Académique Documents
Professionnel Documents
Culture Documents
le
DE L'AFRIQUE CENTRALE
^vçfu."*"
Le Gouverneur,
Article 2.- Au sens de la présente Instruction, les mots et expressions suivantes s'entendent
ainsi qu'il suit ;
/
N':sEa.A$"/2olL
'/
l'emcgistement, le stockage et le tamfert de données notamment la carte de paiement,
l'ordinateur et le téléphone môbile, qui offre la faculté au client, sous son contrôle
exclusif, d'initier un ordre de paiement par débit d'un compte bancaire, d'un compte
de paiement ou d'un compte de monnaie électronique, centralisé ou non.
h) Porteur: client, personne physique ou morale qui, en vertu d'un contrat conclu avec
un assujetti, §st titulaire d'un compte bancaire ou de paiement ou de monnaie
électronique et détenteur d'un instrument éleckonique de paiement pour une utilisation
pour son propre compte.
Article 3.- Tout instrument électronique de paiement émis dans la CEMAC est doté de
dispositifs techniques permettant d'ordonner et de valider un paiement de manière sécurisée,
avec ou saûs la saisie d'un code d'authentification.
Un paiement ordonné et validé sans la saisie du code d'authentification est un paiement sans
contacl.
Le paiement sans coftâct est utilisé pour les transactions en ligne ou à distance
Article 4.- L'instrument électronique de paiemont, avec ou sans contact, est doté de dispositifs
de sécurité physique ou logique notamment logiciel destinés à réduire, sinon à éliminer le
risque de transactions non volontaires et ou frauduleuses.
Article 5.- Tout système, solution ou plateforme d'acceptationde paiements par instrument
él€ctronique de paiement fonctionnant ou installé dans la CEMAC est doté de fonctionnalilés-"a-
ry-
3
N.:SEQ o4a+
techniques lui permettant de réaliser des paiemonts avec ou sans saisie d,un code
d'authentification par ['initiateur ou doDneur d'ordre.
Article 6.- Toul terminal de paiement élecbonique ou terminal de point de vente, tout
dispositif d'acceptation de paiements par instrument élechonique de paiement, installé dans
la CEMAC est doté de fonctionnalités et capacités techniques lui permettant de réaliser
l'acceptation des paiements avec ou sans saisie d'un code d'aulheDtification par I'initiateur
ou donoeur d'ordre.
Article 7.- Tout automat€ Distributeur Automatique de Billets de banque (DAB), tout
Guichet Automatique de Banque (GAB) fonctionnant ou installé dans la CEMAC est doté de
fonctionnalités techniques permenant aux porteus d'un instrument de paiement électronique
de réalisq des opérations de teüait avec ou sans saisie d'un code d'authentification sur le
clsYier de I'automate.
Article 8.- Tout porteur ou titulaire d'un instrument électronique de paiement dispose d'un
mot de passe ou code d'authentification, constitué d'au moins quatre (04) caractères
numériques.
Le code d'authentification est une donnée, un code p€rsonn€l secret qui ne doit pas êlre
communiqué par son titulaire à une autre personne.
Lorsque le code d'authertificâtion est un mot de passe, il doit etre modifiable ô I'initiative du
porteur. A cet efïet, l'étâblissement âssujeni prend toutes les disposiüons pour rendre le mot
de passe modifiable, à tout moment par le porteur.
Le changement du mot de passe à I'initiative du porteû est gra1ui1. Il doit êtle instantané et
possible à distance ou sur un automate mis à la disposition de celui-ci par l'établissement
assujetti.
La clé de contrôle est une chaîne de trois (03) camctères alphanumériques que le titulaûe d'un
compte bancaire ou compte de paiement doit communiquer aux personnes souhaitant lui
expédier des fonds. Aussi, en plus de l'alias ou numéro de téléphone utilisé pour créditer un
compte, I'expéditeur des fonds doit obligatoirement disposer de la clé de contrôle du
destinataire.
La clé de contrôle est un code d'identification diffusabte par [e titulaire du comptc bancaire
ou compæ de paiement ,fl
w
N'sEA/lty'.,ht4
La clé de contrôle est générée par le PSP et communiquée au titulùe du compte bancaire ou
compte de paiement.
La clé de contrôle n'esl pas exigée pour les opérations intemationales hors CEMAC.
Article 10.- Sans préjudice des dispositions de t'article ci-dessus 9, aucune transacrion de
paiement avec un instrument électonique de paiement ne peul être initiée ou validée sems mot
de passe ou code d'authsntification, sous réserve des exceptions prévues au présent article,
Les paiements sans contâct, sans authentification par code ou par données biomélriques sonl
autorisés pour les montants inférieus à hente mille (30 000) F.CFA.
Les instruments électroniques de paiement dans lesquels est intégée une mélhode
d'authentification pâr données biométriques embarquée permettant des paiements sans
contact, peuvent réaliser des transaclions sans limites de montant autres que celles fixées par
l'émetteur.
Le code d'authentification des transactions en ligne a une longueur ou une structure diff&ente
de celle du mot de passe.
Àrticle 15.- L'authentification avec les données biométiques, aukes que celles foumies par
le Fichier Régional des Clients et Comptes Bancaires (FRCB) de la Centrale des lncidents de
Paiement (CIP) de la BEAC et colleclées conformément aux dispositions légales en vigueur
est subordonnée à l'autorisation préalable de la BEAC.
La demande d'autorisalion préalable adressée à la BEAC, restée sans réponse plus de cent
quatre-vingt (180) jours apiès réception par celle-ci du dossier complet, est réputée rejetée.
L'autlentification avec les données biométriques foumies par le Fichier Régional des Clients
€1 Comptes Bancaires (FRCB) de la Centrale des Incidents de Paiement (CIP) de ta BEAC ne
requiert aucune autorisation.
Article 16.- L'établissement assujeüi met en place des mesules de sécurité adéquates afin de
protéger lâ confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs
de services de paiement.
Article 17.- Sans préjudice de l'application de tout autre délai légal ou réglementaire plus
favorable, toutes les réclamations des clients relatives aux opérations réalisées avec des
instruments électoniques de paiement sont tlaitées :
dans un délai maximum de deux (02) jours ouwés dès réception pour les opérations à
l'intérieur du réseau de l'établissement assujetti émetteur ;
dans un délai maximum de deux (02)jours ouvÉs dès réception po ur les opérations par
porte-monnaie électuonique intervenues à l'intérieur de la CEMAC ;
6
N.:SEQ *y'*t+
dans un délai maximum de hüt (08) jours ouvrés dès réception par I'établissement
assujetti pour les opémtions par porte-momaie électronique pour les opérations hors de
la CEMAC ;
dans un délai maximum de huit (08) jours ouwés dès réception par l'établissement
assujetti pour les opérations par cartes de paiement à l'intérieur de la CEMAC ;
Article 1t.- La éclamation du client est formulée dans un délai de quinze (15) jours
calendaires après la survenance de l'incident.
Article 19.- Le client est notifié par SMS ou tout aure moyen laissant tace éffite de la
réception de sa réclamation.
Article 20.- Les réclamations des clients et le tmitement de celles-ci font l'objet d'un rapport
trimesriel, adressé à la BEAC avec copie à la COBAC.
Article 2t.- Une Lettre Circulaire du Gouvemeur de la BEAC définit les modalités
d'étâblissemenr et de communication du lappon üimestriel des réclamations.
La plateforme techniqu€ de Eaitement des opérations par cafles de paiement Fépayées doit
permefire d'aflicher en temps réel le solde total des comptes des cartes de paiemenl prepayées
émises et valides, et le sotde individuel de chaque carte de paiement prépayée valide r-
^
,7
N":SEQ a.ry'-ta
Article 23.- Les solutions et plateformes techniques de foumitue de services de paiement
uülisées par un établissement assujetti doivent permettre de consulter en temps réel tous les
encours de crédits et débits différés, le nombre et le volume des üédits et débits différés
impayés.
Les sommes noû remboursées doivent être logées dans un compte séquesüe dislinct pour
chacun des types d'instruments électoniques de paiement ouved dans les liwes de
l'établissement assujetti émetteu.
Article 26.- Les sotutions et platEformes techniques de foumitures des services de paiement,
notamment d'émission des instruments électroniques de paiement mises en cÊuvre par
l'établissement assujôtti sont doté des outils et fonctionDalités de reporting permettant la
surveillance en temps réel de leurs activités.
La plateforme est dotée des fonctionnalités techniques permettant de consulter en temps reel
le nombre de clients porteurs d'instruments électroniques de paiement, d'accepteus et de
distributeurs.
La plateforme est dotée des fonctionnalités techniques pemettant de classer les clients
notamment par nationalité, types, par sexe, ûanche d'âge, et par profession (salariés, étudiants,
sâns profession, retaités).
La plateforme est dotée des fonctionnalités techniques permettant de classer l€s transactions
par type et suivant la périodicité : recharge, transferts, paiemenl, relraits automates, retraits
âu guichet banque. reEaits chez lcs commerçaffs.,(-
ù
8
N..,SEa.any',€aL4
Scction V : Securité de la pleteforme
Article 27.- Les solutions et plateformes techniques utilisées par l'établissement assujeni ou
partenairc technique pour la foumiturc des services de paiement sont cotrformes aux normes
et standards régionaux et intemationaux de sécuité physique communément admises dans
I'industrie des paiements monétiques.
Article 2t.- Toutc plateforme de pâiement monétique est homologuée ISO 27001/2 ou pCl-
DSS au plus tard trente-six (36) mois après son homologation par la BEAC et maintenue au
moins à ce niveau de cenification par l'établissement assujetti ou le partenaire technique.
Ârticle 29.- L'étâblissement âssujetti ou pârtenafue technique qui gère une plateforme de
paiemcnt monétique est t€nu, au plus tard trente-six (36) mois à compter de 1'entrée en vigucur
de la présente instruction, d'avoir et de maintenir Ia cenifications ISO 27001/2 ou PCI-DSS.
Article 30.- L'entrée dans la salle otr les serveurs sont in$allés est doté d'un dispositif de
sécurité permettant de facer et d'idontiher les accès ainsi que toutes personnes qui y accèdent
notamment un Système de vidéosurveillance.
Article 31.- Lâ salle otr sont installés des serveurs dispose d'un système automatique de lutte
con[e les incendies, les inondations et tout risquo environnemen1al spécifique au lieu.
Article 33.- Le site principal doit êhe imtâllé darls la CEMAC. A cet effet, tout site principal
installé hors de la CEMAC est relocalisé dans la CEMAC au plus tard virgt-quate (24) mois
après la date d'entrée en vigueur de la présente lnstruction.
L'établissement assujetti ou partenaùe technique dispose d'un site de repli distant d'au moins
c€nt (100) kitomètres du site principal, lui permettant unc reprise des activités en cas d'arrêt
de celui-ci.
Article 35.- La gestion des profils s'effectue à travers des plofils spécihques et une gestion
centralisée dcs droits. Une rerue des habilitations est réalisée au moins une fois par üimestre.
La création d'ur nouveau profil permettant l'accès à la plateforme obéit à la règle des quatre
(4) yeux : un initiateur et un validateur.
La sauvegarde des données est effectuée au moins une fois par jour sul tous les
envirorulements techniques de production du site principal et des sites de secours.
Le plan de continuité d'activité est documenté et testé au moins une fois par an en situation
réelle.
Article 37.- L'établissement assujetti ou partenaire technique teste toutes les cinq (5)
milutes
l'ensemble des fonctionnalités techniques essentielles de ses solutions et plateformes de
foumiture des services de paiement.
- le taux d'échec mensuel, c'est-à-dire des transactions non abouties à câuse d'un incident
technique, doit être inférieur à 3 % ;
- le temps de réponse, qui correspond au délai entre le moment où Ie service est demandé
et celui auquel la réponse est obtenue doit être inférieur à trente (30) secondes. (-
IN
10
N.":slao,/.r/,tdtt
Article 3E.- L'établissement assujetti établil un râpport semestriel de suivi du respect des
obligations de performance comportânt les éléments justificatifs afférents qu'il adresse à la
BEAC, avec copie à la COBAC, sur support magnétique ou informatique conformément aux
modalités définies par Leftre circulaire de la Banque Centrale.
La Banque Centrale se réserve le droit de vérifier à tout moment le respect par I'assujetti ou
son partenaire technique des obligaüons de performance édictées par la présente Instruction.
Les dispositions de l'alinéa premier du présent article s'appliquent égalemenl aux prestataires
ou pârtenaires techniques auxquels recourent les assujettis pour la foumiture des services de
paiement.
Section VI : Arcbivâge
Article 40.- Les solutions et plateformes de services de paiement de l'établissement assujefti
ou du partenaire technique comportent des fonctionnalités techniques permettânt de consen'er
les données des transactions suivant les prescriptions de la réglementation en vigueur.
Les transactions restent disponibles en ligne sur la plateforme durant au moins trois (3) ans
Àrticle 41.- Les alchives physiques et numériques sont centralisées et conservées sur seryeur
durant au moins dix (10) ans conformément à la réglementation en vigueur dans la CEMAC.
Les archives sont conservées dans un local muni d'un dispositifde lutte conne les incendies,
les inondalions et autres risques environnementaux propres à la zone de stockage.
Article 42.- Les archives sont classées suivant une méthodologie permettant de les r,etrouver
aisément.
Article 43.- Peut perdre la qualité de Prestataire de Service de Paieme , I'Assujetti qui, à une
fréquence regulière, cornmet ces manquements :
§'.SEA.oztÿo,t4
Article 44.- Le défaut de certification dans les délais préws aux articles 28 et 29 de la
présente Instruction est passible d'une astreinte égale à 5% de la valeur tolale quotidieDne des
opérations réalisées par l'établissement assujetti défaillant, jusqu'à régularisation.
Article 45,- Le non-respect des dispositions des articles 20 el26 de la présente Instruction
au plus tard six (06) mois après son entrée en vigueur est sanctionné par une pénalité de retard
égale :
150 000 F CFA par an, par terminal de paiement élecEonique ou terminal de point de
vente non conforme ;
Articlc 46.- Les âstreintes, amendes et pénalités sont Prononcees par la COBAC, sur saisine
de la BEAC.
Les asûeintes, amendes et pénalités prélevées par la BEAC soot reversées au ComitéNational
Economique et Financier de l'Etat de d'implantation de l'établissement assujetti
conteYenant.
- six (06) mois pour metue en Place opératiorurellement et déclarq à la BEAC, les
mécanismes d'identification et d'auüentification des porteurs péiT rs aux articles 8, 9 et
l0 de la pésente Instrucdon
- douze (12) mois pour metûe en conformité tous leurs systèmes ou plateformes
technique d'acceptation des paiements électroniques, tous les instrumelts élechoniques
de paiement émis pù eux, tous les terminaux élechoniques et automates de paiement ;
- vingt-qua§e (24) mois pour se conformer aux dispositions des articles 13, 20 ci-dessus ;
t2 {
N":SÊ.a.o,t3/2o24
- trente-six (36) mois pour se conformer aux dispositions des articles 5, 6 et 7 ci-dessus
Article 48,- Au plus tard six (06) mois après I'entrée en vigueur de la présente instruction,
puis une fois par an au trop lard lc l5 janvier, les établissements assujettis communiquent à
la BEAC un étât établissant le nombre total d'insûumenls élecroniques de paiement, avec ou
sans contact émis, d'automates de paiement installés ou distribués, de DAB/GAB
fonctioDnant ou permettatrt le paiement ôu le retmit sans contact.
Article 49.- La présente Instruction peut être modifiée par le Gouvemeur de la Banque
Centrale. Elle peut êtle précisée par LeBre-circulaire de la Banque Centrale.
Article 50.- La présente lnstruclion abroge toutes les dispositions antérieules corlüaires
portânl sur le même objet, Elle entre en vigueur à compter de sa dat€ de signature.
{r l'l
Le Gou{e(îs§I
.{
t917 T LLI
N."tsÉ.a.a$/&ox,l-
l3