Fonds Communautaire Africain
Directive sur l'Autorité de Certification
Directive n° : ACF-DIR-002 | Date d'entrée en vigueur : 10/11/2025 | Version : 1.0
PRÉAMBULE
ATTENDU QUE le Fonds Communautaire Africain (le « Fonds ») opère en tant qu'institution internationale dotée d'une pleine personnalité juridique aux termes de l'Article 2.1 de sa Charte ;
ATTENDU QUE l'Article 10.2 impose la tenue d'un Registre Numérique des Parts sécurisé et l'Article 13.5 autorise le Président à adopter des directives pour mettre en œuvre la mission du Fonds ;
ATTENDU QUE l'identité numérique souveraine, sécurisée et juridiquement reconnue est essentielle pour l'authentification des Membres, l'intégrité des transactions et le fonctionnement de l'API Programmatique ;
ATTENDU QUE le Chapitre V de la Charte accorde les immunités et privilèges nécessaires pour protéger l'infrastructure technique du Fonds contre toute interférence extérieure ;
PAR CONSÉQUENT, le Président émet par la présente cette Directive sur l'Autorité de Certification afin d'établir la gouvernance, les normes techniques et les protocoles opérationnels de l'Autorité de Certification Souveraine de l'ACF.
ARTICLE 1 : ÉTABLISSEMENT ET STATUT
1.1 Autorité de Certification Souveraine : Le Fonds doit établir et exploiter une Autorité de Certification souveraine (l'« AC ACF ») pour émettre, gérer et révoquer les certificats numériques des Membres, des officiers et des systèmes du Fonds.
1.2 Standing Juridique : Les certificats émis par l'AC ACF sont reconnus comme des signatures numériques juridiquement contraignantes en vertu de la Charte du Fonds et des cadres internationaux applicables (p. ex., eIDAS, Loi type de la CNUDCI sur les signatures électroniques).
1.3 Immunités : L'infrastructure, les clés et les opérations de l'AC ACF sont protégées en vertu du Chapitre V (Articles 18-22) de la Charte, incluant l'immunité contre la saisie, la confiscation ou la réglementation restrictive.
ARTICLE 2 : HIÉRARCHIE ET VALIDITÉ DES CERTIFICATS
2.1 Autorité de Certification Racine : (a) L'AC Racine de l'ACF doit servir d'ancre de confiance pour l'écosystème du Fonds. (b) Période de validité : Le certificat de l'AC Racine doit avoir une période de validité de vingt (20) ans à compter de la date d'émission. (c) Le renouvellement de l'AC Racine requiert l'approbation du Comité Exécutif et la génération d'une nouvelle paire de clés avant l'expiration.
2.2 Autorités de Certification Intermédiaires : (a) L'AC ACF peut émettre des certificats d'AC Intermédiaire à des fins spécifiques (p. ex., Identité des Membres, Système à Système, Signature de Code). (b) La validité des AC Intermédiaires ne doit pas dépasser dix (10) ans et ne doit pas excéder la validité de l'AC Racine.
2.3 Certificats d'Entité Finale : (a) Les certificats émis aux Membres, officiers ou dispositifs doivent avoir une validité maximale de trois (3) ans. (b) Le renouvellement nécessite la re-vérification de l'identité et du statut de conformité.
ARTICLE 3 : NORMES DE SÉCURITÉ TECHNIQUE
3.1 Algorithmes Cryptographiques : (a) Les clés de l'AC Racine et des AC Intermédiaires doivent utiliser RSA 4096 bits ou ECC P-384 ou supérieur. (b) Les certificats d'entité finale doivent utiliser RSA 2048 bits minimum ou ECC P-256 minimum. (c) Les algorithmes de hachage doivent être SHA-256 ou SHA-384 minimum.
3.2 Gestion des Clés : (a) Les clés privées des AC Racine et Intermédiaires doivent être générées et stockées dans des Modules de Sécurité Matériels (MSM) conformes FIPS 140-2 Niveau 3 ou supérieur. (b) La génération de clés doit nécessiter un contrôle multi-personnes (M-sur-N). (c) Les clés privées ne doivent jamais être exportées du MSM en texte clair.
3.3 Mécanismes de Révocation : (a) L'AC ACF doit maintenir des Listes de Révocation de Certificats (LRC) et des répondants OCSP (Protocole de Statut de Certificat en Ligne). (b) Les informations de révocation doivent être mises à jour au moins toutes les vingt-quatre (24) heures. (c) Les certificats compromis doivent être révoqués immédiatement après confirmation de la violation.
ARTICLE 4 : VÉRIFICATION D'IDENTITÉ ET ÉMISSION
4.1 Vérification des Membres : (a) Les Membres de Classe A (Gouvernance) et de Classe B (Non-Gouvernance) doivent subir une vérification d'identité conforme à l'Article 7.4 (Déclaration KYC) avant l'émission du certificat. (b) Les Signataires Autorisés doivent être vérifiés par rapport à la documentation officielle fournie lors de l'intégration de l'adhésion.
4.2 Utilisation des Certificats : (a) Les certificats doivent être utilisés pour l'authentification au Registre Numérique des Parts (Article 10.2). (b) Les certificats doivent être utilisés pour la signature de documents juridiquement significatifs (p. ex., Conventions de Souscription, Avis de Retrait). (c) Les certificats doivent être utilisés pour sécuriser les communications API (mTLS) en vertu de la Directive sur la Messagerie Sécurisée (ACF-DIR-001).
4.3 Refus et Révocation : (a) Le Comité Exécutif peut refuser ou révoquer des certificats si un Membre n'est pas conforme aux obligations de la Charte. (b) Les certificats révoqués sont immédiatement invalidés dans tous les systèmes du Fonds.
ARTICLE 5 : OPÉRATIONS ET AUDIT
5.1 Sécurité Opérationnelle : (a) Les opérations de l'AC ACF doivent se conformer aux Exigences de Base WebPKI et aux normes ETSI EN 319 411. (b) L'accès aux systèmes de signature de l'AC doit être journalisé et auditable.
5.2 Audit : (a) L'AC ACF doit subir un audit externe annuel par des auditeurs de notoriété internationale reconnue (Article 23.2). (b) Les rapports d'audit doivent être soumis au Comité Exécutif et résumés pour la Réunion de Vote.
5.3 Continuité des Activités : (a) Le Fonds doit maintenir des sites de reprise après sinistre pour les opérations de l'AC. (b) Les procédures de sauvegarde et de récupération des clés doivent être testées annuellement.
ARTICLE 6 : RESPONSABILITÉ ET RÉSOLUTION DES LITIGES
6.1 Limitation de Responsabilité : La responsabilité du Fonds concernant l'émission de certificats est limitée aux dommages directs prouvés résultant de la négligence du Fonds. Le Fonds n'est pas responsable des dommages indirects découlant d'un mauvais usage par les Membres ou de la dépendance de tiers.
6.2 Assertion d'Immunité : Toute action en justice concernant l'AC ACF est soumise aux immunités décrites dans le Chapitre V de la Charte.
6.3 Résolution des Litiges : Les litiges concernant la validité, la révocation ou l'utilisation des certificats sont résolus en vertu de l'Article 27 (Soumission au Comité Exécutif et à la Réunion de Vote), et non devant les tribunaux nationaux.
ARTICLE 7 : AMENDEMENTS ET ENTRÉE EN VIGUEUR
7.1 Amendements : La présente Directive peut être modifiée par le Président sur recommandation du Comité Exécutif.
7.2 Entrée en Vigueur : La présente Directive entre en vigueur dès sa signature par le Président et sa publication sur le site officiel du Fonds.
7.3 Langues : Conformément à l'Article 28.1, la présente Directive est authentique en anglais, français, portugais et arabe. En cas de divergence, le texte anglais prévaut pour les spécifications techniques.
ANNEXE A : SPÉCIFICATIONS DE L'AC RACINE
| Paramètre | Valeur |
|---|---|
| Nom Commun | African Community Fund Root CA |
| Validité | 20 Ans (7 300 Jours) |
| Algorithme de Clé | RSA 4096 / ECC P-384 |
| Algorithme de Signature | SHA-384 avec RSA / ECDSA |
| Utilisation de la Clé | Signature de Cert de Clé, Signature LRC |
| Contraintes de Base | AC : VRAI, Longueur de Chemin : 1 |
| Stockage | MSM FIPS 140-2 Niveau 3 |
ANNEXE B : CONTACTS ET ASSISTANCE
| Fonction | Contact |
|---|---|
| Opérations AC | [email protected] |
| Support Technique | [email protected] |
| Incidents de Sécurité | [email protected] |
Adoptée par le Président du Fonds Communautaire Africain le 10/11/2025.
Valeur Partagée, Prospérité Partagée.