Le verdict en trois phrases
Si vous acceptez des cartes bancaires en ligne au Senegal, vous etes concerne par le PCI-DSS, et la quasi-totalite des PME relevent du niveau 4 (moins de 20 000 transactions carte par an). La bonne nouvelle : en passant par une page de paiement hebergee (Stripe, CinetPay, PayDunya), vous heritez de leur conformite et votre cout tombe a presque 0 FCFA. La mauvaise : un checkout custom qui touche les donnees carte vous expose a un audit, des scans trimestriels et 400 000 a 800 000 FCFA de frais annuels.
Quel niveau PCI vous concerne ?
Le PCI-DSS classe les marchands selon le volume de transactions carte. Voici la grille 2026 appliquee au contexte senegalais.
| Niveau | Volume cartes/an | Validation | Concerne |
|---|---|---|---|
| Niveau 1 | > 6 millions | Audit QSA sur site | Grandes banques, PSP |
| Niveau 2 | 1 a 6 millions | SAQ + scan ASV | Grands e-commercants |
| Niveau 3 | 20 000 a 1 million | SAQ + scan ASV | E-commerce moyen |
| Niveau 4 | < 20 000 | SAQ auto-evaluation | La plupart des PME |
Le niveau 4 exige une auto-evaluation annuelle (SAQ), des scans externes trimestriels par un ASV agree, et l'interdiction absolue de stocker les donnees carte en clair. Le type de SAQ depend de la facon dont vous integrez le paiement.
Cout reel selon le type d'integration
Le vrai levier de cout, c'est l'architecture du checkout. Plus vous touchez la donnee carte, plus votre perimetre PCI explose. Estimation 2026.
| Integration | Type SAQ | Perimetre PCI | Cout annuel estime |
|---|---|---|---|
| Page hebergee (redirect) | SAQ A | Minimal | ~0 a 50 000 FCFA |
| iframe / champ tokenise | SAQ A-EP | Reduit | 100 000 a 200 000 FCFA |
| Checkout custom (carte chez vous) | SAQ D | Complet | 400 000 a 800 000 FCFA |
| Stockage carte non conforme | Non conforme | Risque sanction | Amendes + responsabilite fraude |
Le scan trimestriel par un ASV coute a lui seul environ 150 000 FCFA par an. Sur un checkout custom, ajoutez la remediation technique, la documentation et le temps interne : le total derape vite. La page hebergee elimine ce perimetre car vous ne voyez jamais le numero de carte.
Quels PSP reduisent votre perimetre ?
| PSP | Page hebergee | Tokenisation carte | Reduit a SAQ A |
|---|---|---|---|
| Stripe | Oui (Checkout) | Oui | Oui |
| CinetPay | Oui | Oui | Oui |
| PayDunya | Oui | Partielle | Oui |
| Wave / Orange Money | Sans carte (mobile money) | N/A | Hors perimetre PCI |
Astuce strategique : au Senegal, une part majoritaire des paiements passe par Wave et Orange Money, qui ne sont pas des cartes et sortent du perimetre PCI. Reserver la carte a la diaspora via une page hebergee Stripe vous garde au SAQ A.
Mini cas pratique
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Ibrahima lance une boutique d'electronique a Dakar. Son developpeur propose un checkout custom "plus joli" qui collecte la carte sur son propre formulaire. Cout cache : SAQ D, scans ASV (150 000 FCFA/an), remediation et documentation, soit environ 650 000 FCFA la premiere annee. On bascule sur Stripe Checkout (page hebergee) pour les cartes diaspora et Wave/OM pour le local. Resultat : perimetre ramene au SAQ A, cout de conformite proche de 0 FCFA, et un checkout tout aussi fluide. Economie nette annee 1 : environ 650 000 FCFA.
FAQ
Suis-je vraiment oblige d'etre conforme PCI au Senegal ?
Oui des que vous acceptez des cartes : la conformite est exigee par les reseaux (Visa, Mastercard) via votre PSP, pas par un regulateur local. En cas de fraude sur un checkout non conforme, vous portez la responsabilite financiere.
Le mobile money est-il concerne par le PCI-DSS ?
Non. Wave, Orange Money et Free Money ne sont pas des cartes bancaires : ils sortent du perimetre PCI. C'est un argument fort pour privilegier le mobile money au Senegal et limiter la carte a la diaspora.
Combien coute un scan ASV trimestriel ?
Comptez environ 150 000 FCFA par an (ordre de grandeur 2026) pour les quatre scans externes obligatoires au niveau 4 si votre integration touche les donnees carte. Une page hebergee vous en dispense.
Une page de paiement hebergee est-elle moins jolie ?
Plus aujourd'hui : Stripe Checkout, CinetPay et PayDunya proposent des pages personnalisables a vos couleurs et au domaine. Le gain de conformite (SAQ A, cout ~0) depasse largement le faible compromis visuel.
Que risque un marchand qui stocke les numeros de carte ?
C'est l'option la plus dangereuse : non-conformite, amendes du reseau, et responsabilite pleine en cas de fuite. Ne stockez jamais de carte en clair ; utilisez la tokenisation du PSP.
Discutons de votre projet. Nous concevons un checkout au perimetre PCI minimal (SAQ A) qui combine Wave, Orange Money et carte diaspora. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
