PCI-DSS, vous avez sûrement vu le sigle dans le bas de page de vos contrats TPE sans vraiment savoir ce que ça implique pour vous restaurateur. La bonne nouvelle : 95% du travail PCI-DSS incombe à votre acquéreur, pas à vous. Mais 5% reste de votre responsabilité, et la négligence peut coûter cher en cas d'incident. Voici l'essentiel à connaître.
PCI-DSS : c'est quoi ?
PCI-DSS (Payment Card Industry Data Security Standard) est un référentiel de sécurité créé en 2004 par les schémas de paiement Visa, Mastercard, Amex, Discover et JCB. Son but : protéger les données carte des consommateurs contre le vol et la fraude.
Il définit 12 exigences techniques et organisationnelles, regroupées en 6 catégories (réseau sécurisé, protection des données, gestion des accès, surveillance, politique de sécurité…). Tous les acteurs traitant des données carte doivent s'y conformer, du commerçant au datacenter de l'acquéreur.
Les 4 niveaux de conformité PCI-DSS
| Niveau | Volume annuel transactions | Pour qui (typique) | Audit requis |
|---|---|---|---|
| Niveau 1 | >6M transactions/an | Très grandes chaînes, e-commerçants majeurs | Audit annuel par QSA externe |
| Niveau 2 | 1M à 6M / an | Grandes chaînes restaurants/hôtels | Self-Assessment Questionnaire (SAQ) + scan trimestriel |
| Niveau 3 | 20K à 1M / an | Restaurants de taille moyenne, gros indépendants | SAQ annuel |
| Niveau 4 | <20K / an | Petits commerces, indépendants HORECA | SAQ annuel simplifié |
Pour un restaurant moyen belge (<20 000 transactions cartes par an, soit <55/jour), vous êtes en niveau 4. Le formulaire SAQ-A à remplir est très simplifié et ne demande que ~30 minutes par an si vous utilisez un TPE certifié et ne stockez aucune donnée carte.
Ce que votre acquéreur fait à votre place
95% de la conformité PCI-DSS est portée par votre acquéreur (Paynovate, Europabank, Viva.com…) :
- Chiffrement des données carte de bout en bout
- Hébergement dans des datacenters certifiés PCI-DSS niveau 1
- Surveillance 24/7 des transactions (anti-fraude)
- Mise à jour permanente des certificats SSL/TLS
- Gestion des accès et logs sécurisés
- Tests de pénétration trimestriels
- Formation du personnel acquéreur
Tous les acquéreurs URBANPOS (Paynovate, Europabank, Viva.com) sont certifiés PCI-DSS niveau 1, le plus haut. Vous bénéficiez automatiquement de ce niveau de sécurité.
Vos 5 responsabilités restantes
En tant que commerçant HORECA niveau 4, vous devez :
- Ne jamais stocker de données carte sur papier, dans un fichier Excel, sur un post-it, dans une note vocale, etc. Le numéro de carte n'est jamais retransmis ailleurs que sur le TPE.
- Utiliser uniquement un TPE certifié PCI-PED (Pin Entry Device). Tous les TPE livrés par URBANPOS le sont — c'est inscrit sur le contrat acquéreur.
- Ne pas modifier la configuration TPE vous-même. Toute modification doit passer par votre acquéreur ou URBANPOS.
- Former votre équipe à ne pas demander/manipuler les numéros de carte. Si un client demande de prendre sa carte « pour la passer », c'est une mauvaise pratique : le client doit présenter sa carte lui-même au TPE.
- Remplir le SAQ-A annuel (~30 min) que votre acquéreur vous envoie chaque année.
Les pièges PCI-DSS à éviter
| Piège | Pourquoi c'est interdit | Risque |
|---|---|---|
| Noter le numéro de carte sur une fiche client | Stockage non chiffré | Fuite de données + amende PCI |
| Photographier la carte d'un client | Stockage hors zone sécurisée | Idem + procédure pénale possible |
| Demander le code PIN à voix haute | Compromission du secret | Annulation contrat acquéreur + responsabilité fraude |
| Réutiliser un TPE non certifié (acheté en seconde main) | Pas de garantie sécurité | Refus acquéreur + risque skimming (vol de cartes) |
| Ouvrir le TPE pour réparation soi-même | Compromet la certification PCI-PED | Annulation garantie + audit obligatoire |
En cas d'incident : que faire ?
Si vous suspectez une fuite de données carte (TPE volé, intrusion réseau, employé suspect, plaintes clients) :
- Préservez les preuves : ne déplacez rien, prenez des photos.
- Appelez immédiatement votre acquéreur : ils ont une cellule cyber qui guide la réponse.
- Notifiez l'APD belge sous 72h si des données personnelles sont concernées (RGPD).
- URBANPOS peut intervenir en support technique pour préserver la chaîne de traçabilité.
En pratique, les incidents PCI-DSS chez les commerçants HORECA niveau 4 sont rarissimes. Le plus gros risque reste le vol de TPE physique — qui n'a aucune valeur pour le voleur (le TPE chiffré devient inutilisable hors compte commerçant).
Audit PCI-DSS gratuit de votre installation HORECA
URBANPOS vérifie en 30 minutes que votre installation TPE + caisse + WiFi respecte PCI-DSS. Pratiques équipe, configuration matérielle, mots de passe — tout est vérifié.
Demander mon audit PCI-DSSAller plus loin
- Fraude à la carte au restaurant : 7 signaux à détecter
- TPE certifiés PCI-PED Paynovate, Europabank, Viva.com
Questions fréquentes
Suis-je concerné par PCI-DSS en tant que restaurateur belge ?
Oui, comme tout commerçant qui accepte la carte. Mais à votre niveau (niveau 4 si vous faites moins de 20 000 transactions cartes/an), les obligations se limitent à ne pas stocker de données carte et à remplir un Self-Assessment Questionnaire (SAQ-A) annuel de ~30 min.
Mon TPE est-il automatiquement PCI-DSS conforme ?
Si vous l'avez reçu d'un acquéreur certifié (Paynovate, Europabank, Viva.com, Worldline…), oui. Tous les TPE de ces acquéreurs sont certifiés PCI-PED (le standard sécurité matériel). Vérifiez la mention dans votre contrat.
Que faire si je note un numéro de carte par erreur ?
Détruisez immédiatement le support (déchirez la fiche, supprimez la photo). Si une copie a circulé (équipe, fournisseur), notifiez votre acquéreur et l'APD belge sous 72h en cas de risque RGPD. PCI-DSS interdit absolument tout stockage de numéros carte.
Combien coûte une amende PCI-DSS pour un restaurant ?
En cas de non-conformité avérée et de fuite : 5 000 à 100 000€ d'amende possible côté schémas + responsabilité civile + RGPD. En pratique, les amendes sont rares pour les niveaux 4 mais l'annulation du contrat acquéreur est quasi-systématique en cas d'incident.
Que dois-je remplir comme document chaque année ?
Le Self-Assessment Questionnaire (SAQ-A pour niveau 4 e-commerce / SAQ-B pour TPE physique). Votre acquéreur vous l'envoie chaque année, c'est un formulaire en ligne d'une trentaine de minutes confirmant vos pratiques de base.