BEAC / COBAC — mapping réglementaire
Statut : draft à valider par un compliance officer CEMAC. Cette page mappe les principales exigences des règlements BEAC et COBAC applicables aux établissements de monnaie électronique (EME) vers les contrôles techniques et organisationnels Nex.
1. Contexte réglementaire
Régulateurs
| Régulateur | Rôle |
|---|---|
| BEAC (Banque des États de l'Afrique Centrale) | Banque centrale CEMAC. Émet la monnaie XAF, supervise la politique monétaire et les systèmes de paiement. |
| COBAC (Commission Bancaire de l'Afrique Centrale) | Régulateur prudentiel. Délivre les agréments établissements financiers et établissements de monnaie électronique (EME). |
| GABAC (Groupe d'Action contre le Blanchiment d'Argent en Afrique Centrale) | Body régional AML/CFT, équivalent FATF. Voir /compliance/aml-cft-program. |
Textes principaux applicables
Liste indicative à valider et compléter avec un juriste CEMAC. Les références exactes (numéro de règlement, date) sont à confirmer.
- Règlement COBAC R-2017/04 (établissements de monnaie électronique) —
[À CONFIRMER référence exacte] - Règlements BEAC sur les services de paiement et la protection des données utilisateurs
- Loi camerounaise 2010/012 sur la cybersécurité et la cybercriminalité (si siège ou opération Cameroun)
- Conventions UEMOA / BCEAO pour extension future zone UEMOA
2. Statut d'agrément Nex
| Élément | Statut |
|---|---|
| Agrément EME COBAC | [À CONFIRMER] — en cours / obtenu / en passerelle via partenaire bancaire |
| Statut PSP (Prestataire de Services de Paiement) | [À CONFIRMER] |
| Banque partenaire principale (comptes de cantonnement) | [À CONFIRMER] |
| Reporting prudentiel cadence | [À CONFIRMER : mensuel / trimestriel] |
3. Exigences clés et mapping
3.1 Cantonnement des fonds clients
| Exigence | Contrôle Nex | Statut |
|---|---|---|
| Fonds clients isolés sur compte bancaire dédié | Voir /compliance/customer-funds-safeguarding | ⚠️ à formaliser |
| Réconciliation quotidienne solde wallet vs compte bancaire | Procédure à formaliser dans ledger-wallets | ⚠️ |
| Interdiction d'utiliser les fonds clients pour la trésorerie Nex | Ledger en partie double + audit | ✅ par design |
| Audit annuel par commissaire aux comptes | Externe | [À CONFIRMER] |
3.2 Lutte anti-blanchiment et financement du terrorisme (AML/CFT)
| Exigence | Contrôle Nex | Référence |
|---|---|---|
| Identification du client (KYC) | service customer-profiles-kyc + Apentis | /services/customer-profiles-kyc/ |
| Vérification d'identité avec pièces officielles | KYC documents stockés (file-service) | /services/file-service/ |
| Vérification PEP / sanctions | À implémenter via Apentis ou provider dédié | /compliance/aml-cft-program |
| Transaction monitoring | Risk engine — règles AML | /services/risk-engine/ |
| Plafonds réglementaires (transaction, jour, mois) | risk-engine CumulativeCapRule (daily/weekly/monthly) + PerTransactionLimitRule | ✅ implémenté |
| Déclaration de soupçon (SAR) | Workflow CMMS | [À IMPLÉMENTER] |
| Conservation des données 10 ans | Politique de rétention à formaliser | ⚠️ |
3.3 Sécurité de l'information
| Exigence | Contrôle Nex | Référence |
|---|---|---|
| Politique de sécurité formelle | ISP draft | /security/information-security-policy |
| Cryptographie pour les données sensibles | TLS + bcrypt + AES-GCM | /security/encryption-standards |
| Gestion des accès et privilèges | RBAC + JWT scopes | /security/access-control-matrix |
| Plan de continuité d'activité | BCP draft | /operations/business-continuity |
| Plan de réponse aux incidents | IRP draft | /operations/incident-response |
| Audit annuel sécurité | À programmer | [À CONFIRMER] |
3.4 Protection des données personnelles
| Exigence | Contrôle Nex | Référence |
|---|---|---|
| Consentement utilisateur | Flow KYC, mentions in-app | ⚠️ à auditer |
| Droit d'accès / rectification / opposition | Procédure CMMS | ⚠️ à implémenter |
| Droit à l'oubli | À implémenter | ⚠️ |
| Transferts transfrontaliers | Documentation Firebase, AWS (régions) | ⚠️ |
| Notification breach | IRP §8 + RGPD | ⚠️ |
Voir /compliance/data-protection.
3.5 Reporting au régulateur
| Type de reporting | Cadence | Format | Producteur Nex |
|---|---|---|---|
| Reporting prudentiel (volumes, soldes, exposition) | Mensuel / trimestriel [À CONFIRMER] | [À CONFIRMER format BEAC] | Service logs-reporting (à implémenter) |
| Déclaration de soupçon (SAR) | À l'événement | Format GABAC | Workflow CMMS compliance |
| Déclaration incident sécurité | Selon réglementation EME, délai à confirmer | Format BEAC [À CONFIRMER] | IRP §8 |
| Statistiques mensuelles transactions | Mensuel | [À CONFIRMER] | logs-reporting |
| Reporting AML annuel | Annuel | Format GABAC | logs-reporting + compliance officer |
3.6 Gouvernance
| Exigence | Contrôle Nex | Statut |
|---|---|---|
| Conseil d'administration | [À CONFIRMER structure Nex] | [À CONFIRMER] |
| Compliance officer désigné | [À CONFIRMER nom] | [À CONFIRMER] |
| Commissaire aux comptes | Externe | [À CONFIRMER] |
| RSSI désigné | Voir ISP §3 | ⚠️ à confirmer |
| Programme de formation compliance | À formaliser | ⚠️ |
4. Calendrier des obligations
| Obligation | Cadence | Prochaine échéance |
|---|---|---|
| Reporting prudentiel BEAC | [À CONFIRMER] | [À CONFIRMER] |
| Audit AML/CFT interne | Annuel | [À CONFIRMER] |
| Audit indépendant sécurité | Annuel cible | T3-T4 2026 |
| Reporting GABAC | Annuel | [À CONFIRMER] |
| Revue ISP | Annuelle | 12 mois après date d'effet |
5. Sources et références
- COBAC : https://www.beac.int/cobac/
- BEAC : https://www.beac.int/
- GABAC : https://spgabac.org/
- FATF Recommendations : https://www.fatf-gafi.org/en/publications/Fatfrecommendations.html
6. Limites de ce document
- Les références aux textes réglementaires précis sont à valider par un juriste spécialisé en réglementation bancaire CEMAC.
- Les délais et formats de reporting BEAC dépendent du statut juridique exact de Nex et des accords avec la banque partenaire.
- Ce document est un support de discussion avec le compliance officer et le régulateur, non un avis juridique.