PCI DSS et RGPD sont deux cadres réglementaires distincts qui s'appliquent simultanément à toute entreprise traitant des paiements par carte en Europe. Une confusion fréquente consiste à penser qu'être conforme à l'un implique automatiquement l'être à l'autre, ou que l'un peut remplacer l'autre. Ce n'est pas le cas. Comprendre leurs différences, leurs recoupements et la façon dont ils se cumulent en termes de sanctions est indispensable pour toute organisation gérant des données de carte dans l'Union européenne.
Origines et objectifs : deux cadres fondamentalement différents
Le PCI DSS (Payment Card Industry Data Security Standard) est un standard contractuel créé en 2004 par les principaux réseaux de cartes (Visa, Mastercard, American Express, Discover, JCB) regroupés au sein du PCI Security Standards Council. Son objectif unique est la protection des données de carte de paiement — principalement le numéro de carte (PAN), la date d'expiration et les codes de vérification. PCI DSS n'est pas une loi : c'est une obligation contractuelle imposée par les réseaux de cartes à tous les acteurs acceptant leurs instruments de paiement.
Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis mai 2018, est un règlement européen ayant force de loi. Son périmètre est bien plus large : il protège toutes les données à caractère personnel des résidents de l'UE, quelle que soit leur nature. Son objectif est de garantir le droit des individus sur leurs données personnelles — droit d'accès, de rectification, d'effacement, de portabilité — et d'imposer aux organisations des obligations de sécurité, de transparence et de responsabilité.
Où PCI DSS et RGPD se recoupent
Les données de carte de paiement sont des données à caractère personnel au sens du RGPD. Un numéro de carte bancaire identifie ou permet d'identifier un individu. Il en résulte que tout traitement de données de carte doit respecter à la fois les exigences PCI DSS (protection technique de la donnée) et les exigences RGPD (base légale du traitement, durées de conservation, droits des personnes concernées, notification des violations).
Le recoupement est particulièrement visible dans deux domaines. D'abord, la sécurité des données : PCI DSS impose des contrôles techniques très précis (chiffrement, tokenisation, contrôle d'accès, monitoring), tandis que le RGPD impose des mesures "appropriées" de sécurité sans les détailler — en pratique, les mesures PCI DSS constituent un très bon niveau de référence pour satisfaire l'obligation de sécurité du RGPD. Ensuite, la notification des violations : PCI DSS exige de notifier les réseaux de cartes et les acquéreurs en cas de compromission ; le RGPD exige de notifier l'autorité de protection des données (CNIL en France) dans les 72 heures et les personnes concernées si le risque est élevé.
Les différences clés que vous devez connaître
La première différence majeure est la nature des sanctions. PCI DSS prévoit des amendes contractuelles imposées par les réseaux de cartes et les acquéreurs, qui peuvent aller de 5 000 à 100 000 euros par mois selon la gravité et la durée de la non-conformité, ainsi que des frais forensiques en cas de violation. Ces sanctions sont négociées entre acteurs privés. Le RGPD prévoit des amendes administratives imposées par les autorités nationales de protection des données, pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu.
La deuxième différence majeure concerne les droits des individus. Le RGPD accorde aux porteurs de carte des droits spécifiques sur leurs données — notamment le droit à l'effacement ("droit à l'oubli") et le droit à la portabilité. PCI DSS, en tant que standard contractuel, ne crée aucun droit au bénéfice des individus. En pratique, si un client demande la suppression de ses données de carte en invoquant le RGPD, vous devez vous conformer à cette demande même si PCI DSS ne vous y contraint pas directement.
La troisième différence est le périmètre géographique. Le RGPD s'applique dès lors qu'une personne physique résidant dans l'UE est concernée, indépendamment du lieu d'établissement de l'organisation traitante. PCI DSS s'applique à toute organisation qui stocke, traite ou transmet des données de carte des réseaux membres du PCI SSC, indépendamment de la géographie.
Scénario de double violation : quand les deux sanctions s'accumulent
Imaginons une PME française qui gère une boutique en ligne et stocke les numéros de carte dans sa base de données pour faciliter les achats récurrents. Un incident de sécurité expose ces données. Dans ce scénario, l'entreprise viole simultanément PCI DSS (stockage de PAN sans chiffrement adéquat, absence de tokenisation) et le RGPD (violation de données personnelles, absence de mesures de sécurité appropriées). Les sanctions se cumulent : amende RGPD de la CNIL, amendes PCI DSS de l'acquéreur, frais forensiques, résiliation possible du contrat d'acceptation des cartes, atteinte à la réputation.
C'est précisément ce scénario que la tokenisation PCI Proxy EU permet d'éviter. Si les numéros de carte ne sont jamais stockés dans votre base de données — remplacés dès la capture par des tokens opaques dans un vault certifié — la violation d'une base de données expose des tokens sans valeur pour un attaquant, et non des PAN. Vous n'avez plus ni violation PCI DSS ni violation RGPD au sens technique.
Questions fréquentes
La conformité PCI DSS me dispense-t-elle des obligations RGPD sur les données de carte ?
Non. PCI DSS et RGPD sont deux cadres indépendants qui s'appliquent simultanément. La conformité PCI DSS démontre que vous prenez des mesures de sécurité appropriées pour les données de carte — ce qui contribue à satisfaire l'obligation de sécurité du RGPD — mais elle ne remplace pas les autres obligations RGPD : base légale du traitement, durées de conservation, droits des personnes, analyse d'impact, etc.
Un token PCI Proxy est-il une donnée personnelle au sens du RGPD ?
Un token opaque généré par PCI Proxy EU ne contient aucune information permettant d'identifier directement un individu. Il ne constitue pas à lui seul une donnée personnelle au sens du RGPD. En revanche, si vous conservez une table de correspondance liant un token à l'identité d'un client dans votre CRM, la combinaison peut être qualifiée de donnée personnelle — d'où l'importance de ne stocker que les données strictement nécessaires.
Quelle autorité notifier en premier en cas de violation de données de carte ?
Les deux notifications sont indépendantes et ont des délais différents. Le RGPD impose la notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation (si elle présente un risque pour les personnes). PCI DSS impose la notification à votre acquéreur et au réseau de cartes selon les procédures prévues dans votre contrat, généralement dans les 24 à 72 heures. Ces délais se chevauchent — préparez vos procédures de réponse aux incidents pour couvrir les deux simultanément.
Vous souhaitez réduire simultanément votre exposition PCI DSS et RGPD grâce à la tokenisation ? Découvrez PCI Proxy EU.