En 2025, tout acteur acceptant des paiements par carte en Europe doit naviguer dans un paysage réglementaire complexe qui combine trois cadres distincts : PCI DSS, RGPD et PSD2. Ces trois réglementations s'appliquent souvent simultanément, avec des objectifs partiellement superposés mais des obligations et des sanctions bien différentes. Comprendre qui doit respecter quoi — et quand — est essentiel pour éviter des sanctions cumulées.
PCI DSS en Europe : ce qui change en 2025
PCI DSS v4.0 est entré en vigueur en mars 2024, avec un délai de transition jusqu'au 31 mars 2025 pour les nouvelles exigences désormais obligatoires. Tout marchand ou prestataire de services qui stocke, traite ou transmet des données de carte de paiement doit se conformer à PCI DSS, indépendamment de sa taille ou de son pays dans l'UE.
PCI DSS n'est pas une réglementation gouvernementale mais un standard industriel imposé par les réseaux de cartes (Visa, Mastercard, Amex, etc.) via les acquéreurs. Les sanctions en cas de non-conformité incluent des amendes de l'acquéreur, la révocation de la capacité d'accepter des cartes et la responsabilité financière en cas de violation de données.
RGPD et données de paiement : les obligations spécifiques
Le Règlement général sur la protection des données s'applique à toutes les données personnelles, et les données de carte de paiement en font partie intégrante : le numéro de carte (PAN), la date d'expiration et le nom du titulaire sont des données à caractère personnel au sens du RGPD.
En cas de violation de données incluant des données de carte, vous êtes soumis aux deux régimes simultanément : notification obligatoire à l'autorité de protection des données (CNIL en France) sous 72 heures selon le RGPD, et notification aux réseaux de cartes selon PCI DSS. Les sanctions RGPD peuvent atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros, auxquelles s'ajoutent les sanctions PCI DSS.
- Base légale du traitement : consentement, exécution du contrat ou intérêt légitime
- Durée de conservation limitée au nécessaire pour la finalité
- Droits des personnes concernées : accès, rectification, effacement
- Transferts hors UE soumis aux garanties Schrems II
PSD2 et authentification forte : obligations en 2025
La Directive sur les services de paiement 2 impose l'authentification forte du client (SCA) pour les paiements en ligne en Europe. En 2025, les exceptions SCA sont bien définies : transactions de faible montant (sous 30 €), transactions à faible risque selon l'analyse TRA de l'émetteur, et abonnements récurrents de montant fixe après la première transaction authentifiée.
PSD2 s'articule avec PCI DSS dans les paiements récurrents : la tokenisation card-on-file permet de respecter à la fois les exigences PCI DSS (pas de stockage de PAN) et PSD2 (le consentement initial est capturé avec SCA, les débits ultérieurs utilisent le token sans réauthentification du client).
Qui doit respecter quoi : tableau synthétique
La règle générale : si vous acceptez des cartes de paiement, PCI DSS s'applique. Si vous traitez des données personnelles de résidents européens, le RGPD s'applique. Si vous initiez ou facilitez des paiements électroniques dans l'EEE, PSD2 peut s'appliquer via votre prestataire de paiement.
- E-commerçant : PCI DSS (tous niveaux) + RGPD + PSD2 via PSP
- Marketplace : PCI DSS + RGPD + potentiellement agrément PSP sous PSD2
- SaaS facturation : PCI DSS + RGPD si données UE + PSD2 si initiation de paiement
- Centre d'appels : PCI DSS (scope MOTO) + RGPD + PSD2 selon les flux
Délais urgents et jalons de conformité 2025
Le 31 mars 2025 a marqué la date limite pour les 64 nouvelles exigences PCI DSS v4.0 qui étaient en période de transition. Si votre organisation n'a pas encore réalisé son évaluation PCI DSS v4, c'est une priorité immédiate : votre prochain audit ou questionnaire d'auto-évaluation devra intégrer ces nouvelles exigences.
Sur le front RGPD, les autorités de protection des données européennes ont intensifié leur activité en 2024-2025, avec des amendes significatives dans le secteur des paiements. La CNIL française, en particulier, a renforcé ses contrôles sur les transferts de données et le respect du principe de minimisation des données.
Comment la tokenisation simplifie la conformité triple
La tokenisation PCI Proxy EU répond simultanément aux trois cadres réglementaires. En remplaçant les PAN par des tokens avant qu'ils n'atteignent vos systèmes, vous sortez du scope PCI DSS (ou réduisez drastiquement votre CDE), réduisez les données personnelles stockées (RGPD) et facilitez la gestion des paiements récurrents conformes PSD2.
Avec un vault de tokens hébergé dans l'UE (résidence des données garantie), vous respectez également les exigences de transfert de données RGPD sans avoir à mettre en place des clauses contractuelles types pour vos données de paiement. C'est une approche de conformité intégrée qui simplifie considérablement votre programme de conformité global.
Simplifiez votre conformité aux trois cadres réglementaires avec une solution unique de tokenisation basée dans l'UE. Découvrir PCI Proxy EU.