Si vous acceptez des paiements par carte en Europe, la conformité PCI DSS est obligatoire — sans exception. Ce guide pratique vous explique ce que cela signifie concrètement pour votre organisation : quelles réglementations s'appliquent, combien coûte réellement un audit, quels sont les délais imposés par PCI DSS v4, et pourquoi héberger vos données de carte dans l'UE n'est pas un luxe mais une nécessité.
Qui doit être conforme PCI DSS en Europe ?
PCI DSS s'applique à toute organisation qui stocke, traite ou transmet des données de compte de paiement. En pratique, cela concerne :
- Les marchands qui acceptent des cartes Visa, Mastercard, Amex, CB ou Discover
- Les prestataires de services de paiement (PSP, gateways)
- Les acquéreurs et les banques émettrices
- Les sous-traitants qui traitent des données de carte pour le compte d'autres entités
Il n'existe pas de seuil de volume en dessous duquel PCI DSS ne s'applique pas. Même un petit commerçant qui traite quelques dizaines de transactions par an est techniquement dans le scope. La différence réside dans le niveau de conformité requis et les méthodes de validation acceptées.
Les 4 niveaux marchands PCI DSS
PCI DSS classe les marchands en 4 niveaux selon leur volume de transactions annuelles. Ces niveaux déterminent les obligations de validation de conformité :
- Level 1 : plus de 6 millions de transactions/an — Rapport sur conformité (ROC) obligatoire, réalisé par un QSA certifié, et scans réseau trimestriels par un ASV agréé
- Level 2 : entre 1 et 6 millions de transactions/an — SAQ annuel (ou ROC optionnel), scans ASV trimestriels
- Level 3 : entre 20 000 et 1 million de transactions e-commerce/an — SAQ annuel, scans ASV trimestriels
- Level 4 : moins de 20 000 transactions e-commerce ou jusqu'à 1 million de transactions toutes catégories — SAQ annuel recommandé, scans ASV si applicable
Coûts réels d'un audit PCI DSS
Les coûts de conformité PCI DSS varient considérablement selon le niveau et la complexité de l'environnement. Pour un marchand Level 1, le coût total d'un programme de conformité annuel peut atteindre 100 000 € à 500 000 € en incluant : l'audit ROC par un QSA (15 000 à 50 000 €), les scans ASV trimestriels (2 000 à 8 000 €/an), les tests de pénétration (5 000 à 30 000 €), et les ressources internes dédiées.
Pour un marchand Level 4 utilisant un SAQ A (avec tokenisation et formulaire hébergé), les coûts se limitent souvent à quelques heures de travail annuelles pour remplir le questionnaire. C'est la raison pour laquelle la réduction du scope PCI DSS via la tokenisation est une stratégie financièrement très rentable.
PCI DSS v4.0 : délais et nouvelles exigences
PCI DSS v4.0 a introduit 64 nouvelles exigences. La date limite pour toutes les exigences futures était le 31 mars 2025. Parmi les changements les plus significatifs pour les marchands européens :
- Req. 6.4.3 : Gestion de tous les scripts de paiement côté client (inventaire, autorisation, intégrité)
- Req. 11.6.1 : Mécanisme de détection de modifications non autorisées sur les pages de paiement
- Req. 8.3.6 : Longueur minimale des mots de passe portée à 12 caractères
- Req. 12.3.2 : Analyse ciblée des risques pour les contrôles personnalisés
Pourquoi la résidence des données EU est fondamentale
Sous le RGPD, les données personnelles des résidents européens — dont les données de carte de paiement — ne peuvent être transférées vers des pays tiers qu'avec des garanties appropriées (clauses contractuelles types, décision d'adéquation, etc.). L'arrêt Schrems II a invalidé le Privacy Shield et complexifié les transferts vers les États-Unis.
Choisir un vault de tokens hébergé dans l'Union européenne élimine cette problématique à la racine : les données de carte restent dans l'UE, conformes au RGPD sans mécanisme additionnel. PCI Proxy EU héberge son infrastructure en Europe, avec des SLAs qui garantissent la résidence des données dans l'UE.
Stratégie de réduction du scope : l'approche recommandée
La stratégie la plus efficace pour simplifier et réduire le coût de la conformité PCI DSS est de réduire le scope — c'est-à-dire le nombre de systèmes, processus et personnes qui ont accès aux données de carte. La tokenisation est l'outil principal de cette réduction.
Avec PCI Proxy EU, les données de carte n'entrent jamais dans vos systèmes : elles sont capturées directement dans le vault sécurisé via un formulaire hébergé ou une API dédiée. Vos bases de données, serveurs applicatifs et équipes n'ont accès qu'aux tokens — et sont donc hors du scope PCI DSS. Résultat : un SAQ A au lieu d'un SAQ D, et une charge de conformité réduite de plus de 90 %.
Par où commencer votre programme de conformité ?
La première étape est une cartographie de vos flux de données de carte : où entrent-elles, comment transitent-elles, où sont-elles stockées ? Cette cartographie identifie votre CDE actuel. La deuxième étape est d'évaluer quels flux peuvent être tokenisés pour sortir du scope.
PCI Proxy EU propose un accompagnement à cette cartographie et à l'implémentation de la tokenisation. En quelques semaines, la plupart des marchands peuvent passer d'un scope PCI DSS étendu à un SAQ A ou SAQ A-EP, avec des économies significatives sur les coûts annuels de conformité.
Démarrez votre programme de conformité PCI DSS avec un accompagnement expert et une infrastructure européenne certifiée Level 1. Découvrir PCI Proxy EU.