Si votre commerce accepte des cartes de crédit ou de débit, même un seul paiement par mois, vous êtes légalement tenu d’être conforme PCI DSS. Et pourtant, selon des estimations sectorielles, plus de 6 commerçants canadiens sur 10 ne savent pas exactement ce que cela implique pour eux. Pire : en cas de violation de données, les sanctions peuvent atteindre des dizaines de milliers de dollars en amendes, sans compter les coûts de notification aux clients et les poursuites civiles.
La bonne nouvelle ? Pour la grande majorité des PME, restaurants, cliniques et boutiques au Québec et au Canada, la conformité PCI DSS est plus simple qu’on ne le croit, surtout quand votre fournisseur de services de paiement comme nous, prend en charge l’essentiel du travail.
Dans ce guide, on démystifie la conformité PCI DSS en 2026 : les 4 niveaux de marchands, les 12 exigences à respecter, les sanctions concrètes, et la façon dont les solutions de chiffrement point à point (P2PE), de tokenisation et les terminaux certifiés simplifient radicalement la mise en conformité.
Qu’est-ce que la conformité PCI DSS et pourquoi votre commerce est concerné ?
PCI DSS signifie Payment Card Industry Data Security Standard. C’est un ensemble de normes de sécurité élaboré par les principaux réseaux de cartes (Visa, Mastercard, American Express, Discover, JCB) et géré par le PCI Security Standards Council (PCI SSC).
Concrètement, PCI DSS définit comment vous devez protéger les données de carte de paiement de vos clients : le numéro de carte, la date d’expiration, le code CVV, la piste magnétique, etc. Ces données sont collectivement appelées cardholder data et doivent être chiffrées, stockées de manière sécurisée (ou pas stockées du tout) et transmises sur des canaux protégés.
Qui doit être conforme PCI DSS au Canada ?
Tout commerce qui accepte, traite, stocke ou transmet des données de cartes de paiement, peu importe le volume. Cela inclut :
- Les restaurants qui prennent les cartes en personne ou pour les commandes téléphoniques
- Les boutiques de détail avec un terminal physique ou une boutique en ligne
- Les cliniques médicales, dentaires, vétérinaires et d’esthétique
- Les organismes à but non lucratif qui collectent des dons par carte
- Les professionnels indépendants qui facturent par carte
- Les commerces e-commerce, peu importe la taille
Même si vous ne traitez qu’une seule transaction par carte par mois, l’obligation s’applique. La conformité n’est pas une loi gouvernementale au sens strict, c’est une obligation contractuelle imposée par votre processeur de paiement et les réseaux de cartes. Mais les conséquences d’une non-conformité (amendes, suspension des paiements par carte, responsabilité civile en cas de fuite) sont bien réelles.
La version en vigueur en 2026 est PCI DSS 4.0.1, qui a remplacé définitivement la version 3.2.1 en juin 2024. Cette nouvelle version impose des exigences renforcées en matière d’authentification multifactorielle (MFA), de surveillance continue et de gestion des scripts sur les pages de paiement en ligne.
Les 4 niveaux de conformité PCI DSS, quel est le vôtre ?
Les normes PCI DSS s’appliquent différemment selon le volume annuel de transactions par carte que traite votre commerce. Il existe 4 niveaux, déterminés principalement par les transactions Visa annuelles (les autres réseaux suivent généralement les mêmes seuils).
Niveau 1 : Plus de 6 millions de transactions par année
- Audit annuel par un évaluateur qualifié (QSA — Qualified Security Assessor)
- Scan trimestriel par un fournisseur certifié (ASV — Approved Scanning Vendor)
- Attestation de conformité (AOC) signée par un cadre
Niveau 2 : Entre 1 million et 6 millions de transactions par année
- Audit annuel ou questionnaire d’auto-évaluation (SAQ) selon le réseau
- Scan trimestriel ASV
- Attestation de conformité signée
Niveau 3 : Entre 20 000 et 1 million de transactions e-commerce par année
- Questionnaire d’auto-évaluation (SAQ)
- Scan trimestriel ASV pour les systèmes en ligne
- Attestation de conformité
Niveau 4 : Moins de 20 000 transactions e-commerce ou moins d’1 million de transactions totales par année
- Questionnaire d’auto-évaluation (SAQ), généralement le SAQ A pour les commerces qui externalisent entièrement le traitement
- Scan ASV recommandé si présence d’un site e-commerce
- Attestation de conformité
La grande majorité des PME canadiennes (plus de 95 %) tombent en Niveau 4. Pour vous, la conformité passe principalement par le remplissage annuel d’un questionnaire d’auto-évaluation (SAQ A le plus souvent, qui prend 15 à 20 minutes). C’est gérable, à condition d’utiliser un fournisseur de paiement qui a déjà fait le gros du travail à votre place.
Les 12 exigences PCI DSS expliquées simplement
PCI DSS 4.0.1 organise ses obligations autour de 12 exigences principales, regroupées en 6 catégories.
Bâtir et maintenir un réseau et des systèmes sécurisés
1. Installer et maintenir un pare-feu pour protéger les données de paiement (votre routeur d’entreprise doit être configuré correctement, pas en mode usine).
2. Ne jamais utiliser les mots de passe par défaut des fabricants sur vos terminaux, votre POS, votre routeur Wi-Fi.
Protéger les données du titulaire de carte
3. Protéger les données de carte stockées. Idéalement, ne pas les stocker du tout (le mieux est de tout déléguer à votre processeur).
4. Chiffrer les données de carte transmises sur des réseaux publics (HTTPS obligatoire pour tout site e-commerce, Wi-Fi sécurisé en magasin).
Maintenir un programme de gestion des vulnérabilités
5. Utiliser un antivirus à jour sur tous les ordinateurs qui touchent aux données de paiement.
6. Développer et maintenir des systèmes sécurisés, c’est-à-dire installer les mises à jour de sécurité de votre POS, terminal, ordinateur, etc.
Mettre en œuvre des contrôles d’accès stricts
7. Restreindre l’accès aux données de paiement au personnel qui en a strictement besoin.
8. Identifier chaque utilisateur de manière unique. Chaque employé doit avoir son propre compte avec son propre mot de passe et, depuis PCI DSS 4.0, l’authentification multifactorielle (MFA) est obligatoire pour accéder aux systèmes contenant des données de carte.
9. Restreindre l’accès physique aux données de carte (pas de papier avec un numéro de carte traînant à la caisse).
Surveiller et tester régulièrement les réseaux
10. Suivre et surveiller tous les accès aux ressources et aux données de paiement (logs).
11. Tester régulièrement les systèmes et processus de sécurité (scans de vulnérabilité, tests d’intrusion pour les niveaux 1-2).
Maintenir une politique de sécurité
12. Maintenir une politique écrite qui couvre la sécurité de l’information pour tout le personnel.
Pour un Niveau 4 (la majorité des PME), la plupart de ces exigences sont automatiquement couvertes quand vous utilisez un fournisseur de paiement certifié comme Geasy Pay. Votre fournisseur prend en charge le chiffrement, le stockage sécurisé, les pare-feux infonuagiques et la conformité de l’infrastructure. Vous restez responsable de la sécurité de vos comptes utilisateurs, de vos mots de passe et de votre Wi-Fi.
Les sanctions en cas de non-conformité (et les frais cachés)
Beaucoup de commerçants pensent que la non-conformité PCI DSS n’a pas vraiment de conséquences tant qu’ils n’ont pas de fuite de données. C’est faux. Les sanctions s’appliquent à plusieurs niveaux, dont certains sont déjà actifs sans que vous ne vous en rendiez compte.
1. Frais mensuels de non-conformité PCI sur votre relevé
C’est le plus courant. Votre processeur de paiement vous facture entre 20 $ et 80 $ par mois si vous n’avez pas rempli votre questionnaire SAQ annuel. Cumulé sur 12 mois, c’est 240 $ à 960 $ par an, simplement parce que vous n’avez pas pris 20 minutes pour remplir un formulaire. Vérifiez votre relevé : la ligne s’appelle souvent PCI Non-Compliance Fee ou PCI Compliance Fee.
2. Amendes des réseaux de cartes en cas de violation
Si une violation de données survient et qu’il est démontré que votre commerce n’était pas conforme PCI DSS, les réseaux peuvent imposer des amendes allant de 5 000 $ à 100 000 $ par mois jusqu’à la mise en conformité. Pour un petit commerce, cela peut être existenciel.
3. Coûts liés à une violation de données
Au-delà des amendes, une fuite de données entraîne :
- Frais d’enquête (15 000 $ à 50 000 $) pour identifier la cause et l’ampleur de la fuite
- Frais de notification aux clients touchés. Au Québec, obligation depuis la Loi 25
- Frais de surveillance de crédit offerts aux clients touchés (10 $ à 30 $ par client)
- Augmentation permanente des frais de transaction pour vous, car votre commerce devient un risque accru
- Poursuites civiles potentielles des clients touchés
- Atteinte à la réputation difficile à chiffrer mais souvent dévastatrice pour un petit commerce local
4. Perte du droit d’accepter les cartes de paiement
Dans les cas graves ou récidivants, votre processeur peut résilier votre contrat et vous placer sur la liste MATCH (Member Alert to Control High-Risk) — une liste partagée entre tous les processeurs nord-américains. Une fois sur cette liste, il devient extrêmement difficile de trouver un nouveau processeur, et ce, pendant 5 ans minimum.
Le calcul est vite fait : investir 20 minutes par an dans un questionnaire SAQ et utiliser un terminal certifié coûte infiniment moins cher que la moindre des conséquences ci-dessus.
Comment Global Payments via Geasy Pay simplifie votre conformité PCI ?
Geasy Pay est un partenaire officiel de Global Payments, l’un des plus grands fournisseurs de services de paiement au monde, opérant dans plus de 100 pays. Cette infrastructure mondiale signifie que la quasi-totalité du fardeau technique de la conformité PCI DSS est déjà absorbée par Global Payments avant même que vous ne posiez votre terminal sur votre comptoir.
1. Chiffrement point à point (P2PE — Point-to-Point Encryption)
Avec une solution P2PE validée par le PCI SSC, les données de la carte de votre client sont chiffrées dès l’instant où elle est insérée ou approchée du terminal, puis restent chiffrées tout au long du traitement, jusqu’au déchiffrement final dans l’environnement ultra-sécurisé de Global Payments.
Conséquence directe pour vous : vos systèmes (POS, ordinateur, Wi-Fi, serveur) ne voient jamais les données de carte en clair. Ils ne reçoivent que des données chiffrées illisibles. Cela réduit drastiquement votre périmètre de conformité PCI, vous êtes éligible au questionnaire SAQ P2PE, le plus court et le plus simple (~10 minutes par an).
2. Tokenisation
Quand un client paye avec sa carte, Global Payments remplace immédiatement le numéro de carte (PAN) par un jeton (token) aléatoire, unique pour ce paiement et pour votre commerce. Si quelqu’un volait ce jeton dans vos systèmes, il ne pourrait rien en faire car il ne donne accès à aucune information utilisable ailleurs.
Particulièrement utile pour :
- Les paiements récurrents (abonnements, cotisations OBNL)
- Les clients fidèles dont vous voulez conserver le mode de paiement
- Les commerces en ligne qui veulent éviter de demander à nouveau le numéro de carte à chaque achat
3. Terminaux certifiés PCI PTS
Tous les terminaux fournis par Geasy Pay (Ingenico Desk 5000, Ingenico Move 5000, terminaux Genius, etc.) sont certifiés PCI PTS (PIN Transaction Security). Cette certification garantit que :
- Le clavier est résistant aux tentatives d’extraction de code NIP
- Les données ne quittent jamais le terminal en clair
- Le terminal détecte automatiquement les tentatives d’altération physique et se verrouille
Voir notre refresh complet Machine Interac pour comparer les terminaux disponibles, et notre guide système POS au Québec pour les solutions intégrées.
4. Plateforme infonuagique sécurisée
L’infrastructure Global Payments est hébergée dans des centres de données certifiés ISO 27001 et conformes aux plus hauts standards mondiaux de sécurité. Tous les pare-feux, systèmes de détection d’intrusion et journaux d’accès sont gérés 24/7 par les équipes de sécurité de Global Payments — pas par vous.
5. Accompagnement humain par Geasy Pay
Notre équipe locale au Québec vous accompagne pour :
- Identifier votre niveau PCI DSS et le bon questionnaire SAQ à remplir
- Vous guider à travers le SAQ en français
- Vérifier la configuration sécurisée de votre Wi-Fi et de vos comptes utilisateurs
- Vous alerter si une mise à jour de sécurité majeure est requise
Évaluez votre conformité PCI dès aujourd’hui !
Voici la marche à suivre pratique pour mettre votre commerce en conformité (ou vérifier que vous l’êtes déjà) :
Étape 1 — Identifiez votre niveau PCI DSS
Estimez votre nombre annuel de transactions par carte (toutes catégories : crédit, débit, en magasin, en ligne). Si vous êtes sous 1 million de transactions totales par an, vous êtes très probablement Niveau 4.
Étape 2 — Identifiez le bon questionnaire SAQ
Il existe plusieurs questionnaires SAQ selon votre situation :
- SAQ A — Vous externalisez entièrement le traitement (vous utilisez seulement un terminal physique ou un fournisseur certifié pour votre paiement en ligne). Le plus simple, ~15-20 minutes.
- SAQ A-EP — Site e-commerce où la page de paiement est hébergée par un tiers mais le client tape son numéro sur votre site (avec redirection ou iframe).
- SAQ B — Terminal autonome (sans connexion à un POS).
- SAQ B-IP — Terminal connecté par IP mais sans stockage local.
- SAQ C-VT — Terminal virtuel (paiement par téléphone ou par lien).
- SAQ C — Système de paiement intégré à votre commerce, mais pas connecté à internet.
- SAQ D — Tous les autres cas (le plus complet et le plus exigeant).
Si vous utilisez un terminal Geasy Pay standard, vous remplirez très probablement le SAQ A ou le SAQ B-IP — les deux les plus courts.
Étape 3 — Remplissez votre SAQ et signez votre attestation de conformité (AOC)
Le SAQ est un questionnaire à choix oui/non sur les pratiques de sécurité de votre commerce. Une fois rempli, vous signez l’attestation de conformité (AOC) et la transmettez à votre processeur de paiement (Geasy Pay). Validité : 12 mois.
Étape 4 — Effectuez les scans ASV si applicable
Si vous avez une boutique en ligne, des scans trimestriels par un Approved Scanning Vendor (ASV) sont obligatoires. Ces scans vérifient automatiquement que votre site n’a pas de vulnérabilités exploitables. Coût typique : 50 $ à 200 $ par trimestre. Geasy Pay peut vous recommander un ASV partenaire si nécessaire.
PCI DSS et Loi 25 : ce que les commerçants québécois doivent savoir
Au Québec, les obligations PCI DSS s’ajoutent à un cadre réglementaire plus large : la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), entrée en vigueur progressivement entre 2022 et 2024. Toutes ses dispositions sont actives en 2026.
Ce que la Loi 25 exige des commerces québécois
- Désigner un responsable de la protection des renseignements personnels dans votre organisation
- Tenir à jour une politique de protection des renseignements personnels publique sur votre site web
- Notifier la Commission d’accès à l’information (CAI) et les personnes touchées en cas d’incident de confidentialité présentant un risque sérieux de préjudice
- Tenir un registre des incidents de confidentialité, même mineurs
- Évaluer les facteurs relatifs à la vie privée (EFVP) avant tout projet de système d’information impliquant des renseignements personnels
Sanctions Loi 25 : Jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial (le plus élevé des deux), avec également des amendes pénales et des actions civiles possibles.
Le chevauchement avec PCI DSS
Les données de carte de paiement contiennent des renseignements personnels au sens de la Loi 25 (nom du titulaire, numéro de carte). Votre conformité PCI DSS contribue donc directement à votre conformité Loi 25 sur le volet sécurité du paiement. Mais la Loi 25 va plus loin : elle couvre tous les renseignements personnels que vous collectez (adresses courriel des clients pour la fidélisation, numéros de téléphone pour les rappels de rendez-vous, etc.), pas seulement les données de paiement.
Notre recommandation : Traitez la conformité PCI DSS comme la fondation de sécurité du paiement, et la Loi 25 comme le cadre global de gestion des données personnelles dans votre commerce. Les deux sont complémentaires et doivent être respectés en parallèle.
Questions fréquentes sur la conformité PCI DSS au Canada
Mon commerce doit-il vraiment être conforme PCI DSS au Canada ?
Oui. Tout commerce qui accepte, traite, stocke ou transmet des données de cartes de paiement (Visa, Mastercard, Amex, Interac débit) doit être conforme PCI DSS, peu importe le volume — même une seule transaction par mois suffit à déclencher l’obligation. Cette obligation est imposée par les réseaux de cartes et votre processeur de paiement, pas par une loi gouvernementale, mais les sanctions financières sont bien réelles : amendes mensuelles de non-conformité, frais en cas de violation, voire perte du droit d’accepter les cartes.
Comment sécuriser les paiements par carte dans mon restaurant ou ma boutique ?
Trois actions concrètes en 2026 : 1) Utiliser un terminal certifié PCI PTS connecté à un fournisseur de paiement certifié (comme Geasy Pay via Global Payments) qui prend en charge le chiffrement P2PE et la tokenisation ; 2) Sécuriser votre Wi-Fi avec WPA3 et un mot de passe complexe — ne jamais utiliser le Wi-Fi pour les paiements si possible ; 3) Remplir annuellement votre questionnaire SAQ et garder une preuve de conformité à jour. Pour la plupart des PME, ces 3 actions couvrent l’essentiel de la conformité PCI DSS.
Qu’est-ce que la conformité PCI DSS pour une PME ?
Pour une PME canadienne (généralement Niveau 4 PCI), la conformité consiste principalement à : remplir un questionnaire d’auto-évaluation annuel (SAQ A le plus souvent, 15-20 minutes), utiliser des terminaux et des solutions de paiement certifiés, sécuriser le réseau Wi-Fi du commerce, ne pas stocker les numéros de carte sur des fichiers locaux ou papier, et appliquer les mises à jour de sécurité aux systèmes (POS, ordinateurs). La majorité du travail technique est absorbée par votre fournisseur de services de paiement.
Combien coûte la conformité PCI DSS pour un petit commerce ?
Si vous utilisez un fournisseur de services de paiement certifié comme Geasy Pay, le coût de la conformité PCI DSS pour une PME se limite généralement à des frais administratifs minimes — souvent inclus dans votre forfait mensuel. Les coûts additionnels n’apparaissent que pour les commerces e-commerce (scans ASV trimestriels à 50-200 $) ou les commerces de Niveau 1-2 (audits QSA à 5 000-50 000 $/an). À l’inverse, ne pas être conforme coûte 20 à 80 $/mois en frais de non-conformité PCI sur votre relevé — payer pour ne rien faire.
Quels sont les 4 niveaux de conformité PCI DSS ?
Niveau 1 : plus de 6 millions de transactions Visa/an (audit annuel obligatoire). Niveau 2 : 1 à 6 millions (audit ou SAQ). Niveau 3 : 20 000 à 1 million de transactions e-commerce (SAQ + scan ASV). Niveau 4 : moins de 20 000 transactions e-commerce ou moins d’1 million de transactions totales (SAQ + scan ASV recommandé). Plus de 95 % des PME canadiennes sont en Niveau 4 et n’ont à remplir qu’un questionnaire d’auto-évaluation annuel.
Que se passe-t-il en cas de violation de données de paiement ?
En cas de violation : 1) Notification obligatoire à votre processeur de paiement et, au Québec, à la Commission d’accès à l’information (Loi 25) ; 2) Enquête forensique (15 000 à 50 000 $) pour déterminer la cause ; 3) Notification aux clients touchés et offre de surveillance de crédit (10-30 $/client) ; 4) Amendes possibles des réseaux de cartes (5 000 à 100 000 $/mois jusqu’à mise en conformité) ; 5) Risque de poursuites civiles ; 6) Possible mise sur la liste MATCH si le commerce est jugé responsable, ce qui empêche d’accepter les cartes pendant 5 ans.
Qu’est-ce que le SAQ (Self-Assessment Questionnaire) ?
Le SAQ est un questionnaire d’auto-évaluation annuel que vous remplissez pour valider votre conformité PCI DSS. Il existe 9 versions différentes du SAQ selon votre situation (présence en ligne, type de terminal, etc.). Pour la majorité des PME utilisant un terminal certifié comme ceux fournis par Geasy Pay, c’est le SAQ A qui s’applique : environ 22 questions à choix oui/non, 15-20 minutes à compléter.
Qu’est-ce que la tokenisation des paiements et pourquoi c’est important ?
La tokenisation remplace immédiatement le numéro de carte de votre client par un jeton unique, aléatoire, qui ne sert qu’à identifier ce paiement spécifique chez votre processeur. Si quelqu’un volait ce jeton dans vos systèmes, il ne pourrait rien en faire : il ne donne pas accès au vrai numéro de carte. La tokenisation est particulièrement utile pour les paiements récurrents (abonnements, dons OBNL), les boutiques en ligne et les programmes de fidélité — elle vous permet de conserver le mode de paiement d’un client sans jamais avoir les vraies données de carte dans vos systèmes.
Comment Global Payments aide-t-il à la conformité PCI DSS ?
Global Payments (via Geasy Pay au Québec) absorbe la majeure partie du fardeau technique de PCI DSS en fournissant : 1) Une plateforme infonuagique certifiée ISO 27001 et PCI DSS de niveau 1 ; 2) Le chiffrement point à point (P2PE) validé par le PCI SSC qui réduit votre périmètre de conformité ; 3) La tokenisation automatique de toutes les transactions ; 4) Des terminaux certifiés PCI PTS ; 5) Une équipe locale Geasy Pay qui vous guide dans le SAQ. Résultat : vous restez responsable seulement de la sécurité de vos comptes utilisateurs, mots de passe et Wi-Fi.
PCI DSS et Loi 25 du Québec sont-ils compatibles ?
Oui, et même complémentaires. PCI DSS protège spécifiquement les données de paiement par carte. La Loi 25 québécoise, en vigueur dans toutes ses dispositions depuis septembre 2024, couvre l’ensemble des renseignements personnels que vous collectez (paiements, mais aussi adresses courriel, téléphones, dossiers clients). Votre conformité PCI DSS contribue à votre conformité Loi 25 sur le volet paiement, mais la Loi 25 ajoute des obligations supplémentaires : désigner un responsable de la protection des renseignements personnels, publier une politique de confidentialité, tenir un registre d’incidents, notifier la Commission d’accès à l’information en cas de fuite. Les sanctions Loi 25 peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial.
Évaluez votre conformité PCI avec Geasy Pay
Vous n’êtes pas certain d’être conforme PCI DSS ? Vous voyez une ligne PCI Non-Compliance Fee sur votre relevé mensuel sans savoir quoi faire ? Vous souhaitez simplement avoir l’esprit tranquille et savoir que votre commerce est protégé ?
Geasy Pay vous offre une évaluation gratuite de votre conformité PCI :
✅ Diagnostic complet de votre situation actuelle (niveau PCI, SAQ requis, exposition aux risques)
✅ Recommandations concrètes pour combler les écarts identifiés
✅ Accompagnement en français par notre équipe locale au Québec
✅ Migration sans interruption vers nos terminaux certifiés Global Payments si vous changez de fournisseur
✅ Élimination des frais mensuels de non-conformité PCI (souvent 20 à 80 $/mois) dès la mise en conformité
Contactez-nous dès aujourd’hui :
- +1 438-806-0450
- Demande de soumission gratuite via notre formulaire de contact
- Discussion en direct avec un conseiller en moins de 15 minutes
Pour aller plus loin sur la sécurité et les coûts de paiement au Québec :