance)
• [ ] Stripe mentionné dans la politique de confidentialité (DPF + finalités)
• [ ] Stripe.js chargé uniquement sur les pages de paiement
• [ ] Champs de checkout limités au nécessaire (minimisation)
• [ ] Durées de conservation définies (10 ans pour les factures)
• [ ] Stripe inscrit dans votre registre des traitements
• [ ] Procédure de réponse aux demandes d'accès/effacement (cf. droits RGPD)

Scannez votre site gratuitement pour détecter les scripts de paiement qui se chargent avant consentement sur des pages où ils ne sont pas nécessaires.