Compliance & Data Protection — Posture stratégique

Version : 1.0 · 2026-05-20 · Document de pré-pitch sous NDA tacite

1. Cadre réglementaire applicable

Zone	Régulateur primaire	Texte fondamental	Notre posture
UEMOA (Côte d'Ivoire)	BCEAO + ARTCI (data) + CENTIF (AML)	Instruction n°008-05-2015 EME · Loi 2013 protection données CI · Loi anti-blanchiment	Agrément EME en préparation · Partenariat bancaire intermédiaire (NSIA/Ecobank) jusqu'à Series A
CEMAC (Cameroun)	COBAC + CNPDP (data) + ANIF (AML)	Règlement COBAC R-2024/01 IT · Loi 2010/012 + ordonnances 2024 · Règlement CEMAC 4/03 microfinance	Sandbox COBAC validée M9 · DPO local résident · Données nominatives en territoire camerounais strict
International	PCI-SSC (Visa/MC) · FATF	PCI-DSS L1 (si cartes Phase 3) · Recommandations FATF AML	Phase 3 (post Series A) seulement · Pas de PAN stocké en clair, tokenisation

2. Capital requis pour agrément EME

• BCEAO Instruction 008-05-2015 : capital minimum 300M XOF (~$500k) bloqué pour Établissement de Monnaie Électronique UEMOA
• COBAC règlement EME : capital minimum équivalent ~$500-700k selon catégorie
• Stratégie : opérer sous partenariat bancaire CI + CM pendant 12-18 mois (jusqu'à Series A), déposer notre propre dossier EME BCEAO à M9 et COBAC à M15
• Capital EME bloqué dans le Round 1 : non — le buffer compliance $80k couvre uniquement la préparation dossier + frais légaux
• Series A target ($8-12M) : tranchera la décision agrément propre vs continuation partnership selon économics réels post-traction

3. Data Protection — Résidence des données

Type de donnée	Lieu de stockage prod	Justification
PII clients CI (CNI, selfie, historique)	AWS af-south-1 (Cape Town)	Loi CI 2013 autorise sortie zone avec autorisation explicite — accordée AWS Africa
PII clients CM (CNI, selfie, historique)	Camtel Cloud Douala ou Orange Business CM	Loi 2010/012 CM + ordonnances 2024 — résidence territoriale stricte, refus CNPDP des transferts hors CM depuis 2024
Transactions financières CI	AWS af-south-1	Reporting BCEAO inclut transactions, conservation 10 ans S3 Glacier + Object Lock
Transactions financières CM	Camtel Cloud Douala	Idem CM. Conservation 10 ans obligatoire COBAC.
Modèles ML scoring (entraînement)	DGX local (k-anonymisé)	Données dé-identifiées (k≥5, MSISDN/CNI supprimés) — hors périmètre régulé. Pipeline auditable documenté.
Logs applicatifs avec PII	AWS CloudWatch (CI) / Camtel (CM)	Jamais sur infra non-régulée. Anonymisation pour analytics agrégés (Xeon home).

4. Chiffrement & Sécurité

• At-rest : AES-256 via AWS KMS / Camtel KMS. Clés gérées par client (BYOK).
• In-transit : TLS 1.3 obligatoire externe, mTLS intra-cluster.
• Secrets management : AWS Secrets Manager + rotation 30j sur credentials DB, 90j sur API keys.
• Pentest : 2 audits annuels indépendants (BCEAO + COBAC distincts, non mutualisables). Budget $90k/an.
• Vulnerability scanning : Snyk (code) + Trivy (containers) dans le pipeline CI/CD.
• Monitoring : AWS GuardDuty + Security Hub + CloudTrail. SIEM via OpenSearch.
• Tokenisation cartes (Phase 3) : PAN jamais stocké en clair, vault tokenizer PCI-DSS compliant.

5. KYC / AML / CFT

5.1 KYC niveaux (conformes BCEAO)

• Niveau 1 : MSISDN vérifié + selfie. Plafond : 50,000 XOF/jour.
• Niveau 2 : Niveau 1 + CNI + liveness + justificatif domicile. Plafond : 500,000 XOF/jour.
• Niveau 3 : Niveau 2 + revenus + entretien agent. Plafond : 2,000,000 XOF/jour.
• PRO (PME) : RCCM + statuts + IFU. Plafond illimité (sous AML monitoring).

5.2 AML/CFT

• Sanctions screening temps réel : OFAC, ONU, UE, FATF, BCEAO, COBAC locales. Provider : Refinitiv World-Check (négo).
• Velocity check : détection transactions répétitives (fractionnement, structuring).
• ML pattern detection : déviation comportementale (alerté CENTIF / ANIF si seuil 1M XOF dépassé sans justification).
• Délai légal DS : 24h suivant détection. Process automatisé : aml-service → reporting-service → SFTP CENTIF / ANIF.
• PEP screening : croisement World-Check + base BCEAO locale.
• Archivage : 7 ans minimum, chiffré S3 + Object Lock immutable WORM.

6. Rôles & Responsabilités compliance

Rôle	Localisation	Recruté avant
Compliance Officer (BCEAO ex)	Abidjan	M1
DPO Cameroun (CNPDP agréé)	Douala	M5 — non négociable COBAC
Country Manager CM (relai régulateur)	Douala	M3
CEO (responsabilité ultime)	Paris/Abidjan	M0
External legal CI	Cabinet Bilé-Aka Brizoua-Bi ou Houda Law Firm	Engagé M1
External legal CM	Cabinet Etah-Nan ou équivalent Douala	Engagé M3

7. Audit & Reporting réglementaire

• Reporting BCEAO : états financiers mensuels + rapports surveillance trimestriels. Format standardisé.
• Reporting COBAC : rapport mensuel + 2 audits IT/an. Plus exigeant qu'UEMOA.
• CENTIF (CI) / ANIF (CM) : déclarations de soupçon dans 24h. Process automatisé via aml-service.
• SFTP régulateurs : envoi chiffré PGP des rapports automatique.
• Audit trail immuable : tous les accès aux données nominatives loggés (BCEAO Art.12 + COBAC R-2024/01).

8. Hard Invariants (codifiés en code)

Les invariants ci-dessous sont protégés par contrainte SQL (CHECK), assertion runtime, et CI gates — pas par documentation seule.

• Aucune donnée client réelle sur infra home (Xeon) — table environment_banner + colonne is_synthetic avec CHECK constraint sur merchants → impossible d'insérer une vraie PME même par erreur.
• Aucune clé API production sur dev/staging — `.env` git-ignoré + secrets random openssl.
• Aucun PAN en clair (Phase 3 cartes) — tokenisation obligatoire ; gate CI bloque tout commit qui touche du PAN.
• Aucun transfert PII CM hors territoire — gate CI vérifie destination AWS region + Camtel endpoint.
• Logs avec PII jamais sur Xeon home — séparation OTel pipeline : métriques agrégées → Xeon, logs PII → CloudWatch.

9. Risques résiduels assumés

Risque	Probabilité	Mitigation
BCEAO retarde l'agrément EME 6+ mois	Moyenne	Partenariat bancaire continue, runway 19 mois suffisant
COBAC refuse data residency exception CM	Faible	Camtel Cloud Douala dès Phase 1, conformité native
Hit sanctions liste OFAC non détecté	Très faible	Refinitiv World-Check temps réel + double-check manuel sur transactions > seuil
Fuite données client (breach)	Faible	Chiffrement at-rest + in-transit, pentest 2x/an, SOC2 Type II target Year 2
Dépendance Refinitiv sur sanctions (vendor lock-in)	Acceptable	Alternative ComplyAdvantage évaluée en parallèle

10. Roadmap compliance certifications

Certification	Phase	Coût
Agrément partenariat bancaire CI + CM	M0-M3	$3-5k juridique
Sandbox COBAC validée	M6-M9	$8-12k legal + dossier
Dossier EME BCEAO déposé	M12-M15	$50k (legal + dossier complet)
ISO 27001 (cible Phase 3)	M24+	$30-50k audit annuel
SOC 2 Type II	M24+	$25-40k audit
PCI-DSS Level 1 (si cartes)	M30+	$80-150k initial + $40k/an QSA

Ce document est une posture stratégique. Il sera actualisé après échanges avec Bird & Bird Abidjan (cabinet legal) et signature LoI banque CM (M3).