Le verdict en trois phrases
La norme PCI-DSS encadre la sécurité des données de carte, et la bonne nouvelle pour un marchand africain est qu'il n'a pas à la subir dans sa version lourde s'il ne touche jamais aux numéros de carte. En utilisant un checkout hébergé (redirection ou iframe) chez Stripe ou un agrégateur, vous restez en SAQ-A, le niveau le plus simple, avec un coût d'audit nul et la responsabilité déléguée au prestataire. La règle absolue : ne jamais stocker, transmettre ni traiter un numéro de carte sur vos serveurs.
Les niveaux PCI et le bon positionnement
PCI-DSS définit des niveaux de marchand selon le volume et des questionnaires d'auto-évaluation (SAQ) selon la manière dont vous gérez la carte. Voici l'essentiel (ordres de grandeur 2026).
| Type SAQ | Comment vous traitez la carte | Effort | Coût d'audit |
|---|---|---|---|
| SAQ-A | Redirection / iframe hébergé (Stripe) | Minimal | 0 FCFA |
| SAQ-A-EP | Page marchand + script tiers | Moyen | Modéré |
| SAQ-D (marchand) | Vous touchez / stockez la carte | Très élevé | Élevé (audit QSA) |
| Niveau marchand 4 | < 20 000 transactions/an | — | SAQ-A suffit |
| Niveau marchand 1 | > 6 M transactions/an | — | Audit annuel obligatoire |
Le message stratégique : visez SAQ-A. C'est le seul niveau où vous n'avez ni audit coûteux, ni obligation de chiffrer et auditer une infrastructure carte. Tout repose sur un principe simple — la carte ne transite jamais par votre code.
Checklist pour rester en SAQ-A
Voici les pratiques qui vous maintiennent dans le périmètre le plus léger, et les pièges qui vous font basculer en SAQ-D coûteux.
| Pratique | Effet | À faire / à éviter |
|---|---|---|
| Hosted checkout (redirection Stripe Checkout) | Reste en SAQ-A | À faire |
| Iframe / Elements hébergé par le prestataire | Reste en SAQ-A | À faire |
| Tokenisation (la carte devient un jeton) | Aucune donnée carte chez vous | À faire |
| Saisie carte dans VOTRE formulaire | Bascule en SAQ-D | À éviter absolument |
| Stocker le numéro de carte en base | Interdit / SAQ-D | À éviter absolument |
| Envoyer un numéro de carte par email/WhatsApp | Faute grave | À éviter absolument |
| HTTPS / TLS sur tout le site | Pré-requis | À faire |
La tokenisation est votre meilleure amie : le prestataire remplace le numéro de carte par un jeton inutilisable hors de son système. Vous gérez des paiements récurrents et des remboursements sans jamais voir une seule donnée sensible.
Mini cas pratique
Kofi gère une boutique en ligne à Abidjan, ~3 000 transactions carte/an : il relève du niveau marchand 4. Tenté de coder son propre formulaire de carte « pour le contrôle », il aurait basculé en SAQ-D, avec un audit QSA et une mise en conformité d'infrastructure de l'ordre de plusieurs millions de FCFA par an, plus le risque de pénalités.
À la place, il utilise Stripe Checkout en redirection : il reste en SAQ-A, remplit un simple questionnaire, et son coût d'audit est nul. Économie annuelle directe : l'intégralité du coût d'audit évité, soit potentiellement plusieurs millions de FCFA, pour une intégration plus rapide à mettre en place.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
FAQ
Un petit marchand africain doit-il vraiment se soucier de PCI-DSS ?
Oui, dès qu'il accepte des cartes, mais l'enjeu se résume à rester en SAQ-A en déléguant la carte au prestataire. Tant que vous ne touchez jamais un numéro de carte, votre charge de conformité est minimale et sans coût d'audit.
Quelle est la différence entre SAQ-A et SAQ-D ?
Le SAQ-A s'applique quand le paiement est entièrement hébergé par le prestataire (redirection/iframe) : effort minimal, audit gratuit. Le SAQ-D s'applique si vous touchez ou stockez la carte : audit QSA et coûts de l'ordre de plusieurs millions de FCFA par an.
La tokenisation me met-elle en conformité ?
La tokenisation aide fortement car la donnée sensible ne réside jamais chez vous : le prestataire renvoie un jeton. Combinée à un checkout hébergé, elle vous maintient en SAQ-A pour les paiements récurrents et les remboursements.
Qui est responsable en cas de fuite de données carte ?
Si vous êtes en SAQ-A via hosted checkout, la responsabilité technique du stockage carte est déléguée à Stripe ou à l'agrégateur. Si vous stockiez les cartes vous-même, vous porteriez les pénalités, qui peuvent atteindre des montants très élevés selon les schémas Visa/Mastercard.
Stripe gère-t-il la conformité PCI à ma place ?
En grande partie, oui, pour la couche carte : avec Stripe Checkout ou Elements, Stripe assume le périmètre sensible et vous fournit l'attestation. Vous restez responsable de votre propre site (HTTPS, accès, pas de stockage carte), mais l'essentiel de la charge PCI est porté par le prestataire.
Discutons de votre projet. Nous intégrons un checkout hébergé et la tokenisation pour vous garder en SAQ-A, sans audit ni risque. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
