Les niveaux marchands PCI DSS déterminent le type et l'étendue des obligations de conformité auxquelles vous êtes soumis. Comprendre à quel niveau vous appartenez est la première étape de tout programme de conformité PCI DSS — et la bonne nouvelle est que la grande majorité des marchands européens peuvent réduire significativement leurs obligations en adoptant la tokenisation.
Comment les niveaux marchands sont définis
Les niveaux marchands PCI DSS sont définis indépendamment par chaque réseau de cartes (Visa, Mastercard, American Express, Discover). Les seuils peuvent légèrement varier d'un réseau à l'autre, mais la logique commune repose sur le volume annuel de transactions. Votre niveau est déterminé par votre volume sur le réseau qui vous classe au niveau le plus élevé — si vous êtes Level 2 chez Visa et Level 3 chez Mastercard, vous êtes Level 2 au sens global.
Il est important de noter que les volumes comptés incluent toutes vos transactions sur le réseau concerné, tous canaux confondus : e-commerce, points de vente physiques, MOTO. Un marchand omnicanal qui traite 500 000 transactions Visa en boutique et 600 000 sur son e-commerce est en Level 2 chez Visa (1,1 million total), pas en Level 3. Un incident de sécurité peut également entraîner un reclassement forcé en Level 1, quelle que soit votre volume.
Level 1 : les grandes entreprises
Le Level 1 s'applique aux marchands traitant plus de 6 millions de transactions Visa ou Mastercard par an (les seuils peuvent varier légèrement selon le réseau et la région). Les marchands Level 1 sont soumis aux obligations de conformité les plus strictes : un audit QSA annuel complet (Report on Compliance — ROC) réalisé par un Qualified Security Assessor certifié par le PCI SSC, des analyses de vulnérabilité ASV trimestrielles, et des tests de pénétration annuels.
Le coût d'un audit QSA complet pour un marchand Level 1 varie typiquement entre 50 000 et 300 000 euros selon la taille du CDE, la complexité de l'architecture et la durée de l'audit. À ces coûts s'ajoutent les coûts de remédiation des non-conformités identifiées, les coûts des analyses ASV et des tests de pénétration. Un programme de conformité Level 1 représente facilement 200 000 à 500 000 euros par an pour une grande entreprise avec un CDE étendu. La tokenisation, en réduisant le CDE, peut réduire significativement ces coûts même pour un marchand Level 1.
Level 2 : les marchands moyens
Le Level 2 concerne les marchands traitant entre 1 et 6 millions de transactions Visa ou Mastercard par an. Les obligations sont légèrement moins strictes qu'en Level 1 : un SAQ annuel avec attestation (éventuellement assisté par un QSA ou un ISA certifié), des analyses ASV trimestrielles et des tests de pénétration annuels. Certains acquéreurs peuvent exiger un audit QSA même pour des marchands Level 2, notamment si l'architecture est complexe ou si un incident a eu lieu.
Pour un marchand Level 2 utilisant des hosted payment fields et un vault de tokenisation PCI Proxy EU, le SAQ applicable est généralement le SAQ A (22 exigences). La complétion du SAQ A peut être réalisée en interne en quelques heures, sans intervention obligatoire d'un QSA. Les analyses ASV portent sur les composants de l'infrastructure exposés à internet — avec un CDE minimal grâce à la tokenisation, cette analyse est simple et peu coûteuse.
Level 3 et Level 4 : les PME et petits marchands
Le Level 3 concerne les e-commerçants traitant entre 20 000 et 1 million de transactions Visa ou Mastercard par an. Le Level 4 concerne les marchands traitant moins de 20 000 transactions e-commerce par an ou moins d'1 million de transactions tous canaux confondus — c'est le niveau auquel appartient la grande majorité des PME françaises.
Pour les marchands Level 3 et 4, les obligations sont un SAQ annuel et des analyses ASV trimestrielles (recommandées, et parfois obligatoires selon l'acquéreur). En pratique, beaucoup de marchands Level 4 ne complètent pas leur SAQ faute de ressources ou de connaissance des obligations — ce qui constitue une non-conformité contractuelle avec leur acquéreur, même si les sanctions ne sont appliquées qu'en cas d'incident. La tokenisation réduit le SAQ applicable au SAQ A, rendant la démarche accessible en quelques heures même pour une petite équipe.
Comment la tokenisation change l'équation des niveaux marchands
La tokenisation ne change pas votre niveau marchand — celui-ci reste déterminé par votre volume de transactions. Mais elle change radicalement le type de SAQ applicable et donc la charge de conformité associée à votre niveau. Sans tokenisation, un marchand Level 4 avec un site e-commerce utilisant une intégration directe peut se trouver contraint de compléter un SAQ D (329 exigences) — une charge disproportionnée par rapport à sa taille.
Avec PCI Proxy EU et ses hosted payment fields, ce même marchand Level 4 peut compléter un SAQ A (22 exigences). La réduction est de plus de 93 % du nombre d'exigences à vérifier. Pour les marchands Level 2 et 3, l'impact est similaire. Seuls les marchands Level 1 avec des architectures complexes non tokenisées (par exemple des réseaux de terminaux de paiement en point de vente) ne bénéficient pas d'une réduction de SAQ — mais la tokenisation réduit quand même leur CDE et donc la durée et le coût de leur audit QSA.
Questions fréquentes
Comment connaître mon niveau marchand actuel ?
Votre acquéreur (la banque ou le PSP avec lequel vous avez votre contrat d'acceptation de cartes) vous communique votre niveau marchand. Si vous n'avez pas reçu cette information, contactez votre acquéreur et demandez explicitement votre niveau PCI DSS et les obligations associées. Certains acquéreurs affichent cette information dans leur portail marchand. Si vous avez plusieurs acquéreurs, votre niveau est le plus élevé parmi ceux assignés par chacun.
Peut-on "descendre" de niveau en réduisant son volume de transactions ?
Théoriquement oui — si votre volume annuel passe sous le seuil d'un niveau, vous pouvez demander à votre acquéreur de réviser votre classification. En pratique, les acquéreurs sont souvent prudents sur cette question et peuvent maintenir une classification élevée par mesure de sécurité. Un incident de sécurité vous reclasse automatiquement en Level 1 pendant au minimum 12 mois, indépendamment de votre volume.
Un SAQ D peut-il être évité pour un marchand Level 2 ?
Oui, si votre architecture de paiement vous permet de prétendre à un SAQ de type inférieur (A, A-EP, B, B-IP ou C). Le type de SAQ dépend de la façon dont votre système traite les données de carte, pas directement de votre niveau marchand. Un marchand Level 2 qui utilise exclusivement des hosted payment fields et aucun stockage de PAN peut prétendre au SAQ A — le SAQ D n'est pas une obligation automatique pour les niveaux 2 et inférieurs.
Vous souhaitez réduire vos obligations PCI DSS en passant au SAQ A grâce à la tokenisation ? Découvrez PCI Proxy EU.