⚡ Points Clés

L’Instruction 06-2025 de la Banque d’Algérie établit trois paliers KYC (100K/500K/1M DZD), un séquestre obligatoire des fonds clients, une SCA forte et une surveillance AML pour tous les PSP agréés — soutenu par des pénalités de 10M DZD en vertu de l’amendement de juillet 2025 au cadre AML/CFT de l’Algérie (Loi 05-01).

En résumé: La Banque d’Algérie inspectera les PSP agréés. Les cinq contrôles nécessitant une action immédiate : application du palier KYC au niveau API, réconciliation séquestre automatisée, surveillance AML alignée CTRF, SCA liée à l’appareil et politique de sécurité des agents.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
s’applique directement à chaque PSP agréé, opérateur de portefeuille numérique et startup fintech traitant des paiements en DZD en Algérie
Calendrier d’action
Immédiat
l’application du palier KYC, l’implémentation SCA et la réconciliation séquestre doivent être en place avant le premier contrôle de la Banque d’Algérie
Parties prenantes clés
DSI et responsables conformité des PSP agréés, startups de portefeuilles numériques (Banxy, UbexPay, ESREF Pay), direction de supervision de la Banque d’Algérie, CTRF, ASSI
Assessment: DSI et responsables conformité des PSP agréés, startups de portefeuilles numériques (Banxy, UbexPay, ESREF Pay), direction de supervision de la Banque d’Algérie, CTRF, ASSI. Review the full article for detailed context and recommendations.
Type de décision
Stratégique
Assessment: Stratégique. Review the full article for detailed context and recommendations.
Niveau de priorité
Critique
Assessment: Critique. Review the full article for detailed context and recommendations.

En bref: L’Instruction 06-2025 n’est pas un exercice de conformité future — la Banque d’Algérie va inspecter les PSP agréés, et les pénalités de non-conformité sont existentielles. Les cinq contrôles nécessitant une action immédiate sont : l’application du palier KYC au niveau de l’API, la réconciliation séquestre automatisée, la surveillance des transactions AML alignée aux déclarations CTRF, la SCA utilisant une authentification liée à l’appareil et une politique de sécurité des agents. Les PSP qui construisent ces contrôles maintenant obtiennent une posture de conformité durable et un avantage concurrentiel dans un marché où la confiance est le principal différenciateur.

Publicité

Le premier cahier des charges sécurité contraignant pour les PSP en Algérie

Pendant des années, le secteur fintech algérien a opéré dans une zone réglementaire grise — suffisamment innovant pour produire des entreprises comme Yassir et UbexPay, mais contraint par l’absence d’un cadre de licence formel pour les opérateurs de paiement non-bancaires. L’Instruction 06-2025 de la Banque d’Algérie change cela de manière permanente.

Le règlement, publié en 2025, établit un cadre opérationnel complet couvrant l’adéquation des fonds propres, les normes KYC, la protection des fonds clients, la gouvernance des réseaux d’agents et les protections des consommateurs. Pour les équipes de cybersécurité des startups fintech algériennes et des PSP agréés, l’Instruction 06-2025 n’est pas principalement un document d’opportunité commerciale — c’est une liste de contrôle de conformité avec des conséquences juridiques.

Les obligations de cybersécurité intégrées dans l’instruction opèrent aux côtés du cadre AML de l’Algérie, qui a été substantiellement renforcé par un amendement de juillet 2025 à la loi AML primaire (n° 05-01, 2005) qui a étendu la surveillance aux actifs numériques et renforcé les pénalités d’exécution à 10 millions de DZD pour les entités non conformes. Le Règlement de la Banque d’Algérie n° 24-03 (août 2024) définit en outre les exigences AML/CFT pour les prestataires d’actifs virtuels.

Ce que l’Instruction 06-2025 exige réellement

Le règlement établit trois paliers de vérification KYC pour les comptes de paiement, chacun avec des exigences d’assurance d’identité progressivement plus strictes :

  • Comptes de niveau 1 — seuil de transaction maximum de 100 000 DZD (~740 USD) — nécessitent uniquement une vérification d’identité numérique de base
  • Comptes de niveau 2 — maximum 500 000 DZD (~3 700 USD) — nécessitent un document d’identité scanné et une preuve de revenus
  • Comptes de niveau 3 — maximum 1 000 000 DZD (~7 400 USD) — nécessitent une vérification par vidéo-conférence plus la documentation de niveau 2

Au-delà du KYC, le règlement impose :

  • Comptes séquestres ségrégués : tous les fonds clients détenus par un PSP doivent être déposés sur un compte dédié dans une banque commerciale, entièrement séparé du capital d’exploitation du PSP
  • Garantie bancaire ou assurance de responsabilité professionnelle : comme mécanisme de protection du capital de base pour les consommateurs
  • Authentification forte du client (SCA) : vérification multi-facteurs pour toute initiation de transaction
  • Restriction des services en Dinars algériens : tous les services doivent opérer à l’intérieur du territoire national et en DZD uniquement

L’analyse de LaunchBase Africa sur l’Instruction 06-2025 note que les dispositions sur les réseaux d’agents imposent une responsabilité totale aux PSP pour toutes les actions entreprises par leurs agents d’encaissement/décaissement, y compris la conformité AML et la surveillance anti-fraude — une exigence qui pousse les responsabilités de cybersécurité en aval vers la couche d’interface agent.

Publicité

Ce que les PSP doivent implémenter pour rester conformes

1. Construire une pile d’authentification KYC à trois niveaux avant le renouvellement de licence

Le système KYC par paliers n’est pas simplement une fonctionnalité d’intégration — c’est un contrôle en direct vérifiable à chaque point de transaction. Un PSP qui intègre un utilisateur de niveau 1 puis permet à ce compte d’effectuer des transferts à l’échelle du niveau 2 sans déclencher une escalade KYC est en violation. Implémentez l’application du palier KYC au niveau de l’API : chaque demande d’initiation de paiement doit vérifier le palier KYC actuel du compte par rapport au montant de transaction demandé. Journalisez chaque escalade et refus de palier pour l’accès aux audits de la Banque d’Algérie. Le KYC vidéo pour le niveau 3 nécessite un composant de vérification de vivacité en temps réel — budgétisez un prestataire biométrique certifié, car les solutions internes sont peu susceptibles de passer l’examen réglementaire.

2. Établir une ségrégation cryptographique entre les fonds clients et le capital d’exploitation

L’exigence de compte séquestre dans l’Instruction 06-2025 est fondamentalement un contrôle de réconciliation et d’intégrité : à tout moment, le solde du compte séquestre client du PSP doit correspondre exactement à l’agrégat de tous les soldes de portefeuilles clients. Implémentez une réconciliation quotidienne automatisée avec des pistes d’audit cryptographiques — chaque débit et crédit sur le compte séquestre doit être lié à un hash de transaction client spécifique. Si le solde séquestre diverge du solde client agrégé de plus d’une tolérance définie (p. ex., 1 000 DZD), déclenchez une alerte immédiate vers l’équipe de conformité. Ne comptez pas sur des cycles comptables manuels pour cela — un processus manuel hebdomadaire échouera à détecter la fraude intra-hebdomadaire.

3. Déployer une surveillance des transactions AML alignée aux normes de déclaration CTRF

La CTRF algérienne (Cellule de Traitement du Renseignement Financier) exige des PSP qu’ils déposent des rapports d’activités suspectes pour les transactions répondant à des critères de risque définis. L’implémentation pratique nécessite un moteur de surveillance des transactions en temps réel qui applique un screening basé sur des règles et comportemental à chaque paiement — vérifiant les modèles de structuration (transactions multiples juste en dessous des seuils de 100 000 DZD), l’activité de portefeuille à haute vélocité, les transactions vers ou depuis des identifiants de compte signalés et les anomalies géographiques. Les dossiers clients doivent être conservés pendant au moins cinq ans en vertu du cadre AML/CFT de l’Algérie (Loi 05-01, telle qu’amendée en juillet 2025). Les pénalités pour non-conformité atteignent 10 millions de DZD — un risque existentiel pour un PSP en phase de démarrage avec un capital limité.

4. Implémenter une authentification forte du client qui satisfait au standard SCA de la Banque d’Algérie

L’exigence SCA dans l’Instruction 06-2025 mandate une vérification multi-facteurs pour l’initiation de paiement. En pratique, cela signifie combiner au moins deux facteurs d’authentification indépendants — typiquement une clé cryptographique liée à l’appareil (quelque chose que vous possédez) et un facteur biométrique ou PIN (quelque chose que vous êtes ou connaissez). L’OTP par SMS seul ne satisfait pas à la norme SCA car la fraude par échange de SIM peut la compromettre sans l’implication du titulaire du compte. Implémentez FIDO2/WebAuthn pour l’authentification mobile là où c’est techniquement faisable, ou au minimum utilisez l’OTP basé sur le temps via une application d’authentificateur (TOTP) plutôt que par SMS.

5. Étendre les exigences de cybersécurité à votre réseau d’agents

La disposition de l’Instruction 06-2025 rendant les PSP entièrement responsables des actions de leurs agents a une implication directe en matière de cybersécurité : chaque terminal d’agent d’encaissement/décaissement est une extension de la surface d’attaque du PSP. Exigez que tous les agents complètent une formation annuelle de sensibilisation à la sécurité, utilisent du matériel fourni par le PSP ou une application verrouillée avec vérification d’intégrité de l’appareil (détection jailbreak/root, épinglage de certificat), et se connectent au backend du PSP exclusivement via un canal chiffré mutuellement authentifié. Auditez les journaux de transactions des agents hebdomadairement pour détecter des modèles anormaux — un agent qui traite 50 transactions d’encaissement en une heure est un signal d’alerte, pas une réalisation commerciale.

Une liste de contrôle de préparation à la conformité PSP

Avant que la Banque d’Algérie conduise son premier contrôle de conformité des PSP agréés, évaluez votre préparation par rapport à ces contrôles :

  • Application du palier KYC au niveau de l’API pour toute initiation de transaction
  • Réconciliation séquestre en temps réel avec piste d’audit cryptographique
  • Moteur de surveillance des transactions AML avec déclaration d’activités suspectes alignée CTRF
  • Implémentation SCA utilisant une authentification liée à l’appareil (pas uniquement OTP SMS)
  • Conservation des dossiers clients sur cinq ans avec stockage chiffré et à accès contrôlé
  • Politique de sécurité agents incluant la vérification d’intégrité de l’appareil et les canaux chiffrés
  • Procédure de notification des incidents à la Banque d’Algérie — documentez votre procédure avant qu’un incident ne survienne
  • Assurance de responsabilité professionnelle ou garantie bancaire comme spécifié dans le règlement

L’aperçu 2026 de Fintech Times sur l’écosystème algérien note qu’environ 30 à 35 startups fintech opèrent actuellement en Algérie, avec l’adoption des paiements numériques encore contrainte par la dominance des espèces. Les PSP qui construisent une infrastructure conforme et sécurisée maintenant seront positionnés pour bénéficier de la prochaine phase d’adoption — mais seulement s’ils survivent au cycle initial d’inspection de conformité.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce que l’Instruction 06-2025 de la Banque d’Algérie ?

L’Instruction 06-2025 est le premier cadre complet de licence et d’exploitation de la Banque d’Algérie pour les prestataires de services de paiement et les opérateurs de portefeuilles numériques. Elle établit trois paliers de vérification KYC liés à des limites de transaction (100 000 / 500 000 / 1 000 000 DZD), exige des comptes séquestres ségrégués pour les fonds clients, mandate une authentification forte multi-facteurs, limite les services aux Dinars algériens à l’intérieur du territoire national et rend les PSP entièrement responsables de la conformité de leurs réseaux d’agents. Elle opère aux côtés du Règlement n° 24-03 (août 2024) et de l’amendement de juillet 2025 au cadre AML/CFT de l’Algérie (Loi 05-01).

Quelles sont les pénalités pour les PSP qui ne respectent pas les règles AML de l’Algérie ?

En vertu de l’amendement de juillet 2025 au cadre AML/CFT de l’Algérie (Loi 05-01), les amendes pour non-conformité AML atteignent 10 millions de DZD. La CTRF — l’unité de renseignement financier de l’Algérie sous le Ministère des Finances — enquête sur les transactions suspectes, et la Banque d’Algérie supervise la conformité AML/CFT pour les prestataires de services de paiement. Les PSP non conformes risquent également la suspension ou la révocation de licence, un risque existentiel pour les startups qui ont construit leur modèle commercial sur la licence de paiement.

L’Instruction 06-2025 exige-t-elle que les PSP signalent les violations de données ?

L’Instruction 06-2025 ne définit pas explicitement un délai de notification des violations comparable à l’article 33 du RGPD. Cependant, les PSP sont soumis au cadre général de cybersécurité de l’Algérie coordonné par l’ASSI (Agence de la Sécurité des Systèmes d’Information), qui exige des opérateurs de systèmes d’information critiques de signaler les incidents significatifs. Les PSP traitant des paiements en DZD à grande échelle devraient se traiter comme des opérateurs d’infrastructures de paiement critiques et établir une procédure de notification des incidents alignée aux exigences de l’ASSI, même en l’absence d’un délai réglementaire explicite dans l’instruction elle-même.

Sources et lectures complémentaires