Mollie

Mollie B.V. est une besloten vennootschap néerlandaise (société à responsabilité limitée) immatriculée Keizersgracht 126, 1015 CW Amsterdam sous le numéro Kamer van Koophandel 30204462 et le numéro de TVA NL81.58.39.091.B01. Les marchands de l'EEE et de Suisse signent le contrat utilisateur Mollie B.V., régi par le droit néerlandais avec compétence des juridictions d'Amsterdam ; Mollie B.V. est agréée au titre de la loi néerlandaise de surveillance financière (Wft) et supervisée par De Nederlandsche Bank sous le numéro de relation F0038. Les marchands britanniques signent un contrat utilisateur séparé avec Mollie UK Ltd (Companies House 14013554, FCA FRN 977968), agréée depuis le 2 novembre 2023 par la Financial Conduct Authority au titre du Payment Services Regulations 2017, les litiges étant couverts par le Financial Ombudsman Service du Royaume-Uni. Les pays d'Europe continentale (Allemagne, France, Belgique, Italie, Espagne, Portugal, Autriche, Pologne, République tchèque, Hongrie, Slovénie, Roumanie, Grèce, Danemark, Suède, Finlande, Norvège, Irlande, Luxembourg) sont servis par passeport européen depuis l'agrément néerlandais ; il n'existe pas de Mollie GmbH ni de Mollie SAS distincte.

Mollie détient deux agréments financiers néerlandais sous le même numéro de relation DNB F0038 : une licence d'établissement de paiement au titre de la DSP2 (code WFTBI du registre public de DNB, détenue depuis 2012) et une licence d'établissement de monnaie électronique au titre de l'EMD2 (code de registre WFTEG de DNB, ajoutée le 16 janvier 2024). La licence EMI étend la capacité de Mollie à émettre de la monnaie électronique, à proposer des comptes à valeur stockée et à fournir des comptes IBAN locaux. Mollie UK Ltd est un établissement de paiement britannique distinct agréé par la Financial Conduct Authority sous le numéro FRN 977968 depuis le 2 novembre 2023 ; il n'est pas EMI britannique à la date de la dernière vérification. Mollie déclare en outre se conformer aux orientations de l'Autorité bancaire européenne sur la sécurité des paiements sur internet. Il n'existe pas d'agrément BaFin allemand, ACPR français ou NBB belge car le passeport européen depuis l'agrément néerlandais couvre ces marchés.

Mollie n'a aucune filiale aux États-Unis. Le groupe se compose de Mollie B.V. (Pays-Bas, société mère régulée par DNB), Stichting Mollie Payments (Pays-Bas, fondation de cantonnement sous la supervision de DNB via Mollie B.V.) et Mollie UK Ltd (Royaume-Uni, filiale régulée par la FCA). Il n'existe donc aucune entité juridique Mollie qu'un tribunal américain pourrait contraindre directement au titre du CLOUD Act. L'exposition passe par les sous-traitants et le socle Google Cloud : Mollie a migré sa plateforme applicative vers Google Cloud (calcul GKE, Cloud SQL, Cloud Storage, Cloud CDN, Cloud Load Balancing, Cloud DNS) selon l'étude de cas client publique de Google Cloud et observé via les en-têtes HTTP via: 1.1 google sur api.mollie.com. Parmi les autres sous-traitants immatriculés aux États-Unis figurent Zendesk (centre d'aide sur help.mollie.com), Cloudflare (edge devant help.mollie.com et docs.mollie.com), ReadMe (documentation développeur), Instatus (page de statut), Ekata (filiale de Mastercard, utilisée pour la vérification d'identité AML / KYC, citée dans la politique de confidentialité de Mollie) et Salesforce (cookies publicitaires et intégration commerce). La politique de confidentialité de Mollie prévoit explicitement les transferts hors EEE sous les clauses contractuelles types de l'UE ; la page sécurité affirme que les données sont stockées sur des serveurs néerlandais, ce qu'un acheteur de niveau achats devrait demander à Mollie de confirmer par écrit comme un épinglage à la région europe-west4 de Google Cloud (Eemshaven, Pays-Bas).

Pas sous forme de liste consolidée dédiée. Contrairement à Stripe, Adyen et Square, Mollie ne maintient pas d'index public unique des sous-traitants. Les sous-traitants sont référencés à deux endroits : (1) la politique de confidentialité sur mollie.com/legal/privacy nomme explicitement Ekata (vérification d'identité, contrôle AML et KYC) et fait référence à des catégories de sous-traitants incluant les fournisseurs d'infrastructure, les SaaS de service client et de CRM, les réseaux publicitaires et les partenaires de contrôle AML/CFT ; (2) la politique cookies sur mollie.com/cookies nomme Google DoubleClick, X (anciennement Twitter) et Salesforce comme exploitants de cookies publicitaires. La relation avec Google Cloud est documentée séparément sur la page d'étude de cas client publique de Google à cloud.google.com/customers/mollie. Des sondes DNS et HTTP en direct font en outre apparaître Zendesk, Cloudflare, ReadMe, Instatus et Framer comme exploitants des sous-domaines auxiliaires de Mollie. L'absence d'une liste consolidée de qualité DPA est une lacune documentée par rapport aux concurrents PSP plus grands de Mollie.

Mollie ne signe pas de DPA standard de sous-traitant au titre de l'article 28 avec les marchands. La position documentée sur la page DPA du centre d'aide est que Mollie et le marchand n'agissent pas sur instructions l'un de l'autre mais sont tous deux des responsables de traitement indépendants responsables des données personnelles qu'ils traitent. Cela reflète le statut de Mollie au titre de la DSP2 et de la Wwft néerlandaise (Wet ter voorkoming van witwassen en financieren van terrorisme) : l'établissement de paiement a ses propres obligations en matière d'AML, de KYC et de surveillance des transactions, indépendantes du statut de responsable du marchand. Concrètement, les marchands qui demandent un accord responsable-responsable ou un accord de responsabilité conjointe peuvent en obtenir un ; les marchands qui s'attendent à ce que Mollie agisse comme leur sous-traitant au titre de leur propre modèle de DPA constateront que Mollie repousse cette demande. La page d'atterrissage publiée du Data Processing Agreement sur mollie.com/legal/data-processing-agreement et l'article correspondant du centre d'aide guident les marchands à travers le processus.

Mollie détient PCI DSS niveau 1 pour le traitement des données carte au plus haut palier ; une attestation de conformité est disponible pour les marchands sur demande, bien que la période de validité de l'AoC ne soit pas publiée sur la page sécurité publique. Mollie publie également un rapport d'assurance ISAE 3402 Type 2 annuel avec Deloitte comme auditeur externe, couvrant le processus de paiement et les applications informatiques qui le supportent. ISO/CEI 27001 et SOC 2 ne sont pas affichés sur les pages sécurité publiques de Mollie ; soit Mollie les détient mais ne les communique pas, soit elle s'appuie sur sa pile d'assurance ISAE 3402 plus PCI DSS plus supervision DNB et FCA comme socle d'assurance. La nouvelle page sécurité fait également référence à une équipe interne de tests d'intrusion qui mène régulièrement des simulations de cyberattaque.

Le 11 décembre 2025, Mollie a signé l'acquisition de GoCardless Ltd, un spécialiste britannique du prélèvement (Companies House 07495895, FCA FRN 597190 agréée au titre du Payment Services Regulations 2017), pour environ 1,05 milliard EUR. Plus de 90 % de la contrepartie est en actions Mollie, le solde étant en numéraire. La clôture de l'opération est attendue mi-2026 sous réserve de l'approbation réglementaire de DNB, de la FCA et des autorités de la concurrence compétentes. Une fois clôturée, le groupe combiné servira 350 000 marchands européens et étendra matériellement la couverture de Mollie sur le Bacs Direct Debit britannique. La pile d'entités juridiques post-clôture ajoutera GoCardless Ltd (Royaume-Uni) aux côtés de Mollie UK Ltd (Royaume-Uni) et de Mollie B.V. (Pays-Bas) ; le DPA, la politique de confidentialité et l'exposition aux sous-traitants seront revus à la clôture. En mai 2026, l'opération n'avait pas encore clôturé et le contrat utilisateur Mollie B.V., la politique de confidentialité et les licences existants restent la base contractuelle pour les marchands européens.