RGPD et PCI DSS sont souvent présentés comme deux alternatives entre lesquelles les entreprises devraient choisir. Cette perception est fondamentalement erronée et dangereuse. Pour toute organisation qui traite des paiements par carte en Europe, les deux cadres s'appliquent simultanément, se recoupent sur certains points et imposent des obligations distinctes qui ne se substituent pas l'une à l'autre. Comprendre leur articulation est une nécessité opérationnelle, pas un exercice académique.
La nature juridique de chaque cadre
Le RGPD est un règlement européen directement applicable dans tous les États membres depuis le 25 mai 2018. Il a force de loi publique et est appliqué par des autorités administratives indépendantes — la CNIL en France, l'Autorité Garante en Italie, l'AEPD en Espagne, etc. Ses amendes sont des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Le RGPD accorde des droits directement aux personnes concernées (porteurs de cartes, clients) que les entreprises doivent respecter.
PCI DSS, à l'inverse, est un standard contractuel privé. Il n'est pas une loi — c'est un ensemble de règles techniques et organisationnelles créé par le PCI Security Standards Council (un consortium de Visa, Mastercard, American Express, Discover et JCB). Son applicabilité découle des contrats d'acceptation que les marchands signent avec leurs acquéreurs. Les sanctions sont contractuelles : amendes imposées par les réseaux de cartes via les acquéreurs, suspension des droits d'acceptation, frais forensiques en cas d'incident. Aucune autorité publique n'impose PCI DSS.
Les données de carte : un point de convergence critique
Les données de carte bancaire — PAN (numéro de carte), date d'expiration, nom du porteur — sont des données à caractère personnel au sens du RGPD. Elles identifient ou permettent d'identifier une personne physique. Tout traitement de ces données est donc soumis aux obligations RGPD : nécessité d'une base légale, limitation des finalités, minimisation des données, sécurité appropriée, durées de conservation justifiées, et droits des personnes (accès, rectification, effacement, portabilité).
Simultanément, ces mêmes données de carte sont au cœur du périmètre PCI DSS. Le standard impose des contrôles techniques très précis sur leur stockage, leur transmission et leur traitement : chiffrement avec des algorithmes approuvés, tokenisation, contrôles d'accès, surveillance réseau, tests de pénétration, gestion des clés cryptographiques. PCI DSS est beaucoup plus prescriptif que le RGPD sur ces aspects techniques — là où le RGPD parle de "mesures appropriées", PCI DSS spécifie exactement quelles mesures implémenter.
Là où les deux cadres divergent : droits des individus et base légale
La divergence la plus significative concerne les droits des individus. Le RGPD crée des droits directement applicables au bénéfice des porteurs de cartes : droit d'accès aux données (savoir si et comment vous traitez leurs données), droit de rectification, droit à l'effacement dans certaines conditions, droit à la portabilité. PCI DSS ne crée aucun droit au bénéfice des individus — c'est un standard purement B2B entre marchands, acquéreurs et réseaux de cartes.
La deuxième divergence importante concerne la durée de conservation. PCI DSS impose des règles strictes sur la conservation des données de carte : le CVV ne doit jamais être stocké après autorisation, les données de piste magnétique ne doivent jamais être stockées. Pour le PAN et la date d'expiration, PCI DSS autorise leur conservation si des mesures de sécurité appropriées sont en place. Le RGPD, en revanche, impose une justification de la durée de conservation basée sur la finalité du traitement et exige la suppression dès que la conservation n'est plus nécessaire — ce qui peut être plus restrictif que PCI DSS selon le contexte.
Comment la tokenisation satisfait simultanément les deux cadres
La tokenisation est la solution qui répond le plus efficacement aux exigences combinées du RGPD et de PCI DSS. En remplaçant le PAN par un token opaque dans tous vos systèmes, vous réduisez votre périmètre PCI DSS (puisque vos systèmes ne voient plus de donnée de carte sensible) et vous réduisez simultanément votre exposition RGPD (puisque vous ne conservez plus de données à caractère personnel relatives aux instruments de paiement dans votre infrastructure).
Un token PCI Proxy EU ne contient aucune information sur la carte et ne permet pas, à lui seul, d'identifier un individu. Il ne constitue pas une donnée personnelle au sens du RGPD. En cas de violation de votre base de données, un attaquant qui récupère des tokens n'a pas accès aux données de carte — et vous n'avez pas d'obligation de notification RGPD pour une violation qui n'expose pas de données personnelles. Ce double avantage — réduction PCI et réduction RGPD — est l'argument central pour la tokenisation dans tout programme de conformité européen.
Questions fréquentes
Dois-je inclure les données de carte dans mon registre de traitement RGPD ?
Oui. Tout traitement de données de carte (collecte, stockage, transmission pour autorisation, conservation pour récurrence) doit figurer dans votre registre des activités de traitement (RAT) prévu par l'article 30 du RGPD. Vous devez documenter la finalité, la base légale, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. Si vous utilisez PCI Proxy EU et ne stockez que des tokens, vous pouvez indiquer que vous ne traitez pas de données de carte sensibles directement.
Une analyse d'impact (DPIA) RGPD est-elle nécessaire pour le traitement des données de carte ?
Le traitement à grande échelle de données financières peut nécessiter une DPIA selon les critères de la CNIL. Si vous traitez des données de carte de nombreux clients, dans plusieurs pays, ou si vous effectuez du profilage, une DPIA est recommandée voire obligatoire. La tokenisation réduit le risque et peut simplifier la DPIA en démontrant que les données sensibles ne sont pas conservées dans vos systèmes.
Mon PSP est-il responsable conjoint du traitement des données de carte sous le RGPD ?
Cela dépend de la relation contractuelle et de la façon dont les données sont traitées. En général, votre PSP est un sous-traitant au sens du RGPD (article 28) et vous êtes le responsable du traitement. Vous devez avoir un accord de traitement des données (DPA) avec votre PSP. Si PCI Proxy EU traite des données de carte pour votre compte, un DPA conforme au RGPD est nécessaire — PCI Proxy EU le fournit dans ses conditions contractuelles standard.
Vous souhaitez simplifier la gestion simultanée de PCI DSS et RGPD pour vos paiements ? Découvrez PCI Proxy EU.