Conformité bancaire en Afrique de l’Ouest : un terrain mouvant

En cette mi-2025, une partie de l'écosystème des paiements ouest-africain retient son souffle. La BCEAO a fixé au 31 août 2025 l'échéance pour que les prestataires de services de paiement de l'UMOA obtiennent l'agrément qui leur permet d'opérer légalement. C'est déjà le troisième report de ce calendrier, et entre-temps, dès le 1er mai 2025, l'arrêt des services avait été ordonné pour les acteurs non agréés. Résultat : une véritable ruée vers l'agrément.

Cet épisode est un cas d'école. Il illustre, en grandeur réelle, ce qu'est la conformité d'un système de paiement en Afrique de l'Ouest : un cadre exigeant, qui bouge, et qui finit toujours par s'imposer. Ceux qui avaient anticipé s'adaptent. Ceux qui avaient traité la conformité comme une formalité de dernière minute la subissent dans l'urgence. Toute la différence se joue là : la conformité ne se rattrape pas, elle se conçoit dès le départ.

L'agrément, condition d'exister

Au coeur du dispositif, il y a l'agrément. L'instruction de la BCEAO de janvier 2024 encadrant les services de paiement dans l'UMOA a clarifié qui peut faire quoi, et à quelles conditions. Banques, établissements de paiement, établissements de monnaie électronique, institutions de microfinance : proposer des services de paiement suppose désormais une autorisation en bonne et due forme. Sans elle, l'activité est tout simplement illégale.

Ce n'est pas une contrainte administrative parmi d'autres, c'est une condition d'existence. Un acteur non agréé ne risque pas une simple amende : il risque l'arrêt pur et simple de son service, comme l'a rappelé l'échéance du 1er mai 2025. L'agrément n'est donc pas un papier qu'on obtient à la fin, c'est le socle sans lequel rien d'autre ne tient.

Un cadre qui bouge, par nature

Le calendrier de mise en conformité, repoussé à plusieurs reprises, dit quelque chose d'essentiel sur ce terrain : il bouge. Les échéances se déplacent, les exigences se précisent, de nouvelles obligations apparaissent. Ce mouvement n'est pas un défaut, c'est la nature d'un secteur jeune que le régulateur structure en marchant. Mais il a une conséquence directe pour qui construit : une plateforme conçue comme si le cadre était figé se retrouve vite en porte-à-faux.

La bonne posture n'est pas de viser une conformité définitive, mais de rester capable d'évoluer. Cela signifie des composants modulaires, des règles externalisées plutôt que codées en dur, et la capacité d'ajuster un paramètre réglementaire sans reconstruire le système. Quand l'échéance se déplace ou qu'une exigence se durcit, on s'adapte par configuration, pas par chantier. La souplesse n'est pas un confort, c'est une assurance.

Une mosaïque, pas un cadre unique

L'UMOA offre l'avantage d'un cadre régional partagé, porté par une banque centrale commune. Mais opérer dans plusieurs pays reste une affaire de mosaïque : aux règles régionales s'ajoutent des spécificités nationales, sur la localisation des données, le reporting ou les modalités de contrôle. Ce qui est attendu d'un côté d'une frontière peut différer de l'autre.

Cette pluralité interdit les raccourcis. On ne conçoit pas pour le plus petit dénominateur commun en espérant que cela passe partout, ni en dupliquant aveuglément une configuration d'un pays à l'autre. Il faut une architecture capable de décliner les exigences pays par pays, sans tout réécrire. La conformité commence par accepter cette diversité plutôt que de la nier.

La conformité ne se rajoute pas à la fin

La ruée vers l'agrément de cette mi-2025 illustre une vérité que l'on oublie trop souvent : rétro-fitter la conformité coûte une fortune. Vouloir ajouter, dans l'urgence d'une échéance, l'isolation des données, la traçabilité des opérations ou la gestion fine des habilitations à un système qui n'a pas été pensé pour, c'est souvent le réécrire en partie, sous pression, avec un compte à rebours.

À l'inverse, une plateforme conçue avec la conformité comme contrainte de départ l'absorbe naturellement. La question n'est pas « comment rendre ce système conforme avant l'échéance ? » mais « comment concevoir ce système pour qu'il le soit par construction ? ». Ce changement d'état d'esprit se décide au premier schéma, pas au dernier audit, et il fait toute la différence le jour où le régulateur, lui, ne reporte plus.

Tracer, isoler, prouver

Concrètement, répondre à un régulateur repose sur quelques piliers. Tracer d'abord : chaque opération sensible doit laisser une trace inaltérable, horodatée, consultable, car on ne prouve que ce que l'on a enregistré. Isoler ensuite : les données sensibles doivent pouvoir vivre dans le bon périmètre, par pays si l'obligation l'exige, sans fuite vers là où elles n'ont pas le droit d'être.

Maîtriser les accès enfin : savoir précisément qui peut voir et faire quoi, et pouvoir le démontrer. Car les objectifs affichés par la BCEAO, protéger les utilisateurs en sécurisant les fonds et les transactions, et garantir l'intégrité du système financier, ne se déclarent pas, ils se prouvent. Un système qui fait les choses correctement mais ne peut pas le démontrer reste, face au régulateur, dans une situation inconfortable.

Le coût de la non-conformité

On présente souvent la conformité comme une charge. C'est oublier l'autre plateau de la balance. Le coût de la non-conformité, lui, n'est pas une charge, c'est un risque existentiel : arrêt du service ordonné, perte d'un agrément durement obtenu, sanctions, atteinte durable à la réputation. L'échéance du 1er mai 2025 l'a montré sans ambiguïté. Entre une dépense maîtrisée et une menace sur l'existence même du service, l'arbitrage n'en est pas vraiment un.

C'est cette asymétrie qui justifie d'investir tôt et sérieusement. Une plateforme qui traite des paiements ne peut pas se permettre d'être conforme « à peu près », ni de découvrir une obligation le jour d'un contrôle. La conformité bien menée n'est pas seulement une protection juridique, c'est aussi un signal de sérieux envers les autorités et les partenaires bancaires, qui conditionne la capacité même à opérer.

Connaître le terrain, pas seulement les textes

La conformité ne se lit pas que dans les textes, elle se vit dans les échanges. Comprendre l'intention derrière une instruction, anticiper le prochain report ou le prochain durcissement, dialoguer avec les autorités et les partenaires : tout cela demande une connaissance concrète du terrain, pas seulement une lecture juridique. Les meilleurs choix d'architecture viennent souvent de cette compréhension de ce qui est réellement attendu.

C'est pourquoi la conformité ne se délègue pas entièrement à une couche externe ou à un prestataire lointain. Elle se construit au contact, par des gens qui maîtrisent à la fois la technique et le contexte local. La règle est la même pour tous, mais la manière de la tenir dépend d'une familiarité que seul le terrain donne. Conçue dès le départ et opérée en continu, elle cesse d'être une course contre l'échéance pour devenir une propriété du système, frontière après frontière.