Opérations et Conformité → Carte de réglementation des marchés iGaming

Carte de réglementation des marchés iGaming

1) Pourquoi besoin d'une carte réglementaire

Travailler sur plusieurs marchés repose sur la comparabilité et la pertinence des exigences. La « carte » est un catalogue unique de pays avec des champs normalisés : type de licence, exigences KYC/AML, restrictions RG, règles de publicité/affiliation, méthodes de paiement, modèle fiscal, rapports, fournisseurs et lignes rouges locales.

Objectifs :

Accélérer la priorité des pays.
Simplifiez l'utilisation des fournisseurs, la publicité et les paiements selon les normes locales.
Réduire les risques de pénalité/réputation et le coût de la conformité.
Donner à Ops/Compliance une seule source de vérité (SSOT).

2) Taxonomie des champs (ce que nous enregistrons pour chaque pays)

Métadonnées de base

Pays/région, statut du marché (réglementé/gris/interdit), verticales disponibles (casino, live, betting, poker, lotto).
Modèle de connexion : licence locale/.com limitée/partenariat avec le titulaire local.

Octroi de licences et supervision

Régulateur (s), types de licences (B2C/B2B/sous-catégories), exigences de présence locale.
Procédures d'audit (technique, financière, RNG) et périodicité.

KYC/AML

Vérification de base (identité, address), déclencheurs EDD, vérification RRE/sanctions, durée de conservation des données.
Règles de source de fonds, de velocity-limitation et d'escalade.

Responsible Gaming (RG)

Limites d'âge, limites de dépôt/perte/temps, auto-exclusion, cooling-off, registres locaux.

Publicité et affiliations

Canaux autorisés/créneaux horaires/contenus wikids, marqueurs d'âge, interdictions de formulation « sans risque ».
Exigences en matière d'affiliation (contrats, divulgations, UTM réels, listes noires de pratiques).

Paiements et fournisseurs

Méthodes autorisées (cartes, banques, portefeuilles, bons), processeurs locaux, exigences en matière de chargbacks/retours.
Exigences pour les fournisseurs de jeux/paiements B2B (licences, rapports, SLA).

Données/Confidentialité et sécurité

Traitement des données personnelles (normes GDPR/locales).
Localisation/transfert transfrontalier, délais de conservation, droits de la personne concernée.

Taxes et déclaration

Base fiscale (souvent GGR/turnover/frais de paiement), périodes de déclaration, formats de déchargement.
Finmonitoring, rapports obligatoires RG/AML, rapport d'incident.

Restrictions et « lignes rouges »

Pratiques de marketing noir/gris, interdictions sur les mécaniciens bonus, limites des jackpots, restrictions nocturnes, etc.

3) Modèle de données (squelette)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Carte des risques et hiérarchisation des pays

Axes d'évaluation :

Risque réglementaire (dureté/incertitude/sanctions).
Effet Go-To-Market (durée des licences/localisation/intégration).
Unit Economics (charge fiscale/frais de paiement/prévisions ARPPU).
Complexe opérationnel (RG-restrictions/rapports/fournisseurs).

Scoring (exemple) : 'Score = (Economics - Risk - Complexity) × Read....', où Read....est la maturité de nos processus (KYC/AML/RG/Reporting) sous une juridiction spécifique.

Groupes prioritaires : A (lancement 6-9 mois), B (préparation), C (étude).

5) Matrice de conformité (carte de conformité)

Nous comparons nos politiques/contrôles aux exigences du pays :

Demande du pays	Notre politique/contrôle	Statut	Gap/plan
L'auto-exclusion par le registre de l'état civil	RG-POL-001 / CTRL:RG-EXC-002	Partiellement	Intégration avec le registre, ETA Q1
Rapport AML sur les SAR en N jours	AML-POL-003 / SOP:AML-SAR	Correspond	—
Limitation de la créativité	ADS-POL-002	Nécessite des précisions	Modèles/checklist par canal

6) Controls-/Policy-as-Code (fragments)

Contrôle des limites RG (inclure/configurer pour le pays) :

yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}

Clauses de commercialisation (disclaimer rules) :

yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}

Rapports (formats/fréquences) :

yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Dashboards de la carte de régulation (que montrer)

Market Read....: statut des licences/intégrations/politiques par pays.
Compliance Heatmap : KYC/AML/RG/Ads/Privacy - « vert/jaune/rouge ».
Evidence Coverage : proportion d'opérations avec des preuves correctement recueillies.
Reporting SLA : délai de déchargement/erreurs de schéma/validation.
Risk Register : haut risque par pays, plan d'atténuation, ETA.

8) Processus et RACI

SOP : Ajout ou mise à jour d'un pays

1. Jure-evaluation et mapping des exigences → carte de pays.
2. Configurer Policy-/Controls-as-Code et les rapports.
3. Fournisseurs/paiements : diligence raisonnable et tests.
4. Battle-test sur le banc → pilote 1-5 % du trafic.
5. Mise en service + surveillance des KPI et des alertes réglementaires.

RACI (fragment) :

Activité	R	A	C	I
Modèle de pays/carte	Compliance Analyst	Head of Compliance	Legal, Security	Ops
Configuration des contrôles	SRE/Platform	Head of Ops	Compliance	Domains
Établissement de rapports	Data/BI	Head of Compliance	Legal	Finance
Publicité/affiliations	Marketing Compliance	CMO	Legal/Brand	Finance

9) Chèques de diligence raisonnable

Un nouveau pays

Régulateur et type de licence, verticaux autorisés.
KYC/AML/RG mapping et overrides dans les contrôles.
Ads/Affiliates règles et modèles de réserves.
Confidentialité/localisation des données, durée de conservation.
Paiements : méthodes disponibles, règles de rendement/retraits.
Rapports : formats, transports, fréquences ; test-déchargement.
Fournisseurs : exigences et audit.
Les risques/« lignes rouges »sont fixés.

Nouvelle affiliation/canal

KYB, traité, registre UTM, bibliothèques créatives.
Limites de ciblage (âge/géo).
Politique de claim et de formulation interdite.
Mécanisme de suspension du trafic en cas d'infraction.

10) Anti-modèles

« Deux versions de la vérité » : Tableaux Excel séparés des contrôles.
Interprétations locales non confirmées sans jura-confirmation.
Règles publicitaires universelles sans country-overrides.
Pas de stockage evidence et pas de rapports SLA.
Carte sans propriétaires et révision régulière.

11) Métriques de maturité

Pays de couverture : cartes de pays avec des champs remplis ≥ 90 %.
Alignement des contrôles : proportion de contrôles avec country-overrides où vous devez ≥ 95 %.
Reporting SLA : délai de déchargement ≥ 98 %.
Evidence Completeness : remplissage des ensembles de preuves ≥ 98 %.
TTR Audit Findings : clôture des commentaires ≤ 90 jours.
Incident Leakage : la part des irrégularités de marketing/RG → une tendance à la baisse.

12) Intégration

Docs-/Policy-/Controls-as-Code : un référentiel unique avec rhubarbe/lynt CI.
CRM/Payments/DWH : règles country-aware, vitrines de rapport.
Observability : alertes sur la dérive de conformité (le contrôle n'a pas fonctionné, le rapport n'est pas parti).
AI-Complience Assistant : recherche par cartes de pays, conseils sur les overrides et brouillons de rapports.

13) 30/60/90 - plan de mise en œuvre

30 jours (fondation) :

Approuver la taxonomie des champs et le modèle de carte de pays.
Développer le référentiel « reg-map/ » (docs/polices/controls/reports).
Mettre 5-7 pays clés sur le portefeuille actuel, configurer les overrides de base.
Soulevez les dashboards Coverage/Heatmap/Reporting SLA.

60 jours (mise à l'échelle) :

Ajoutez des registres et des liens de paiement/publicité/fournisseur.
Activer le stockage evidence pour RG/AML/Ads.
Automatiser les rapports de test-exportation et la validation des schémas.
Intégrer les alertes aux « dérives » réglementaires.

90 jours (ancrage) :

Couvrir ≥ 90 % des pays cibles, effectuer un audit interne de la conception des contrôles.
Lier les KPI de la carte de régulation à OKR (Reporting SLA, Evidence, Audit TTR).
Mises à jour trimestrielles régulières des cartes de pays et des processus.

14) FAQ

Q : Comment maintenir la carte à jour ?
R : Révision des cartes tous les 90 à 180 jours, rappels « last _ review », alertes sur les incohérences des rapports/contrôles.

Q : Que faire en cas de contradiction entre les normes des pays ?
R : Appliquez une norme plus stricte ou partagez votre flow de produit par géo avec des overrides distinctes.

Q : Comment lier une carte à un produit ?
R : Via Controls-as-Code : les règles sont activées par 'country '/' brand '/' vertical' et les vitrines de rapport collectent automatiquement les champs souhaités.