Fort de son expérience en matière de certification PCI DSS et de son rôle de conseil, Provadys aborde le
sujet de la mise en conformité à ce standard, en y apportant une nouvelle perspective. En effet, souvent
abordée d’un point de vue technique par les acteurs du marché, la conformité PCI DSS nécessite
toutefois une réflexion beaucoup plus globale.

Au-delà de l’aspect organisationnel et technique, il est primordial selon Provadys, d’autant plus si l’on
aborde la question des coûts, de prendre en considération les aspects légaux et la maîtrise des risques à
travers :

· Une approche légale : Une bonne Analyse des responsabilités et des engagements à travers des
contrats bien rédigés permet de pouvoir « prévoir » les coûts et connaitre son niveau réel
d’exposition aux risques liés à la non-conformité PCI DSS ou aux compromissions de données CB

· Une analyse assurantielle : Des contrats d’assurance bien choisis et négociés peuvent permettre
de transférer une partie des risques liés à la non-conformité ou aux compromissions et donc
limiter les coûts associés

· Une expertise technique : Une bonne approche des différentes briques techniques et
organisationnelles de la mise en conformité peut permettre de garder les risques et les coûts
sous contrôle

La combinaison de ces trois briques essentielles constitue une démarche unique sur le marché.

A la pointe de cette démarche, le PAAC STAR, permet de cartographier les engagements et
responsabilités matérialisés dans les contrats, de quantifier les risques qui y sont liés (engagements /
clauses non conformes au regard de PCI DSS, contrats inadaptés au maintien de la conformité, chaînes
contractuelles incohérentes, pénalités…) et d’évaluer le risque transféré / transférable en analysant les
polices d’assurance existantes puis en étudiant les possibilités pouvant être proposées pour limiter les
risques et les coûts potentiels.

« Dans une démarche de conformité PCI DSS, il est nécessaire de savoir qui peut porter la responsabilité
et qui doit répondre de ses engagements, et de comprendre globalement les risques encourus et pouvoir
les cartographier. Pour maîtriser les risques associés aux données cartes bancaires et limiter les coûts des
non-conformités, il est important de souscrire des contrats d’assurances adéquats et de contractualiser
les engagements et les responsabilités. Le rôle de l’assureur et du courtier est de pouvoir garantir ce qui
est mesurable et résiduel et de financer la crise en cas de fraudes ou compromission de données. »
expliquent Patrick Pouillot, assureur chez ACE et Jean Laurent Santoni, Directeur chez Gras Savoye Risk
Consulting.

« D’autre part, c’est l’association du standard PCI DSS au contrat qui fait force car il impose un certain
nombre de clauses contractuelles qui sont indispensables à la conformité mais qui ne sont pas suffisantes
pour la maîtrise des risques de l’entreprise. Cette dernière peut et doit utiliser ses chaînes contractuelles
pour optimiser la gestion de ses risques. En associant l’expertise du QSA et celle de l’avocat il est possible
de tirer le meilleur des contrats (garantie de la conformité des clauses, juste répartition des
responsabilités, optimisation des pénalités, licéité et applicabilité des clauses). L’avocat pourra donc
intervenir en amont pour négocier et formaliser les clauses puis en aval pour plaider devant les tribunaux
si malheureusement cela devenait nécessaire. » déclarent Rémy Watchel et Marc Ganilsy, avocats au
Barreau de Paris.