À lire d'abord. Mercanta n'est pas un Prestataire de Services de Paiement, ni un établissement de monnaie électronique, ni une banque, ni une institution financière régulée. Nous ne détenons pas de fonds clients. Nous ne réglons pas de transactions. Nous sommes un éditeur logiciel. Stripe, Inc. est la partie régulée dans chaque flux de paiement. Lorsque nous décrivons une fonctionnalité comme « Mercanta fait X », nous voulons dire que le logiciel Mercanta orchestre les services régulés de Stripe pour faire X en votre nom. Mercanta n'est pas une institution de paiement régulée. Tous les paiements, payouts et fonctions merchant-of-record sont assurés par Stripe, Inc.
01Ce que Mercanta est — et ce que Stripe est
| Fonction | Assurée par |
|---|---|
| Autorisation, capture, règlement carte | Stripe Inc. |
| KYC marchand et souscription du compte | Stripe Inc. |
| Détention des fonds & payout vers votre banque | Stripe Inc. |
| Conformité aux réseaux carte (Visa, Mastercard, etc.) | Stripe Inc. |
| Gestion des litiges et réponses aux chargebacks | Stripe Inc. (avec nos outils) |
| Déclarations fiscales aux autorités | Stripe Inc. |
| Checkout hébergé & composants embarqués | Mercanta SASU |
| Dashboard marchand et analytics | Mercanta SASU |
| Automation webhooks, intégrations, e-mails de récupération | Mercanta SASU |
| Support client pour les questions logicielles | Mercanta SASU |
| Stockage du profil marchand et des données opérationnelles | Mercanta SASU |
02PCI-DSS
Le standard PCI-DSS (Payment Card Industry Data Security Standard) régit toute entité stockant, traitant ou transmettant des données carte. L'architecture de Mercanta est délibérément conçue pour éviter de manipuler des données carte :
- Les numéros de carte sont collectés via Stripe Elements, servis directement depuis
js.stripe.com. Ils ne traversent jamais les serveurs Mercanta. - Nous ne recevons que des tokens générés par Stripe (par exemple
pm_xxx,cus_xxx) qui sont inutilisables en dehors de l'environnement Stripe. - Cela place les marchands Mercanta dans le périmètre PCI-DSS SAQ-A (le plus petit et le plus simple) plutôt que le périmètre SAQ-D ou la certification PCI-DSS Niveau 1 complète exigée des gestionnaires directs de carte.
Stripe maintient sa certification PCI-DSS Niveau 1 annuellement pour l'environnement des données carte. Mercanta ne revendique ni n'affiche aucune certification PCI-DSS de son propre chef — nous n'en avons pas besoin, par conception.
Votre responsabilité en tant que marchand : compléter un questionnaire SAQ-A annuel (une page, environ 15 questions) et maintenir HTTPS sur vos pages redirigeant vers le checkout. Stripe fournit ce questionnaire dans votre dashboard.
03RGPD (UE / Royaume-Uni)
Pour les données personnelles des personnes concernées en UE/UK :
- Données personnelles des clients finaux — Mercanta est sous-traitant, vous (le marchand) êtes le responsable de traitement, Stripe est sous-traitant ultérieur.
- Données personnelles du marchand (votre nom, e-mail en tant que titulaire de compte) — Mercanta est responsable de traitement.
Notre Politique de confidentialité décrit les bases légales sur lesquelles nous nous appuyons, les catégories de données traitées et les droits exerçables. Un Data Processing Agreement (DPA) signé incorporant les Clauses Contractuelles Types européennes est disponible sur demande pour les clients Maison et Sur-mesure — écrivez à contact@mercanta.io avec « DPA request » en objet.
04CCPA / CPRA (Californie)
Mercanta respecte les droits des résidents californiens à accéder, corriger, supprimer et porter leurs données personnelles, et à se désinscrire de toute « vente » ou « partage » — auxquelles Mercanta ne participe pas. Nous honorons automatiquement les signaux Global Privacy Control (GPC). Voir notre Politique de confidentialité pour la procédure.
05Résidence des données
L'infrastructure principale Mercanta est hébergée dans la région AWS eu-central-1 (Francfort, Allemagne). Les sauvegardes sont répliquées vers eu-west-3 (Paris, France). Les données personnelles des marchands UE restent en UE. Pour les marchands hors UE, l'hébergement par défaut reste UE, sauf demande contraire.
La résidence des données Stripe est contrôlée par Stripe et décrite dans la documentation Stripe sur la résidence des données.
06Sous-traitants
Liste actuelle des sous-traitants Mercanta (entités traitant des données personnelles en notre nom) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe, Inc. | Traitement des paiements & données marchand | USA · Irlande |
| Amazon Web Services, Inc. | Hébergement infrastructure & stockage | UE (Francfort, Paris) |
| Cloudflare, Inc. | CDN, protection DDoS, sécurité edge | Edge mondial |
| Postmark (ActiveCampaign LLC) | E-mails transactionnels | USA |
| Plausible Insights OÜ | Analytics privacy-friendly (sans cookies) | Union européenne |
| Google Workspace | E-mail interne et SSO | USA / UE |
Les changements matériels de cette liste seront communiqués aux clients au moins 30 jours à l'avance. Les clients Sur-mesure peuvent pré-approuver les sous-traitants via leur MSA.
07SOC 2 — feuille de route
Nous ne sommes pas certifiés SOC 2 au moment de la rédaction. Notre feuille de route vise un SOC 2 Type I dans les 12 mois suivant la disponibilité générale, suivi d'un audit SOC 2 Type II couvrant une période de 12 mois. Nous publierons la date d'achèvement de l'audit sur cette page et sur notre page de statut.
08Sanctions & lutte contre le blanchiment
La vérification d'identité marchand, le filtrage de sanctions (listes OFAC, UE, UK) et la surveillance LCB-FT continue sont assurés par Stripe dans le cadre de son programme d'onboarding et de monitoring de compte. Mercanta ne duplique pas ces contrôles. Nous filtrons toutefois et interdisons certaines catégories d'activité dans notre Politique d'usage acceptable, qui reflète la liste des activités restreintes de Stripe.
09Reporting fiscal
Les déclarations fiscales aux autorités compétentes (formulaire 1099-K aux États-Unis au-delà des seuils fédéraux et étatiques, déclarations DAC7 dans l'UE le cas échéant) sont effectuées par Stripe et délivrées électroniquement via le Stripe Dashboard. Mercanta n'émet pas de formulaires fiscaux. Le reporting fiscal international suit les exigences de chaque pays et est géré par Stripe lorsqu'il s'applique.
Les obligations fiscales propres à Mercanta (impôt sur les sociétés sur les revenus de frais de plateforme) sont déclarées par Mercanta SASU auprès de l'administration fiscale française.
10DPA, CCT & questionnaires de sécurité
Disponibles sur demande :
- Accord de Traitement des Données (DPA) avec annexe listant les sous-traitants
- Clauses Contractuelles Types (CCT, Module 2 ou 3 selon le cas)
- UK International Data Transfer Addendum (IDTA)
- Questionnaire de sécurité fournisseur complété (SIG Lite, CAIQ, ou custom)
- Synthèse de test d'intrusion (dès qu'elle sera disponible, sous NDA)
Demandez-les en écrivant à contact@mercanta.io avec pour objet « Compliance package ».
11Contact
Mercanta SASU · Attn : Conformité
47 rue Vivienne, 75002 Paris, France
France
contact@mercanta.io · +33 7 80 97 83 80