EANQIJE DES ËTATS Yaoundé.

le
DE L'AFRIQUE CENTRALE

^vçfu."*"

INSTRUCTION NO I ( i7çP72924 PELATIVE AUX NORMES

TECHNIQUES DES INSTRUMENTS ELECTRONIQUES DE PAIEMENT

Le Gouverneur,

Vu la Convention régissant l'Union Monétaire de I'Afrique Centrale (IJMAC) en vigueur ;

vu tes sratuts de la Banque des États de I'AAique Centrale (BEAC) ;

Vu lâ Convention du 16 octobre 1990 ponafi fféation d'une Commission Bancaire de

I'A&ique Centrale (COBAC), son annexe et ses textes subséqu€nts ;

Vu la Convention du l7 jânvis 1992 portant harmonisation de la réglementation bancaire

dans les Etas de l'Afiique Centrale et son annexe ;

Vu le Règlement N" 0l /16/CEMACTMACiCM du l1 avril 2016 portant prévention et

répression du blanchimenl des capitaux et du financement du terrorisme et de la prolifération
en Afrique Central€ ;

Vu le Règlemenl N" 03i I6/CEMAC^JMACiCM du 2l décembre 2016 relatif aux systèmes,

moyens el incidents de Paiement ;

Vu le Règlement N" O2/I8iCEMACTMACiCM du 2l décembre 2018 portant

régtementation des changes dans la CEMAC ;

Vu le Règl€ment N' 04/18/CEMAC/UMAC/COBAC du 2l

décembre 2018 relatif aux
services de paiement dans la Communaulé Ecoflomique et Monétaire de I'Afrique CenÙale
et ses textes subséquents ;

Vu l'Instruction N" 001/GR/2018 du l0 août 2018 relative à la défrnition de l'étendue de

I'inlerop&abilité et de l'interbancarité des systèmes de paiement monétiques dans la
CEMAC;

Considérant les missions statutairc et légale de la BEAC de veiller au bon fonctionnement

ainsi qu'à la sécurité des systèmes et moyens de paiement et d'a§surü la suneillance des
systèmes et des services de paiement de la CEMAC :-f^
ry
N.sEa.4k24
 Considérant la nécessité pour la Banque Centrale de garantir la fiabitité et la sécurité des
instruments de paiement afin de fayoriser la confiance du public dans la monnaie scripturale
et contribuer ainsi à l'inclusion bancaire,

PREND L'INSTRUCTION DONT LA TENB UR SUIT :

Section I - Dispositions générales

Article premier. - La présente Instruction fixe les normes techniques régissart

les
instruments électroniques de paiement émis dans la CEMAC. Elle précise les conditions et
modaiités d'archivage des informations afférentes.

Article 2.- Au sens de la présente Instruction, les mots et expressions suivantes s'entendent
ainsi qu'il suit ;

a) Accepteur', client commerçant ayant signé un contrat avec un assujetti en lue de

receyoir le règlement des biens et services foumis vÀa les instruments électoniques de
paiement émis par celuici.

b) Authenlilicotion : procédure permettant au prestataire de services de paiement de

vérifier l'identité I'utilisateur de services de paiement ou la validité de l'instrument
de
électronique de paiem€nt utilisé par celui-ci, par le recours à divers outils ou procédés,
y compris I'utilisation des données à camctère personnel de l'utilisateur.

c) Authentilication simple: procédure d'authentifiÇation utilisant uniquement le code

d'authentification.

d) Authentilicalionforle du clienl : proçédutre d'authentification reposant sur l'utilisation

d'au moins deux éléments :un code d'authentification et un code de confirmâtiûn de
1'authentification comportant des données appartenant aux catégories «connaissance»
(quelque chose que seul l'utilisateur connaît), <gossession» (quelque chose que seul
l'utilisateu possède) et «inhérence» (quelque chose que I'utilisateu est) et
indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité
des autres, et qui est conçue de manière à protéger la confidentialité des données
d'authentifi cation du client.

e) Assujetti Établissement assujetti au sens de l'article l* du Règlement N'

:
03/16/CEMAC^-IMAC/CM du 2l décembre 2016 relatif aux systèmes, moyens et
incidents depaiement, ainsi que toute personne morale habilitée par des lois nationales
d'un Etat de la CEMAC à émette et gérü des ùstrume s électroniques de paiement,
y compds les Trésors Publics nationaux, les services financiers des adminisbations
postales nationales et la Banque des Etats de I'Aûique Centrale.

fl Instrument éleclronique de paiement: tout dispositif technique élecüonique __

personnalisé, quel qu'il soit, compoiant une mémoire informatiq ue perltlett^ntj;

/
N':sEa.A$"/2olL
'/
 l'emcgistement, le stockage et le tamfert de données notamment la carte de paiement,
l'ordinateur et le téléphone môbile, qui offre la faculté au client, sous son contrôle
exclusif, d'initier un ordre de paiement par débit d'un compte bancaire, d'un compte
de paiement ou d'un compte de monnaie électronique, centralisé ou non.

g) Partenaire technique: personne morale qui foumit à un assujetti des services et

capacités techniques ainsi que des conditions matérielles et logicielles nécessabes à
la réalisation des opératiors d€ services de paiement.

h) Porteur: client, personne physique ou morale qui, en vertu d'un contrat conclu avec
un assujetti, §st titulaire d'un compte bancaire ou de paiement ou de monnaie
électronique et détenteur d'un instrument éleckonique de paiement pour une utilisation
pour son propre compte.

i) Porte-monnaie électroniqtæ: tout dispositif technique pe$onnalisé comportant une

mémoire informatique qui permet à un client d'enregistrer, de conserver et de
transférer à tite de paiement de la monnaie électronique sous son contrôle exclusif.

j) Sentice de paiemel,t . activités liées ou connexes à la mise à disposition ou la gestion

des moyens de paiement âu sens du Règlement N' 04/18/CEMAC/ UMAC/COBAC
relatif aux services de paiement dans la CEMAC ;

k) Carte de paiemenl . tout instrument élechodque de paiement, physique répondant aux

spécifications de la norme ISO 7816 ou dématérialisé, émis par un établissement
assujetti et permettant à son titulaire de llansférer des fonds nolamment par un débit
immédiat du compte du titulaire, un débit difféÉ ou à toute âutre forme de crédit en
vertu d'une stipulalion expresse du contat conclu entre l'émetteur et le titulaire de la
carte-

Article 3.- Tout instrument électronique de paiement émis dans la CEMAC est doté de
dispositifs techniques permettant d'ordonner et de valider un paiement de manière sécurisée,
avec ou saûs la saisie d'un code d'authentification.

Un paiement ordonné et validé sans la saisie du code d'authentification est un paiement sans
contacl.

Le paiement sans coftâct est utilisé pour les transactions en ligne ou à distance

Article 4.- L'instrument électronique de paiemont, avec ou sans contact, est doté de dispositifs
de sécurité physique ou logique notamment logiciel destinés à réduire, sinon à éliminer le
risque de transactions non volontaires et ou frauduleuses.

L'établissement émetteur ne peut facturer distinctement au porteul la mise en place de ces

dispositifs de sécurité.

Article 5.- Tout système, solution ou plateforme d'acceptationde paiements par instrument
él€ctronique de paiement fonctionnant ou installé dans la CEMAC est doté de fonctionnalilés-"a-
ry-
3

N.:SEQ o4a+
techniques lui permettant de réaliser des paiemonts avec ou sans saisie d,un code
d'authentification par ['initiateur ou doDneur d'ordre.

Article 6.- Toul terminal de paiement élecbonique ou terminal de point de vente, tout
dispositif d'acceptation de paiements par instrument élechonique de paiement, installé dans
la CEMAC est doté de fonctionnalités et capacités techniques lui permettant de réaliser
l'acceptation des paiements avec ou sans saisie d'un code d'aulheDtification par I'initiateur
ou donoeur d'ordre.

Article 7.- Tout automat€ Distributeur Automatique de Billets de banque (DAB), tout
Guichet Automatique de Banque (GAB) fonctionnant ou installé dans la CEMAC est doté de
fonctionnalités techniques permenant aux porteus d'un instrument de paiement électronique
de réalisq des opérations de teüait avec ou sans saisie d'un code d'authentification sur le
clsYier de I'automate.

Section II : Authentificetion des transactions de paiement

Article 8.- Tout porteur ou titulaire d'un instrument électronique de paiement dispose d'un
mot de passe ou code d'authentification, constitué d'au moins quatre (04) caractères
numériques.

Le code d'authentification est une donnée, un code p€rsonn€l secret qui ne doit pas êlre
communiqué par son titulaire à une autre personne.

Lorsque le code d'authertificâtion est un mot de passe, il doit etre modifiable ô I'initiative du
porteur. A cet efïet, l'étâblissement âssujeni prend toutes les disposiüons pour rendre le mot
de passe modifiable, à tout moment par le porteur.

Le changement du mot de passe à I'initiative du porteû est gra1ui1. Il doit êtle instantané et
possible à distance ou sur un automate mis à la disposition de celui-ci par l'établissement
assujetti.

Article 9. - En plus du code d'authentification mentionné à l'anicle précédenr, chaque

titulaire d'un compte bancaire ou compte de paiement, associé à un instrument élecronique
de paiement doit disposer d'une clé de conûôle, exigée pour la reception des fonds par celui-
ci.

La clé de contrôle est une chaîne de trois (03) camctères alphanumériques que le titulaûe d'un
compte bancaire ou compte de paiement doit communiquer aux personnes souhaitant lui
expédier des fonds. Aussi, en plus de l'alias ou numéro de téléphone utilisé pour créditer un
compte, I'expéditeur des fonds doit obligatoirement disposer de la clé de contrôle du
destinataire.

La clé de contrôle est un code d'identification diffusabte par [e titulaire du comptc bancaire
ou compæ de paiement ,fl
w
N'sEA/lty'.,ht4
La clé de contrôle est générée par le PSP et communiquée au titulùe du compte bancaire ou
compte de paiement.

La clé de contrôle n'esl pas exigée pour les opérations intemationales hors CEMAC.

Article 10.- Sans préjudice des dispositions de t'article ci-dessus 9, aucune transacrion de
paiement avec un instrument électonique de paiement ne peul être initiée ou validée sems mot
de passe ou code d'authsntification, sous réserve des exceptions prévues au présent article,

Le PSP ne pourra valider la transaction. et par conséquent créditer le compte du bénéficiaire

que si le numéro de compte ou alias de celui-ci correspond à la clé de contrôle indiquée,
pré\,ue à l'anicle precedent. Dans le cas conüaire, [a transaction doit etre rejetée.

Les paiements sans contâct, sans authentification par code ou par données biomélriques sonl
autorisés pour les montants inférieus à hente mille (30 000) F.CFA.

Àrticle ll.- La procédure d'authentification simple est mise en cuwe à l'occasion de

l'utilisation d'un instrument éledronique de paiement dans le cadre :

des opérations de paiement effectuées dans le commerce, physiquement par le porteur,

donneur d'ordre, en présence du commerçaflt accepteur ;

des paiemens effectués sur le portail itrtemet de l'établissement assujetti, émetteur de

l'instrument électroniquc de pai€ment.

Les instruments électroniques de paiement dans lesquels est intégée une mélhode
d'authentification pâr données biométriques embarquée permettant des paiements sans
contact, peuvent réaliser des transaclions sans limites de montant autres que celles fixées par
l'émetteur.

Àraicle 12.- L'établissement assujetti applique l'authentification forte du client lorsque le

pâyeur :

a) Accède à son compte de paiement en ligne

b) Initie une operation de paiement électlonique.

c) Exécute une action, glâce à un moyen de communication à dislance, susceptible de

comporter un risque de fraude en matière de paiement ou de toute aufte utilisation
flauduleuse.

Pour I'initiation dcs opérations de pai€ment électronique à distânce, les prestâtaires de

services de paiement appliquent l'authentification forte du client comprenant des élémenr
qui établiss;nt un lien dynamique entre l'opératio& le montant et le bé;éfici8ire donnés. a
q
N':SEQ?/ t/x*+
Article 13.- La méthode et la procédwe d'authentification font l,objet d,une information
préalable de la Banque Centrale. Dans le silence de la Barque Centmte, elles entent en
vigueur au sein de l'établissement assujetti dans les trente (30)jours de la réception par celle-
ci de I'information préalable.

Article 14.- Aux fins de transâctionsen ligne, la plateforme de l,établissement assuietti ou du

pad€naire techrique doit pouvoir gérer un codc d'authentification fourni au porteur et un autle
code de confirmation de I'authentification gén&é de façon ponctuelle et communiqué en
temps réel au porteur par courriel ou par SMS ; ce demier cod€ devant être d,utilisation
unique.

Le code de confirmation de l'authentihcation de I'identité du porteur, donneur d,ordre, a une

durée de validité inférieure ou égale à cinq (05) minures.

Le code d'authentification des transactions en ligne a une longueur ou une structure diff&ente
de celle du mot de passe.

Àrticle 15.- L'authentification avec les données biométiques, aukes que celles foumies par
le Fichier Régional des Clients et Comptes Bancaires (FRCB) de la Centrale des lncidents de
Paiement (CIP) de la BEAC et colleclées conformément aux dispositions légales en vigueur
est subordonnée à l'autorisation préalable de la BEAC.

La demande d'autorisalion préalable adressée à la BEAC, restée sans réponse plus de cent
quatre-vingt (180) jours apiès réception par celle-ci du dossier complet, est réputée rejetée.

L'autlentification avec les données biométriques foumies par le Fichier Régional des Clients
€1 Comptes Bancaires (FRCB) de la Centrale des Incidents de Paiement (CIP) de ta BEAC ne
requiert aucune autorisation.

Article 16.- L'établissement assujeüi met en place des mesules de sécurité adéquates afin de
protéger lâ confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs
de services de paiement.

Section III: Réclamâtions et notifications

Article 17.- Sans préjudice de l'application de tout autre délai légal ou réglementaire plus
favorable, toutes les réclamations des clients relatives aux opérations réalisées avec des
instruments électoniques de paiement sont tlaitées :

dans un délai maximum de deux (02) jours ouwés dès réception pour les opérations à
l'intérieur du réseau de l'établissement assujetti émetteur ;

dans un délai maximum de deux (02)jours ouvÉs dès réception po ur les opérations par
porte-monnaie électuonique intervenues à l'intérieur de la CEMAC ;

6
N.:SEQ *y'*t+
 dans un délai maximum de hüt (08) jours ouvrés dès réception par I'établissement
assujetti pour les opémtions par porte-momaie électronique pour les opérations hors de
la CEMAC ;

dans un délai maximum de huit (08) jours ouwés dès réception par l'établissement
assujetti pour les opérations par cartes de paiement à l'intérieur de la CEMAC ;

- dans un délai maximum de quinze (15)jours calendaires dès réception de la réclamation

pour les opérations par carte de paiement hors de la CEMAC.

Article 1t.- La éclamation du client est formulée dans un délai de quinze (15) jours
calendaires après la survenance de l'incident.

Article 19.- Le client est notifié par SMS ou tout aure moyen laissant tace éffite de la
réception de sa réclamation.

La notification précise la dâte de reception de la réclamation et le délai estimatif de son

traitement par l'établissement assujetti. Le clienl est ootifié par les mêmes voies du son
réservé à sa réclamation.

Article 20.- Les réclamations des clients et le tmitement de celles-ci font l'objet d'un rapport
trimesriel, adressé à la BEAC avec copie à la COBAC.

Le rapport trimestriel comporte notamlneot l'identification des auteurs des réclamations,

I'objet de celles-ci et leurs caractéristiques bancaires ou financières, les dates et heures des
requêtes, leur durée de traitement et le sort réservé celles-ci.

Article 2t.- Une Lettre Circulaire du Gouvemeur de la BEAC définit les modalités
d'étâblissemenr et de communication du lappon üimestriel des réclamations.

Section IV: Tableau de bord de l'âctivité

Àrticle 22.- Les solutions et platefonnes techniques de foumiture de services de paiement

utilisées par les établissements assujettis disposent des outils el procédures de reporting
permettant la surveillance en temps réel dc leurs opérations réalisées par instruments de
paiement électroniques.

La plsteforme technique de traitement des opémtions par porte-monnaie électronique doit

permettre d'afficher en permanence en temps réel l'encours des unités de valeur de monnaie
électonique non utilisées correspondant à la somme des soldes de tous les porte-monnaie
électroniques non encore utilisés et non temboursés.

La plateforme techniqu€ de Eaitement des opérations par cafles de paiement Fépayées doit
permefire d'aflicher en temps réel le solde total des comptes des cartes de paiemenl prepayées
émises et valides, et le sotde individuel de chaque carte de paiement prépayée valide r-
^
,7

N":SEQ a.ry'-ta
Article 23.- Les solutions et plateformes techniques de foumitue de services de paiement
uülisées par un établissement assujetti doivent permettre de consulter en temps réel tous les
encours de crédits et débits différés, le nombre et le volume des üédits et débits différés
impayés.

Articlê 24.- Les solutions et plateformes techniques de foumiture de services de paiement

utilisées par un établissement assujetti doivent perm€ttre d'indiquer en temps réel le cumul
des sommes réclamées et en cours de réclamation des six (06) demiers mois, par type
d'instrument électronique de paiement.

Elles doivent permettre d'indiquer le nombre de cartes de paiement prépayées et le nombre

de porte-monnaie électroniques expirés dont le solde n'a pas fait I'objel d'une éclamation de
restitution, el le montant non restitué pour chacun des types d'instruments ainsi que le montant
cumulé des sommes non remboursées.

Les sommes noû remboursées doivent être logées dans un compte séquesüe dislinct pour
chacun des types d'instruments électoniques de paiement ouved dans les liwes de
l'établissement assujetti émetteu.

Àrticle 25.- L'établissement de crédit teneur du comple de cantonnementd'un établissement

de paiement est tenu de lui permetae de consulter ledit compte en temps réel.

Article 26.- Les sotutions et platEformes techniques de foumitures des services de paiement,
notamment d'émission des instruments électroniques de paiement mises en cÊuvre par
l'établissement assujôtti sont doté des outils et fonctionDalités de reporting permettant la
surveillance en temps réel de leurs activités.

La plateforme est dotée des fonctionnalités techniques permettânt de distinguer les

commerçants par types de services et biens foùmis notarnrnent : tansports, eau, électricité,
téléphone, téléüsion, supermarchés, sewices publics, éducation, divertissôment, vefie à
distance, stations-sewice, hébergement, elc.

La plateforme est dotée des fonctionnalités techniques permettant de consulter en temps reel
le nombre de clients porteurs d'instruments électroniques de paiement, d'accepteus et de
distributeurs.

La plateforme est dotée des fonctionnalités techniques pemettant de classer les clients
notamment par nationalité, types, par sexe, ûanche d'âge, et par profession (salariés, étudiants,
sâns profession, retaités).

La plateforme est dotée des fonctionnalités techniques permettant de classer l€s transactions
par type et suivant la périodicité : recharge, transferts, paiemenl, relraits automates, retraits
âu guichet banque. reEaits chez lcs commerçaffs.,(-
ù

8
N..,SEa.any',€aL4
 Scction V : Securité de la pleteforme

Article 27.- Les solutions et plateformes techniques utilisées par l'établissement assujeni ou
partenairc technique pour la foumiturc des services de paiement sont cotrformes aux normes
et standards régionaux et intemationaux de sécuité physique communément admises dans
I'industrie des paiements monétiques.

Article 2t.- Toutc plateforme de pâiement monétique est homologuée ISO 27001/2 ou pCl-
DSS au plus tard trente-six (36) mois après son homologation par la BEAC et maintenue au
moins à ce niveau de cenification par l'établissement assujetti ou le partenaire technique.

La certification ISO 27001/2 ou PCI-DSS doit couvrir toute l'activité de l'érablissement

assujetti, de la plateforme aux procédures et modes opératoires.

Ârticle 29.- L'étâblissement âssujetti ou pârtenafue technique qui gère une plateforme de
paiemcnt monétique est t€nu, au plus tard trente-six (36) mois à compter de 1'entrée en vigucur
de la présente instruction, d'avoir et de maintenir Ia cenifications ISO 27001/2 ou PCI-DSS.

Article 30.- L'entrée dans la salle otr les serveurs sont in$allés est doté d'un dispositif de
sécurité permettant de facer et d'idontiher les accès ainsi que toutes personnes qui y accèdent
notamment un Système de vidéosurveillance.

Les effegistrements du système de vidéosurveillance sont consewés en ligne pendant trente

(3o)jours et archivés pendant douze (12) mois.

La conservâtion des données biométriques éventuelles, eregistées lors des processus de

gestion d'accès à la salle des serveurs s'effectue conformément aux lois en vigueur dans le
pays. A défaut de réglemenlâtion spécifique, ces données sont effacées au bout de trois (03)
mois,

Article 31.- Lâ salle otr sont installés des serveurs dispose d'un système automatique de lutte
con[e les incendies, les inondations et tout risquo environnemen1al spécifique au lieu.

Article 32.- La plateforme de l'étâblissement assujeni ou du partenâire technique doit

disposer d'une source d'énergie de secours autonome, dotée d'une aulonomie minimale de
vingl-quate (24) heues et d'un système de télécommunications redondant.

Article 33.- Le site principal doit êhe imtâllé darls la CEMAC. A cet effet, tout site principal
installé hors de la CEMAC est relocalisé dans la CEMAC au plus tard virgt-quate (24) mois
après la date d'entrée en vigueur de la présente lnstruction.

L'établissement assujetti ou partenaùe technique dispose d'un site de repli distant d'au moins
c€nt (100) kitomètres du site principal, lui permettant unc reprise des activités en cas d'arrêt
de celui-ci.

Article 34.- L'étEblissement assujetti ou panenaire tcchnique assurc la sécurité de son

environnement logique. Il procede periodiquement et régulièrement, au moins une fois par ,.-
arL à une évaluation de la câpacité de ses outils, solutioos et systèmes d'informatio\ dedL.--
{
N..ts1oa/3/tü4
Foduction des services de paiement à faire face de façon adéquate aux principaux risques de
cyber sécurité identifiés ou connus.

La plateforme de l'établissement assujetti ou partenaire technique dispose d'une piste d,audit.

Les transactions sur la plateforme sont cryptées de bout en bout,

Article 35.- La gestion des profils s'effectue à travers des plofils spécihques et une gestion
centralisée dcs droits. Une rerue des habilitations est réalisée au moins une fois par üimestre.
La création d'ur nouveau profil permettant l'accès à la plateforme obéit à la règle des quatre
(4) yeux : un initiateur et un validateur.

Article 36.- L'exploitation de la plateforme est réalisée au moyen de procédures et manuels

d'utilisateurs à jour. Les procédures d'exploitation ainsi que les modes opératoircs sont
documentés.

La sauvegarde des données est effectuée au moins une fois par jour sul tous les
envirorulements techniques de production du site principal et des sites de secours.

Les antivirus doivent êüe actifs et mis àjour régulièrement.

Les pare-feu doivent être opérationnels,

Le plan de continuité d'activité est documenté et testé au moins une fois par an en situation
réelle.

Article 37.- L'établissement assujetti ou partenaire technique teste toutes les cinq (5)
milutes
l'ensemble des fonctionnalités techniques essentielles de ses solutions et plateformes de
foumiture des services de paiement.

Le service de paiement de l'élablissemenl assujetti ou du partena e tecbnique est disponibte

24 hewes sul 24 et Tjours sur 7. Un suivi de la plateforme est effectué suivant les paramètres
suivants :

- disponibilité mensuelle, soit les tente demiersjours, doit êtro de quate-vingt-

le taux de
dix-neufpoucent (99,0 7o) ;

la durée de l'indisponibilité du service ou de ['une de ses fonctionnalités ne doit pas

excéder quarunte-huit (48) heures, selon le niveau de sévérité de l'incident et quate (04)
heures maximales pour les incidents hautement sévères ;

- le taux d'échec mensuel, c'est-à-dire des transactions non abouties à câuse d'un incident
technique, doit être inférieur à 3 % ;

- le temps de réponse, qui correspond au délai entre le moment où Ie service est demandé
et celui auquel la réponse est obtenue doit être inférieur à trente (30) secondes. (-
IN
10
N.":slao,/.r/,tdtt
Article 3E.- L'établissement assujetti établil un râpport semestriel de suivi du respect des
obligations de performance comportânt les éléments justificatifs afférents qu'il adresse à la
BEAC, avec copie à la COBAC, sur support magnétique ou informatique conformément aux
modalités définies par Leftre circulaire de la Banque Centrale.

La Banque Centrale se réserve le droit de vérifier à tout moment le respect par I'assujetti ou
son partenaire technique des obligaüons de performance édictées par la présente Instruction.

Article 39.- L'établissement assujetti et son padenaire technique, le prestataire de services

d'initiation ou d'agrégation de paiem€nt, s'assurent et garantissent qu'à tout moment, Ies
données et informations notamment à caractère personnel, des transactions traitées ou
stockées par des solutions ou plateformes de paiement ou d'acceptation de paiement ne sont
pas techniquement accessibles à une tierce personne aute que le gestionnaire du réseau
d'acceptation, le gestionnaire du système de paiemenl dont ils sont adhâents et par le
gestionnaire de la plateforme technique qui héberge leurs opérations.

Les dispositions de l'alinéa premier du présent article s'appliquent égalemenl aux prestataires
ou pârtenaires techniques auxquels recourent les assujettis pour la foumiture des services de
paiement.

Section VI : Arcbivâge
Article 40.- Les solutions et plateformes de services de paiement de l'établissement assujefti
ou du partenaire technique comportent des fonctionnalités techniques permettânt de consen'er
les données des transactions suivant les prescriptions de la réglementation en vigueur.

Les transactions restent disponibles en ligne sur la plateforme durant au moins trois (3) ans

Àrticle 41.- Les alchives physiques et numériques sont centralisées et conservées sur seryeur
durant au moins dix (10) ans conformément à la réglementation en vigueur dans la CEMAC.

Les archives sont conservées dans un local muni d'un dispositifde lutte conne les incendies,
les inondalions et autres risques environnementaux propres à la zone de stockage.

Article 42.- Les archives sont classées suivant une méthodologie permettant de les r,etrouver
aisément.

Section VII : Sanctions des msnquem€nts

Article 43.- Peut perdre la qualité de Prestataire de Service de Paieme , I'Assujetti qui, à une
fréquence regulière, cornmet ces manquements :

non traitement des réclamations préwe à l'article 16 ;

non-respect des dispositions
4t.

§'.SEA.oztÿo,t4
Article 44.- Le défaut de certification dans les délais préws aux articles 28 et 29 de la
présente Instruction est passible d'une astreinte égale à 5% de la valeur tolale quotidieDne des
opérations réalisées par l'établissement assujetti défaillant, jusqu'à régularisation.

Article 45,- Le non-respect des dispositions des articles 20 el26 de la présente Instruction
au plus tard six (06) mois après son entrée en vigueur est sanctionné par une pénalité de retard
égale :

- au monlant des liais annuels de cotisation ou d'abonnemenl perçus par l'établissement

assujelti émetteur pour l'émission et I'utilisation de I'instrument électronique de
paiement, sans être inférieur à l5 000 F CFA par instrument de paiement non conforme ;

150 000 F CFA par an, par terminal de paiement élecEonique ou terminal de point de
vente non conforme ;

5 000 000 F CFA par an, par DABiCAB non conforme

Articlc 46.- Les âstreintes, amendes et pénalités sont Prononcees par la COBAC, sur saisine
de la BEAC.

Les astreintes, amendes et pénalités ci-dessus sont prélevées dans le compte de

l'établissement assujeni tenu à la BEAC ou dans les lilres de tout établissement assujetti,
quinze (15) jours après qu'elle ert a été notifiée par le Gouvemeur de la BEAC ou le Directeur
National de la BEAC du pays d'implantation de l'établisseme assujetti.

Les asûeintes, amendes et pénalités prélevées par la BEAC soot reversées au ComitéNational
Economique et Financier de l'Etat de d'implantation de l'établissement assujetti
conteYenant.

Section VII : Dispositions trsnsitoires et linâles

Article 47.- Les établissements assujettis en activité à la date d'entrée en vigueur de la

présente Instruction disposent, à compter de cene date, d'un délai de :

- six (06) mois pour metue en Place opératiorurellement et déclarq à la BEAC, les
mécanismes d'identification et d'auüentification des porteurs péiT rs aux articles 8, 9 et
l0 de la pésente Instrucdon

- douze (12) mois pour metûe en conformité tous leurs systèmes ou plateformes
technique d'acceptation des paiements électroniques, tous les instrumelts élechoniques
de paiement émis pù eux, tous les terminaux élechoniques et automates de paiement ;

- vingt-qua§e (24) mois pour se conformer aux dispositions des articles 13, 20 ci-dessus ;
t2 {
N":SÊ.a.o,t3/2o24
 - trente-six (36) mois pour se conformer aux dispositions des articles 5, 6 et 7 ci-dessus

Article 48,- Au plus tard six (06) mois après I'entrée en vigueur de la présente instruction,
puis une fois par an au trop lard lc l5 janvier, les établissements assujettis communiquent à
la BEAC un étât établissant le nombre total d'insûumenls élecroniques de paiement, avec ou
sans contact émis, d'automates de paiement installés ou distribués, de DAB/GAB
fonctioDnant ou permettatrt le paiement ôu le retmit sans contact.

Article 49.- La présente Instruction peut être modifiée par le Gouvemeur de la Banque
Centrale. Elle peut êtle précisée par LeBre-circulaire de la Banque Centrale.

Article 50.- La présente lnstruclion abroge toutes les dispositions antérieules corlüaires
portânl sur le même objet, Elle entre en vigueur à compter de sa dat€ de signature.

{r l'l

Le Gou{e(îs§I

.{
t917 T LLI

N."tsÉ.a.a$/&ox,l-

l3