PCI DSS : qui est concerné au Sénégal en 2026 ?
PCI DSS (Payment Card Industry Data Security Standard) est le standard de sécurité imposé par les réseaux Visa, Mastercard, American Express, Discover et JCB à tous les acteurs qui stockent, traitent ou transmettent des données de cartes bancaires. Au Sénégal en 2026, sont concernés :
- E-commerçants acceptant les cartes Visa/Mastercard (CIBA, GIM-UEMOA, Stripe, PayDunya, CinetPay, etc.).
- Marketplaces multi-vendeurs (Jumia local, sites diaspora).
- SaaS B2B facturant par carte (Notion, Stripe-like outils sénégalais).
- Établissements financiers, PSP, fintechs.
Précisions importantes : Wave Business et Orange Money en tant que tels ne sont pas soumis à PCI DSS (ce sont des e-wallets mobile money, pas de cartes Visa/MC transitant par chez le commerçant). Mais dès que vous acceptez les cartes en plus de Wave/OM (typique sur un e-commerce orienté diaspora), PCI DSS s'applique pour le volet cartes.
Cet article répond à 4 questions concrètes : (1) quel niveau PCI DSS me concerne, (2) quel SAQ remplir, (3) comment réduire le scope avec Stripe/PayDunya, (4) combien ça coûte vraiment.
H2 : Les 4 niveaux PCI DSS
PCI DSS classe les commerçants en 4 niveaux selon le volume annuel de transactions cartes :
| Niveau | Volume annuel cartes | Obligations |
|---|---|---|
| Niveau 1 | > 6 M transactions/an | Audit annuel par QSA (Qualified Security Assessor) + scan trimestriel ASV |
| Niveau 2 | 1 à 6 M transactions/an | SAQ annuel + scan trimestriel ASV |
| Niveau 3 | 20 K à 1 M transactions/an (e-commerce) | SAQ annuel + scan trimestriel ASV |
| Niveau 4 | < 20 K transactions/an | SAQ annuel (recommandé, parfois optionnel selon acquéreur) |
Réalité Sénégal 2026 : 95-98 % des e-commerçants locaux sont en Niveau 4 (faible volume cartes, car Wave/OM dominent). Quelques marketplaces et acteurs diaspora franchissent le Niveau 3. Pas de Niveau 1 connu localement à ce jour.
H2 : Choisir le bon SAQ (Self-Assessment Questionnaire)
Le SAQ est un questionnaire d'auto-évaluation à remplir annuellement et à conserver. Il existe 9 variantes, le choix dépend de votre architecture :
| SAQ | Cas d'usage | Nb de questions |
|---|---|---|
| SAQ A | E-commerce 100 % outsourcé (iframe ou redirect Stripe Checkout, PayDunya Hosted Pay Page) | 22 |
| SAQ A-EP | E-commerce avec JS partiel sur la page de paiement (Stripe Elements, PayDunya inline) | 191 |
| SAQ B | Terminaux dial-up imprimante (POS analogique) | 41 |
| SAQ B-IP | Terminaux IP autonomes | 82 |
| SAQ C-VT | Terminal virtuel uniquement | 79 |
| SAQ C | POS connecté à internet, segmentation réseau | 160 |
| SAQ D — Merchant | Tout le reste, ou stockage de données cartes | 329 |
| SAQ P2PE | Solution P2PE certifiée PCI | 33 |
Pour un e-commerçant sénégalais typique : SAQ A si vous redirigez vers Stripe Checkout / PayDunya Hosted Page. SAQ A-EP si vous utilisez Stripe Elements / Wave Card Hosted Fields. Différence cruciale : SAQ A demande 22 questions, SAQ A-EP en demande 191 — l'écart de scope est énorme.
H2 : Réduire le scope avec la tokenization
La tokenization (substitution du numéro de carte par un token opaque géré par le PSP) est la stratégie la plus efficace pour rester sur le SAQ A et éviter le SAQ D.
Architectures qui maintiennent SAQ A :
- Redirection 100 % vers la page de paiement hébergée (Stripe Checkout, PayDunya Hosted Pay Page, CinetPay Checkout).
- iframe hébergé par le PSP (le DOM du iframe est servi par le PSP, pas par vous).
- Tunnel mobile (apps qui ouvrent l'app PSP native).
Architectures qui basculent en SAQ A-EP :
- Stripe Elements (champs JavaScript intégrés à votre page) — votre serveur sert le JS qui collecte le PAN.
- PayDunya inline (intégration JS sur votre page) — idem.
- Iframe sur sous-domaine que vous contrôlez.
Architectures qui basculent en SAQ D (à éviter à tout prix) :
- Formulaire HTML qui POST le PAN vers votre serveur, même pour le proxy-passer au PSP. Mauvaise idée.
- Stockage du PAN, même chiffré, dans votre base.
- Logs serveur qui captureraient même temporairement un PAN.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Recommandation 2026 pour un e-commerce Sénégal : SAQ A via Stripe Checkout ou PayDunya Hosted Page. Vous économisez 80-95 % de la charge de conformité.
H2 : Coûts réels de mise en conformité 2026
| Poste | Niveau 4 / SAQ A | Niveau 4 / SAQ A-EP | Niveau 3 / SAQ D |
|---|---|---|---|
| Rédaction et signature SAQ annuel | 0 à 250 000 FCFA (interne) | 350 000 à 850 000 FCFA (consultant) | 1,5 à 3,5 M FCFA |
| Scan ASV trimestriel (Qualys, Tenable.io) | 0 (pas requis) | 280 000 à 480 000 FCFA/an | 480 000 à 950 000 FCFA/an |
| Politique de sécurité documentée | 180 000 FCFA | 380 000 FCFA | 850 000 FCFA |
| Formation sensibilisation équipe (annuelle) | 80 000 FCFA | 180 000 FCFA | 380 000 FCFA |
| Pentest applicatif (recommandé pour A-EP, requis pour D) | — | 850 000 à 1,8 M FCFA | 2,5 à 5,5 M FCFA |
| Audit interne / consulting RSSI | — | 480 000 FCFA/an | 1,8 à 3,5 M FCFA/an |
Totaux annuels :
- SAQ A : 80-330 KFCFA/an (l'essentiel = formation + politique)
- SAQ A-EP : 2,1-4,0 M FCFA/an
- SAQ D : 7,5-15 M FCFA/an
Pour un e-commerçant Sénégal qui démarre, SAQ A est le bon choix : faible coût, faible scope, sécurité réelle déléguée au PSP qui est certifié PCI DSS niveau 1.
H2 : Erreurs fréquentes vues sur le terrain
- Croire que PCI DSS s'applique à Wave/OM (faux, ce sont des e-wallets).
- Penser qu'utiliser Stripe = automatiquement conforme. Faux : Stripe vous fournit une infra conforme, mais VOUS devez signer votre SAQ A et le conserver.
- Stocker temporairement un PAN dans un log applicatif pour debug — faux : zéro PAN dans vos logs, jamais.
- Confier le SAQ à un dev junior sans expérience sécurité. Faux : un consultant senior 1-2 jours est mieux qu'un junior 2 semaines.
- Ne pas reconduire le SAQ chaque année (validité 12 mois).
FAQ
Stripe me certifie-t-il automatiquement ?
Non. Stripe est certifié PCI DSS Niveau 1 en tant que PSP, ce qui vous permet de rester en SAQ A si vous redirigez correctement. Mais vous devez remplir et signer votre SAQ A annuel. Stripe fournit la documentation d'attestation à joindre.
Que se passe-t-il en cas de breach et de non-conformité ?
Amendes Visa/Mastercard 5-100 K USD par mois, frais forensics 20-200 K USD, frais de re-issuance des cartes compromises (3-15 USD par carte), perte du droit d'accepter les cartes (sortie du programme acquéreur). Au Sénégal s'ajoute le risque BCEAO + CDP (Commission Données Personnelles) — sanction jusqu'à 100 M FCFA selon Loi 2008-12.
PayDunya, CinetPay, Wave Card : qui est certifié ?
PayDunya et CinetPay sont certifiés PCI DSS. Wave Business : les flux mobile money ne nécessitent pas PCI DSS, mais Wave Card (acceptation cartes via Wave) est certifié. Toujours demander l'attestation AOC (Attestation of Compliance) à votre PSP.
Combien de temps prend la première mise en conformité SAQ A ?
Avec un consultant expérimenté : 3-5 semaines (rédaction politique sécurité + remplissage SAQ + formation équipe). En interne autodidacte : 2-4 mois (forte courbe d'apprentissage). Renouvellement annuel : 3-5 jours si rien n'a changé.
Faut-il un DPO en plus du conformiste PCI ?
PCI DSS et CDP/RGPD sont distincts. PCI = sécurité données cartes, CDP = protection données personnelles (Loi sénégalaise 2008-12). Au Sénégal, le DPO est obligatoire pour traitements à grande échelle. Recommandation : un même profil senior peut couvrir PCI SAQ A + DPO sur une PME.
Discutons de votre conformité
Si vous lancez ou structurez un e-commerce qui accepte les cartes au Sénégal et voulez clarifier le bon SAQ + l'architecture qui minimise votre scope, nous pouvons auditer votre stack et livrer un dossier SAQ A clé en main. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
