Customer Funds Safeguarding
Statut : draft à valider. Politique de cantonnement des fonds clients sur la plateforme Nex. Cette politique est un livrable systématiquement demandé par les partenaires bancaires et le régulateur.
1. Principe
Les fonds détenus par Nex pour le compte de ses clients (soldes wallets) sont séparés du patrimoine propre de Nex. En cas de défaillance de Nex, ces fonds doivent être protégés et restituables aux utilisateurs.
2. Architecture comptable
2.1 Ledger interne (Nex)
Le service ledger-wallets tient un grand livre en partie double (ADR-0014, /architecture/transactions) :
- Toute opération produit une écriture débit et une écriture crédit équivalentes.
- Les soldes wallets sont l'image agrégée des écritures ledger.
- Immutabilité : pas de UPDATE / DELETE sur la table
ledgers. Toute correction passe par une écriture compensatoire.
2.2 Mapping ledger → comptes bancaires
Invariant comptable : Σ(soldes wallets actifs) ≤ solde compte de cantonnement.
Tout écart déclenche une alerte critique et une investigation immédiate.
3. Compte(s) de cantonnement
| Élément | Valeur |
|---|---|
| Banque partenaire principale | [À CONFIRMER] |
| Numéro de compte | [À CONFIRMER — Restricted] |
| Devise | XAF |
| Type de compte | [À CONFIRMER : compte de cantonnement EME / compte client agrégé] |
| Banque(s) partenaire(s) secondaire(s) | [À CONFIRMER si applicable] |
| Garanties offertes par la banque | [À CONFIRMER : assurance dépôts ?] |
4. Réconciliation
4.1 Périodicité
| Type | Cadence | Responsable |
|---|---|---|
| Réconciliation automatique | Quotidienne (J+1 à 08:00 CEMAC) | Service [À IMPLÉMENTER] ou batch |
| Audit manuel mensuel | Mensuelle | Compliance officer |
| Audit externe annuel | Annuel | Commissaire aux comptes |
4.2 Procédure
4.3 Tolérance
- Écart nul attendu en théorie (ledger en partie double).
- Écart constaté → investigation systématique.
- Différences possibles à comprendre : transactions in-flight, frais bancaires non rapprochés, callbacks providers en retard.
5. Règles d'usage des fonds clients
| Règle | Conséquence |
|---|---|
| Les fonds clients ne sont pas la trésorerie Nex | Nex ne peut pas utiliser ces fonds pour ses dépenses |
| Pas de prélèvement automatique de frais sur le compte de cantonnement | Les commissions Nex sont prélevées via écritures ledger vers des wallets Nex (compte FEE_COLLECTION), puis transférés au compte bancaire opérationnel Nex via opérations contrôlées (cf. /flows/treasury-destruction) |
| Aucun transfert direct du compte de cantonnement vers le compte opérationnel sans procédure | Procédure documentée + validation maker-checker |
| Audit annuel obligatoire | Commissaire aux comptes |
6. Détection ledger / dettes ouvertes
Issues du /compliance/audit-2026-ledger-wallets — à corriger pour atteindre une posture audit-ready :
- B3 (Known Gaps) : admin endpoints
PUT /accounts/:id/balance/*permettent modifications sans écriture compensatoire → violation immutabilité ledger. - B4 :
ledgers.created_bynon rempli — impossible d'identifier l'auteur d'une écriture. - B5 : pas de
correlation_idpropagé entre services. - B6 : maker-checker non enforced sur paiements bulk.
Ces dettes doivent être résolues avant un audit bancaire formel.
7. Procédure de restitution en cas de défaillance Nex
Scenario hypothétique : Nex ne peut plus opérer (faillite, fraude majeure, sanction régulateur).
| Étape | Acteur | Action |
|---|---|---|
| 1. Constatation défaillance | Régulateur / juge | Décision officielle |
| 2. Gel des écritures ledger | Tech ops Nex (ou administrateur judiciaire) | Lock DB en lecture seule |
| 3. Snapshot final des soldes wallets | Tech ops | Export complet + signature numérique |
| 4. Mobilisation du compte de cantonnement | Banque partenaire | Sur instructions administrateur judiciaire |
| 5. Restitution proportionnelle | Administrateur judiciaire | Selon soldes wallets |
8. Reporting
| Reporting | Cadence | Destinataire |
|---|---|---|
| Solde quotidien compte cantonnement vs ledger | Quotidien | Interne + alerting |
| Anomalies réconciliation | À l'événement | Compliance + tech ops |
| Solde mensuel | Mensuel | Direction + BEAC [À CONFIRMER] |
| Audit annuel | Annuel | Commissaire aux comptes + BEAC |
9. Indicateurs
- Écart moyen J / J-1 (cible : 0 XAF).
- Nombre d'anomalies détectées par mois.
- Délai moyen de résolution d'une anomalie.
- Couverture (ratio solde bancaire / Σ wallets, cible ≥ 100 %).
10. Gaps connus
- Procédure de réconciliation automatique à implémenter (service ou batch).
- Compte bancaire de cantonnement à confirmer / formaliser.
- Audit annuel commissaire aux comptes à programmer.
- Dettes ledger (B3-B6) à résoudre.
- Procédure de restitution non testée en exercice.
11. Références
- Règlement COBAC R-2017/04 sur les EME (cantonnement)
[À CONFIRMER référence exacte]. - FATF Recommendations 16 (Wire Transfers).
- ISO 27001 A.5.31 : exigences légales et réglementaires.
- /architecture/transactions — modèle ledger.
- /compliance/audit-2026-ledger-wallets — audit interne.