Fonds Communautaire Africain

Directive sur le Registre Numérique des Parts

Directive n° : ACF-DIR-004 | Date d'entrée en vigueur : 13/04/2026 | Version : 1.0

PRÉAMBULE

ATTENDU QUE le Fonds Communautaire Africain (le « Fonds ») opère en tant qu'institution internationale dotée d'une pleine personnalité juridique aux termes de l'Article 2.1 de sa Charte ;

ATTENDU QUE l'Article 10.2 impose la création d'un Registre Numérique des Parts sécurisé pour enregistrer toutes les participations, les transferts et les charges ;

ATTENDU QUE l'Article 14.2(c)–(d) confie au Comité Exécutif la surveillance du Registre, les protocoles de transfert de parts et la gestion de la liquidité ;

ATTENDU QUE l'Article 10.1 autorise la transférabilité électronique au sein des classes de parts sous réserve des lois internationales, des régimes de sanctions et des protocoles KYC/LBC ;

ATTENDU QUE l'Article 10.5 garantit la protection des parts des Membres contre la saisie, le gel ou la confiscation, sauf en cas de défaut matériel et d'épuisement des recours contractuels ;

ATTENDU QUE l'Article 13.5 autorise le Président à adopter des directives conformes à la Charte pour mettre en œuvre la mission du Fonds ;

PAR CONSÉQUENT, le Président émet par la présente cette Directive sur le Registre Numérique des Parts afin d'établir l'architecture technique, les protocoles de sécurité, les procédures opérationnelles et les normes de gouvernance pour le registre officiel de propriété du Fonds.

ARTICLE 1 : ÉTABLISSEMENT ET CHAMP D'APPLICATION

1.1 Registre Officiel : Le Registre Numérique des Parts (le « Registre ») constitue le seul registre faisant autorité et juridiquement probant de :

  • (a) Toutes les parts de Classe A (Gouvernance) et de Classe B (Non-Gouvernance) émises ;
  • (b) La propriété des parts, les droits économiques et les désignations de classe ;
  • (c) Les transferts électroniques, les charges, les nantissements et les arrangements de sûreté ;
  • (d) Les contrats de rachat, les dossiers de confiscation et les statuts de retrait conformément à l'Article 11.

1.2 Applicabilité : La présente Directive s'applique à toutes les opérations du Fonds, aux Membres, aux signataires autorisés, aux intégrateurs techniques, aux auditeurs et aux prestataires de services tiers interagissant avec le Registre.

1.3 Surveillance de la Gouvernance : Le Comité Exécutif maintient l'autorité politique ultime sur les spécifications, la posture de sécurité et les protocoles opérationnels du Registre, tels que délégués en vertu de l'Article 10.2(b).

ARTICLE 2 : ARCHITECTURE TECHNIQUE ET NORMES DE SÉCURITÉ

2.1 Normes Cryptographiques :

  • (a) Les données au repos doivent être chiffrées à l'aide d'AES-256-GCM ou de normes équivalentes reconnues internationalement.
  • (b) Les données en transit doivent être sécurisées via TLS 1.3 ou supérieur, avec épinglage de certificat obligatoire pour les points de terminaison API.
  • (c) Toutes les transactions du Registre doivent être hachées cryptographiquement pour garantir la preuve de falsification et les pistes d'audit immuables.

2.2 Gestion des Clés :

  • (a) Les clés de chiffrement maîtres et les clés de signature doivent être générées et stockées dans des Modules de Sécurité Matériels (MSM) conformes FIPS 140-2 Niveau 3 ou supérieur.
  • (b) La rotation des clés, la mise en séquestre et les protocoles de contrôle multi-personnes (M-sur-N) doivent être alignés sur les normes NIST SP 800-57 et ISO/CEI 19790.

2.3 Zéro Confiance et Sécurité Réseau :

  • (a) Le Registre doit fonctionner au sein d'une architecture de zéro confiance, nécessitant une vérification continue de l'identité et un accès à moindre privilège.
  • (b) Des systèmes de détection/prévention des intrusions (IDS/IPS), d'atténuation des attaques DDoS et des flux automatisés de renseignements sur les menaces doivent être déployés.

2.4 Interopérabilité : Le Registre doit exposer des API sécurisées et versionnées conformes aux spécifications OpenAPI 3.0, permettant une intégration authentifiée avec les systèmes des Membres, l'Autorité de Certification de l'ACF (ACF-DIR-002) et l'API Programmatique du Fonds.

ARTICLE 3 : GESTION DU CYCLE DE VIE DES PARTS

3.1 Émission : Les parts sont enregistrées dans le Registre dès :

  • (a) L'approbation de l'adhésion par le Comité Exécutif (Article 4.3) ;
  • (b) L'exécution de la Convention de Souscription ;
  • (c) La réception du paiement initial de 20 % conformément à l'Article 7.2(a).

3.2 Transfert Électronique :

  • (a) Les transferts s'effectuent électroniquement au sein de la même classe de parts, sous réserve de la vérification automatisée KYC/LBC et des contrôles de conformité aux sanctions (Article 10.1).
  • (b) Les transferts entre classes ou vers des entités non vérifiées requièrent l'approbation explicite du Comité Exécutif.
  • (c) Le Registre met automatiquement à jour l'éligibilité au vote (Classe A uniquement) et les droits économiques après confirmation du transfert.

3.3 Confiscation : Sur résolution du Comité Exécutif conformément à l'Article 10.3, le Registre doit :

  • (a) Geler immédiatement les droits économiques associés ;
  • (b) Enregistrer l'événement de confiscation avec l'horodatage, le motif et la résolution d'autorisation ;
  • (c) Transférer le titre au Fonds dans l'attente d'une réallocation ou d'une annulation conformément à l'Article 10.4.

3.4 Rachat et Retrait : À la date effective de retrait (Article 11.2), le Registre doit :

  • (a) Bloquer les parts du Membre se retirant dans l'attente du calcul de la VL ;
  • (b) Enregistrer les conditions du Contrat de Rachat, le choix du mode de règlement et les jalons de paiement conformément à l'Article 11.4 ;
  • (c) Finaliser la suppression des parts uniquement après satisfaction complète du Contrat de Rachat (Article 11.7).

3.5 Suivi des Charges : Le Registre enregistre les nantissements, les cessions de sûreté ou les privilèges sur les parts, y compris le rang de priorité, la durée et les conditions de mainlevée, pour soutenir les opérations de prêt en vertu de l'Article 17.

ARTICLE 4 : CONTRÔLES D'ACCÈS ET AUTHENTIFICATION

4.1 Contrôle d'Accès Basé sur les Rôles (CABR) : L'accès est strictement gradué :

  • (a) Membres : Consulter ses propres participations, initier des transferts, soumettre des demandes de retrait, télécharger des relevés.
  • (b) Opérations du Fonds : Exécuter les transferts approuvés, enregistrer les charges, traiter les règlements de rachat, gérer les paramètres du système.
  • (c) Comité Exécutif : Ignorer les actions restreintes, approuver les exceptions, consulter les tableaux de bord agrégés de liquidité et de conformité.
  • (d) Auditeurs : Accès en lecture seule aux journaux de transactions historiques et aux rapports de conformité, délimités par le mandat d'audit.

4.2 Authentification :

  • (a) Tout accès doit nécessiter une authentification multifacteur (AMF) via l'Autorité de Certification de l'ACF (ACF-DIR-002).
  • (b) Les Membres institutionnels peuvent s'authentifier via mTLS ou des jetons OAuth 2.0 intégrés à l'API Programmatique du Fonds.
  • (c) Des délais d'expiration de session, des listes d'autorisation d'adresses IP et des analyses comportementales doivent être appliqués aux comptes privilégiés.

4.3 Journalisation des Audits : Chaque lecture, écriture, modification ou tentative d'accès doit être consignée de manière immuable avec l'identifiant de l'utilisateur, l'horodatage, l'adresse IP, le type d'action et l'état du système. Les journaux doivent être conservés pendant un minimum de dix (10) ans.

ARTICLE 5 : INTÉGRITÉ DES DONNÉES, AUDIT ET RAPPORT

5.1 Preuve Concluante : Les entrées du Registre constituent une preuve prima facie de la propriété, de la validité du transfert et du statut des charges à toutes fins du Fonds et de résolution des litiges en vertu de l'Article 27.

5.2 Audit Indépendant : L'intégrité des données, les contrôles de sécurité et la conformité opérationnelle du Registre doivent être examinés annuellement par des auditeurs externes de notoriété internationale reconnue, comme l'exige l'Article 23.2.

5.3 Rapport :

  • (a) Des tableaux de bord en temps réel doivent être fournis au Comité Exécutif pour la surveillance de la liquidité, le suivi des appels de capitaux et l'évaluation des risques.
  • (b) Des données agrégées et anonymisées du Registre (p. ex., total des parts émises par classe, répartition géographique des Membres) doivent être publiées via le portail Open Data dans des formats lisibles par machine.
  • (c) Les données personnelles et les détails au niveau des transactions ne doivent jamais être publiés sans le consentement explicite du Membre ou une exigence légale.

ARTICLE 6 : CONTINUITÉ DES ACTIVITÉS ET REPRISE APRÈS SINISTRE

6.1 Redondance : Le Registre doit fonctionner dans des centres de données géographiquement distribués et tolérants aux pannes avec réplication active-active pour garantir une disponibilité de 99,99 %.

6.2 Objectifs de Reprise :

  • (a) Objectif de Point de Reprise (OPR) : ≤ 5 minutes
  • (b) Objectif de Délai de Reprise (ODR) : ≤ 2 heures

6.3 Sauvegarde et Tests : Des sauvegardes chiffrées doivent être effectuées en continu et stockées dans des environnements isolés et à entrefer d'air. Des simulations complètes de reprise après sinistre doivent être conduites deux fois par an, avec les résultats communiqués au Comité Exécutif.

6.4 Séquestre des Clés : Les clés de déchiffrement maîtres doivent être déposées en séquestre auprès de dépositaires indépendants et reconnus internationalement sous autorisation multipartite afin de prévenir les scénarios de verrouillage.

ARTICLE 7 : CONFORMITÉ, SANCTIONS ET INTÉGRATION KYC/LBC

7.1 Criblage Automatisé : Toutes les demandes de transfert, les nouvelles inscriptions et les mises à jour de propriété effective doivent être criblées en temps réel par rapport aux listes de sanctions internationales (ONU, OFAC, UE, HMT, UA) et aux bases de données de Personnes Politiquement Exposées (PPE).

7.2 Alignement KYC/LBC : L'intégration au Registre et la validation des transferts doivent s'intégrer à la Directive de Conformité KYC/LBC du Fonds (ACF-DIR-005), exigeant une identité vérifiée, des déclarations de source de fonds/d'or et une surveillance continue conformément aux recommandations du GAFI.

7.3 Conservation des Données et Confidentialité : Les données du Registre doivent être traitées conformément aux principes internationaux de protection des données. Les flux de données transfrontaliers sont protégés par les immunités du Chapitre V (Articles 18-22), bien que les Membres restent responsables de la conformité nationale lorsqu'ils accèdent au Registre.

ARTICLE 8 : RESPONSABILITÉ, IMMUNITÉS ET RÉSOLUTION DES LITIGES

8.1 Limitation de Responsabilité : Le Fonds n'est pas responsable des pertes résultant de la compromission des identifiants des Membres, de l'accès non autorisé de tiers ou des pannes de système au-delà de la négligence grave ou de l'inconduite intentionnelle.

8.2 Assertion d'Immunité : L'infrastructure, les données et les opérations du Registre sont protégées en vertu du Chapitre V de la Charte. Toute action en justice tentant de contraindre la divulgation, la saisie ou la modification des données du Registre est soumise aux immunités et privilèges du Fonds.

8.3 Résolution des Litiges : Les litiges concernant l'exactitude du Registre, la validité des transferts ou le statut des charges sont résolus en vertu de l'Article 27 : d'abord par le Comité Exécutif, puis par la Réunion de Vote en cas d'appel, les décisions étant finales et contraignantes sous réserve de confirmation du Président.

ARTICLE 9 : AMENDEMENTS, RÉVISION ET ENTRÉE EN VIGUEUR

9.1 Amendements : La présente Directive peut être modifiée par le Président sur recommandation du Comité Exécutif, à condition que les amendements restent conformes à la Charte.

9.2 Cycle de Révision : Le Comité Exécutif doit réviser la présente Directive tous les deux ans pour intégrer les avancées technologiques, les menaces émergentes ou les retours opérationnels.

9.3 Entrée en Vigueur : La présente Directive entre en vigueur dès sa signature par le Président et sa publication sur le site officiel du Fonds.

9.4 Langues : Conformément à l'Article 28.1, la présente Directive est authentique en anglais, français, portugais et arabe. En cas de divergence, le texte anglais prévaut pour les spécifications techniques.

ANNEXE A : SPÉCIFICATIONS TECHNIQUES MINIMALES

Composant Exigence Norme/Référence
Base de données ACID conforme, registre distribué ou chaîne de hachage cryptographique PostgreSQL / Hyperledger Fabric
Chiffrement au repos AES-256-GCM NIST SP 800-38D
Chiffrement en transit TLS 1.3 + Épinglage de Certificat RFC 8446
Sécurité API OAuth 2.0 + mTLS + Limitation de débit RFC 6749, OpenAPI 3.0
Journalisation des Audits Immuable, ajout uniquement, signé cryptographiquement ISO/CEI 27001, NIST SP 800-92
Gestion des Clés MSM FIPS 140-2 Niveau 3, contrôle M-sur-N NIST SP 800-57
SLA de Disponibilité 99,99 % de disponibilité, géo-réplication active-active ITIL / ISO 22301
OPR/ODR de Sauvegarde ≤ 5 min / ≤ 2 heures NIST SP 800-34

ANNEXE B : CONTACTS ET ASSISTANCE

Fonction Contact Objet
Opérations du Registre [email protected] Surveillance du système, performance, réponse aux incidents
Soutien à l'Intégration API [email protected] Documentation développeur, accès sandbox, dépannage
Conformité et Criblage [email protected] Validation KYC/LBC, alertes de sanctions, approbations de transfert
Audit et Examen de Sécurité [email protected] Coordination d'audit indépendant, tests de pénétration
Soutien d'Accès aux Membres [email protected] Récupération d'identifiants, demandes de relevés, configuration AMF

Adoptée par le Président du Fonds Communautaire Africain le 13/04/2026.
Valeur Partagée, Prospérité Partagée.

Signature numérique md5-Ps8KtPFAvLXXa3SI9R69rA==
Vérifier la signature numérique
©2026 African Community Fund
africancommunityfund.com