Anglais
Allemand
Espagnol
Français
Turc
Retour aux guides
Conformité PCI DSS des passerelles de paiement : guide 2026 pour marchands français
PCI DSS v4.0.1 est pleinement applicable depuis le 31 mars 2025. Si vous acceptez la carte sous n'importe quelle forme, vous êtes dans le périmètre ; seule la profondeur varie. Le type de passerelle retenu, bien plus que la taille de l'entreprise, décide si la conformité coûte un questionnaire de 10 minutes ou un audit à 100 000 EUR par an.
Ce guide explique les 12 exigences cœur, les quatre niveaux marchand, les huit types de SAQ et les choix d'architecture qui réduisent le périmètre. Il montre aussi comment une passerelle crypto le supprime entièrement côté crypto, sujet pertinent pour les marchands français en vertical à risque.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Qu'est-ce que PCI DSS et qui l'applique ?
Le PCI DSS (Payment Card Industry Data Security Standard) est une norme contractuelle édictée par le PCI Security Standards Council, organisme conjoint Visa, Mastercard, American Express, Discover et JCB. Ce n'est pas une loi, mais chaque marchand acceptant la carte (y compris CB, VAD, e-commerce) s'y engage via le contrat de son acquéreur.
La version en vigueur est PCI DSS v4.0.1, publiée en 2024 et pleinement applicable depuis le 31 mars 2025. Elle remplace la v3.2.1 et ajoute environ 50 nouvelles exigences.
L'application est pratique, pas gouvernementale : les marchands non conformes encourent des amendes de l'acquéreur (5 000 à 100 000 EUR par mois), des frais majorés et, à terme, la perte du droit d'accepter la carte. Après une violation, la non-conformité multiplie dommages, coûts forensiques et risque réputationnel. En France, s'y ajoute le cadre RGPD et les sanctions CNIL.
Les 12 exigences cœur
Organisées en six objectifs :
| Objectif | Exigence |
|---|---|
| Construire et maintenir un réseau sécurisé | 1. Installer et maintenir des contrôles de sécurité réseau (pare-feux) |
| 2. Configurations sécurisées sur tous les composants | |
| Protéger les données titulaires | 3. Protéger les données stockées (chiffrement, troncature, tokenisation) |
| 4. Protéger les données en transit par cryptographie forte | |
| Programme de gestion des vulnérabilités | 5. Protéger les systèmes contre les maliciels, mettre à jour les antivirus |
| 6. Développer et maintenir des systèmes et applications sécurisés | |
| Contrôle d'accès fort | 7. Restreindre l'accès aux données selon le besoin d'en connaître |
| 8. Identifier et authentifier les accès (MFA obligatoire) | |
| 9. Restreindre l'accès physique aux données titulaires | |
| Surveillance et tests réguliers | 10. Journaliser et surveiller tous les accès aux données et ressources |
| 11. Tester régulièrement la sécurité (scans ASV, tests d'intrusion) | |
| Politique de sécurité | 12. Maintenir une politique de sécurité de l'information |
La v4.0.1 ajoute l'analyse de risque ciblée, les approches personnalisées, une authentification renforcée (MFA pour tout accès au CDE) et la surveillance explicite de l'intégrité des scripts côté client pour contrer les attaques Magecart.
Niveaux marchand 1 à 4
Les niveaux sont définis par chaque réseau carte selon le volume annuel. Définitions Visa (les autres sont similaires) :
| Niveau | Volume | Validation |
|---|---|---|
| 1 | > 6 M transactions carte/an ou tout marchand ayant subi une violation | Audit annuel sur site par un QSA + scans ASV trimestriels |
| 2 | 1 M à 6 M | SAQ annuel (ou audit QSA) + scans ASV trimestriels |
| 3 | 20 000 à 1 M e-commerce | SAQ annuel + scans ASV trimestriels |
| 4 | < 20 000 e-commerce ou < 1 M présentiel | SAQ annuel, scans selon politique acquéreur |
Une violation peut faire passer n'importe quel marchand en Niveau 1, quel que soit le volume. Les prestataires de services (la plupart des passerelles) ont une classification distincte à deux niveaux, selon qu'ils stockent/traitent/transmettent plus de 300 000 transactions par an.
Types de SAQ : le document qui pèse le plus
Pour les niveaux 2 à 4, la conformité se documente via un questionnaire d'auto-évaluation (SAQ). Plusieurs variantes existent, avec des écarts massifs de longueur et de coût :
| SAQ | Applique à | Questions (env.) |
|---|---|---|
| A | E-commerce externalisant entièrement à un tiers conforme PCI (redirection ou champs hébergés en iframe) | ~24 |
| A-EP | E-commerce dont le site impacte la sécurité sans toucher la donnée carte | ~191 |
| B | Marchands avec seulement empreintes ou terminaux autonomes en ligne commutée | ~41 |
| B-IP | Terminaux PTS autonomes connectés IP | ~86 |
| C-VT | Saisie manuelle sur terminal virtuel | ~80 |
| C | Applications de paiement connectées, hors e-commerce | ~152 |
| P2PE | Solution P2PE validée | ~35 |
| D | Tout le reste : le fourre-tout. La plupart des données stockées finissent ici. | ~329 |
L'enjeu d'architecture est presque entièrement de rester en SAQ-A ou A-EP. Passer d'un SAQ-A (24 questions) à un SAQ-D (329 questions) multiplie par dix le coût de conformité.
Comment le type de passerelle change le périmètre PCI
Le périmètre PCI est déterminé par le chemin de la donnée carte :
- Passerelle hébergée (redirection) : la donnée carte ne touche jamais vos systèmes. SAQ-A. Cas le plus simple.
- Passerelle API avec champs hébergés ou SDK drop-in : la donnée carte va directement du navigateur à la passerelle en TLS, sans passer par votre serveur. SAQ-A : votre site est « réputé hors périmètre » pour la donnée.
- Passerelle API avec capture serveur : la donnée carte transite par votre serveur. SAQ-D complet. Rare en 2026, presque toujours une erreur.
- Passerelle auto-hébergée : la donnée transite et peut être stockée côté serveur. SAQ-D complet. Coûteux à maintenir.
- Passerelle crypto : aucune donnée titulaire. Aucun périmètre PCI.
Pour la plupart des constructions modernes, le bon choix est : passerelle API avec champs hébergés (Stripe Elements, Adyen, Lyra/Payzen Smartform), pour un SAQ-A et une UX native. Tout autre chemin échange des ordres de grandeur de coût de conformité contre peu de gains.
Pièges fréquents qui font exploser le périmètre
Les marchands font gonfler leur périmètre PCI sans s'en apercevoir :
L'exigence 6.4.3 de la v4.0.1 (inventorier, autoriser, surveiller les scripts côté client) est la plus grosse nouveauté à absorber en 2026.
Passerelles crypto et périmètre PCI
C'est là que les passerelles crypto deviennent intéressantes côté coût de conformité. Une passerelle crypto ne manipule jamais de donnée titulaire : pas de PAN, pas de CVV, pas d'expiration, pas d'émetteur, pas de réseau carte. Donc :
- Un marchand acceptant uniquement la crypto a zéro périmètre PCI DSS. Pas de questionnaire, pas de scans, pas de QSA.
- Un marchand acceptant carte et crypto conserve son périmètre côté carte, mais la branche crypto n'y ajoute rien.
- Les flux on-ramp fiat-vers-crypto (l'acheteur finance par carte, la passerelle convertit) ont un périmètre PCI côté fiat, absorbé par la passerelle via SAQ A-EP ou audit QSA interne.
Pour une activité purement crypto, l'économie est concrète : 20 000 à 200 000 EUR par an de frais PCI n'existent pas. Pour un stack mixte, ajouter la crypto n'augmente pas le coût PCI.
C'est l'une des raisons discrètes pour lesquelles les rails crypto séduisent les marchands français en biens numériques, iGaming, forex et autres verticaux à gros volume : moins de surfaces auditables, moins de surface d'attaque, moins de paperasse.
Check-list PCI pratique pour 2026
- Connaissez votre niveau marchand. Demandez à votre acquéreur en cas de doute.
- Connaissez votre SAQ. Concevez pour SAQ-A ou A-EP partout où c'est possible.
- Utilisez une passerelle API avec champs hébergés. SAQ-A sans perdre le contrôle UX.
- Inventoriez les scripts côté client sur les pages de paiement. Documentez, surveillez, retirez l'inutile.
- MFA obligatoire pour tout accès aux systèmes touchant la donnée carte. Exigé par la v4.0.1.
- Scans ASV trimestriels. Par un Approved Scanning Vendor.
- Tests d'intrusion annuels. Obligatoires Niveau 1 et 2, bonne pratique pour tous.
- Plan de réponse à incident à jour. Testé annuellement, articulé avec la notification CNIL (72 h RGPD).
- Formation annuelle des équipes. Exigence 12 explicite.
- Surveillez le périmètre fournisseurs. Exigez l'AOC (Attestation of Compliance) de vos prestataires conformes PCI.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Commencer
Questions fréquemment posées
PCI DSS est la norme de sécurité à laquelle tout marchand acceptant la carte doit se conformer pour protéger la donnée titulaire. Elle compte 12 exigences couvrant sécurité réseau, chiffrement, contrôle d'accès, surveillance et politique. La non-conformité expose à des amendes et à la perte du droit de traiter la carte.
Oui, toujours. Mais le périmètre dépend de l'intégration. Passerelles hébergées et API avec champs hébergés maintiennent en SAQ-A (périmètre minimal). Auto-hébergées : SAQ-D (périmètre maximal).
SAQ-A est le questionnaire d'auto-évaluation le plus court (~24 questions). Il s'applique aux marchands e-commerce qui externalisent entièrement la donnée titulaire à un tiers conforme PCI, typiquement par redirection ou champs hébergés.
Oui. La v4.0.1 est pleinement applicable depuis le 31 mars 2025, en remplacement de la v3.2.1. Toute validation en 2026 se fait contre la v4.0.1.
Pour un SAQ-A, quelques centaines à quelques milliers d'euros par an (SAQ + scans ASV). Pour un SAQ-D, 20 000 à 200 000 EUR+ par an selon la complexité, honoraires QSA inclus pour un Niveau 1.
Non. Les paiements crypto ne mettent pas en jeu de donnée titulaire, donc PCI DSS ne s'applique pas à la branche crypto. Les marchands acceptant uniquement la crypto ont un périmètre PCI nul.
Amendes de l'acquéreur (5 000 à 100 000 EUR par mois), frais de transaction majorés et, à terme, perte du droit de traiter la carte. Après une violation, la non-conformité multiplie la responsabilité et les coûts forensiques. En France, risque additionnel CNIL pour les données personnelles liées.
Les deux. La passerelle est responsable de sa propre conformité comme prestataire de services (elle doit vous fournir une AOC). Vous êtes responsable de la conformité de votre environnement. Utiliser une passerelle conforme ne vous rend pas conforme automatiquement.
Annuellement pour le SAQ ou l'audit sur site, et trimestriellement pour les scans ASV. Tests d'intrusion annuels Niveau 1 et 2, ainsi qu'après tout changement significatif.
Oui, significativement, si bien implémentée. La tokenisation remplace le PAN par un jeton inutilisable hors passerelle, sortant vos systèmes du périmètre pour les données stockées. Combinée à des champs hébergés pour la capture, c'est le chemin le plus court vers SAQ-A.
