Le verdict en trois phrases
Si votre boutique ne voit, ne stocke et ne transmet jamais le numero de carte (la saisie se fait dans une iframe ou une page hebergee par le PSP), vous relevez du SAQ-A : un questionnaire d'auto-evaluation simple et gratuit. A l'inverse, traiter directement les donnees carte vous fait basculer vers un audit QSA a 3 000-15 000 EUR/an plus des scans ASV trimestriels. La bonne architecture (hosted fields / redirection) reduit donc votre perimetre PCI a presque rien.
Les 4 niveaux PCI-DSS par volume
Le niveau PCI depend du nombre de transactions carte traitees par an. La quasi-totalite des PME africaines sont au niveau 4.
| Niveau | Transactions carte/an | Exigence type | Cout indicatif/an |
|---|---|---|---|
| Niveau 1 | > 6 millions | Audit QSA sur site + ROC | 15 000-50 000 EUR |
| Niveau 2 | 1 a 6 millions | SAQ + parfois audit | 5 000-15 000 EUR |
| Niveau 3 | 20 000 a 1 million | SAQ + scans ASV | 1 500-5 000 EUR |
| Niveau 4 | < 20 000 | SAQ-A (si redirection) | ~0 EUR |
Une PME senegalaise typique fait quelques centaines a quelques milliers de transactions carte par an : elle est niveau 4, et si elle redirige le paiement, elle remplit un SAQ-A gratuit.
SAQ-A vs traitement direct : la difference qui change tout
| Critere | SAQ-A (redirection/iframe) | Traitement direct |
|---|---|---|
| Carte vue par votre serveur | Jamais | Oui |
| Questionnaire | SAQ-A (~22 questions) | SAQ-D (~300+ questions) |
| Audit QSA externe | Non | Oui |
| Scans ASV trimestriels | Non | Oui (~500-2 000 EUR/an) |
| Cout annuel | ~0 EUR | 3 000-15 000 EUR |
| Responsabilite breach carte | Sur le PSP | Sur vous |
La lecon : ne touchez jamais le numero de carte vous-meme. Laissez le PSP afficher les champs de carte dans une iframe ou une page hebergee, et la carte ne transite jamais par votre infrastructure.
L'architecture hosted-fields qui evite le scope complet
Le principe : le formulaire de carte est rendu par le PSP, pas par vous. Les donnees carte vont directement du navigateur du client vers le PSP, qui vous renvoie un token inutilisable par un fraudeur. Vous stockez le token, jamais la carte.
| Methode d'integration | Carte transite par vous ? | Perimetre PCI | UX |
|---|---|---|---|
| Redirection page PSP | Non | SAQ-A | Bon |
| Iframe / hosted fields | Non | SAQ-A | Excellent (reste sur le site) |
| Tokenisation + champs natifs | Oui (transit) | SAQ-A-EP / SAQ-D | Excellent mais lourd |
| API directe (raw card) | Oui | SAQ-D + QSA | A eviter |
Pour 99 % des marchands, hosted fields ou redirection = SAQ-A = conformite quasi gratuite.
Mini cas pratique
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Ibrahim, fondateur d'une boutique high-tech a Dakar, traite environ 4 000 transactions carte/an. Tente au depart de tout gerer en interne, il avait recu un devis d'audit QSA a 8 000 EUR/an plus 1 200 EUR de scans ASV. En basculant vers une integration hosted fields ou la carte ne touche jamais son serveur, il est passe en niveau 4 / SAQ-A a 0 EUR. Economie : 9 200 EUR la premiere annee, sans compter le temps d'audit evite.
FAQ
Dois-je etre PCI-DSS si j'utilise Wave et Orange Money ?
Le mobile money n'est pas soumis a PCI-DSS (c'est une norme carte). PCI ne concerne que les paiements Visa/Mastercard. Si vous n'acceptez que du mobile money, PCI ne s'applique pas.
Le SAQ-A est-il vraiment gratuit ?
Le questionnaire en lui-meme est gratuit a remplir. Vous le signez et le conservez. Aucun audit ni scan trimestriel n'est requis tant que vous ne touchez pas la carte.
Combien coute un audit QSA si je traite la carte en direct ?
Ordre de grandeur 2026 : 3 000 a 15 000 EUR/an pour l'audit, plus 500 a 2 000 EUR/an de scans ASV trimestriels. D'ou l'interet d'eviter ce perimetre.
Qu'est-ce que la tokenisation apporte ?
Elle remplace le numero de carte par un jeton inutilisable hors de votre PSP. Vous pouvez ainsi rejouer un paiement (abonnement) sans jamais stocker la carte, et vous restez en SAQ-A.
Qui est responsable en cas de fuite de donnees carte ?
Si la carte ne transite jamais par vous (redirection/iframe), la responsabilite technique repose sur le PSP. C'est l'argument cle pour ne jamais heberger le numero de carte vous-meme.
Discutons de votre projet. Nous construisons des checkouts en hosted fields qui vous gardent en SAQ-A et a cout PCI quasi nul. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
