CertificAhorro
CertificAhorro
GestiónMercadoBeta
Demander une invitationSe connecter

Bêta fermée·Première plateforme de marché secondaire de CAE en Espagne, en cours de développement·Demander une invitation

Marché CAE · Sécurité

Sécurité du Marché CAE : intégrité, traçabilité et conformité

5 couches de contrôle qui protègent acheteurs, vendeurs et régulateur. Le Marché Secondaire des CAE est un marché réglementé de création récente : la confiance technique est le premier facteur d'adoption, avant le prix et l'interface.

L'architecture décrite ci-après correspond à la version auditée le 19 avril 2026 : audit interne de conformité réglementaire à 99,3 % sur 156 points de contrôle (10 domaines, 151 conformes, 1 partiel justifié, 0 non conforme, 4 non applicables).

Vue d'ensemble : cinq couches de sécurité

Chaque couche répond à une menace spécifique du cycle de vie d'un CAE sur un marché secondaire : accès indu, manipulation du carnet, répudiation du contrat, double vente et altération du registre. Les cinq couches s'exécutent de manière séquentielle pour chaque ordre et sont auditables de façon indépendante par les régulateurs compétents.

Couche 1

Accès contrôlé

KYC, accréditation MITECO, clause pénale 150 %

Couche 2

Carnet d'ordres

Matching déterministe, détecteur anti wash trading

Couche 3

Signature eIDAS

Règlement UE 910/2014 Art. 25, audit trail SHA-256

Couche 4

Flux SEPA

Gel du CAE en transit, sans séquestre dépositaire

Couche 5

Audit immuable

Triggers append-only, CSV externe signé SHA-256

01

Accès contrôlé et KYC

Aucun opérateur ne peut publier ni croiser d'ordres sans avoir préalablement passé la procédure de Know Your Customer (KYC) appliquée par CertificAhorro. Le contrôle combine des vérifications automatisées sur des bases publiques et une revue manuelle par l'équipe de conformité de HM Capital SARL.

Éléments obligatoires du dossier KYC :

  • Pour les Sujetos Delegados : vérification de l'accréditation MITECO (Art. 9 du Real Decreto 36/2023) recoupée avec le registre public des SD publié par le Ministère pour la Transition Écologique.
  • Pour les Sujetos Obligados : vérification de la qualité d'assujetti conformément à l'Art. 70 de la Ley 18/2014 (commercialisateurs et distributeurs accrédités).
  • Document officiel d'identité du représentant légal avec pouvoirs de représentation justifiés.
  • CIF et raison sociale recoupés avec des bases publiques (registre du commerce, annuaire MITECO).
  • Déclaration sur l'honneur relative à la chaîne d'intermédiation. L'Art. 6 du Real Decreto 36/2023, dans son interprétation applicable depuis le 15 décembre 2024, limite la chaîne à un unique intermédiaire entre l'exécutant de l'action et le Sujeto Obligado. La déclaration est renforcée par une clause pénale de 150 % du montant en cas de fausseté prouvée.

Le délai de validation est de 2 à 5 jours ouvrables. La revue est manuelle et non sous-traitée. L'accréditation est renouvelée chaque année et suspendue immédiatement si l'un des justificatifs cesse d'être valide (expiration du certificat MITECO, perte du rôle réglementaire, changement de représentant non communiqué).

02

Intégrité du carnet d'ordres

Le carnet d'ordres applique un algorithme de matching déterministe à priorité prix-temps (FIFO au sein d'un même niveau de prix). Les règles sont publiées dans les Conditions Générales du Marché : à prix égal, l'ordre publié en premier prime ; une amélioration de prix déplace l'ordre postérieur. Il n'existe ni priorisation cachée, ni rebates, ni teneurs de marché subventionnés par la plateforme.

Détection anti-manipulation (wash trading detection) :

La plateforme intègre un module statistique dédié à la détection des schémas susceptibles de fausser l'indice de prix publié. Les détecteurs couvrent trois familles de signaux : opérations croisées aller-retour le même jour (same-day round-trip), anomalies de prix par rapport au prix moyen pondéré de marché, et auto-croisement entre comptes contrôlés par des parties liées. Les listings signalés par le module sont gelés automatiquement dans l'attente d'une revue par l'équipe de conformité, sans attendre de réclamation externe.

Par principe de sécurité, les paramètres exacts de l'algorithme et les seuils de décision ne sont pas publiés : leur divulgation faciliterait le calibrage d'un opérateur malveillant cherchant à passer sous le radar. La CNMC et le MITECO disposent d'un canal réservé pour accéder à la spécification complète sur réquisition documentée, conformément à la procédure décrite sur /mercado-cae/contacto-regulatorio.

Séparation des données commerciales entre concurrents directs : durant la phase de publication, l'identité de la contrepartie reste anonymisée. Elle n'est révélée qu'après l'appariement et dans la stricte mesure nécessaire pour générer le contrat d'achat-vente et les factures.

03

Signature électronique eIDAS des contrats

Tous les contrats d'achat-vente sont générés automatiquement avec les données réglementaires exigées par l'Art. 17.2 de l'Orden TED/815/2023 : identification des parties, identifiant unique du CAE, volume en MWh, prix convenu, date d'émission et conditions particulières. Le document inclut la clause pénale de 150 % portant sur les déclarations sur l'honneur du vendeur ainsi que les mentions fiscales obligatoires.

La signature s'effectue au moyen d'une signature électronique simple (SES) conforme à l'Art. 25 du Règlement UE 910/2014 (eIDAS), intégrée via DocuSeal. Le Règlement établit littéralement qu'une signature électronique ne se verra pas refuser d'effet juridique ni d'admissibilité comme preuve en justice au seul motif de sa forme électronique (Art. 25.1). Chaque signature génère un audit trail complet : hash SHA-256 du document, horodatage, adresse IP, user-agent, séquence des événements d'ouverture, de lecture et de signature.

Le document signé est stocké sur Cloudinary dans un dossier de type authenticated, c'est-à-dire à accès restreint par jeton signé. L'accès depuis la plateforme passe par un proxy authentifié qui vérifie le RBAC : seules les parties au contrat, l'équipe administratrice et le Délégué à la Conformité peuvent télécharger le document. Le téléchargement est enregistré dans MktDocAccess, soumis aux mêmes garanties d'immuabilité que la Couche 5.

Consulter la page dédiée /firma-electronica pour un détail exhaustif du flux eIDAS appliqué à l'ensemble de la plateforme CertificAhorro.

04

Flux de fonds SEPA et gel MITECO

Le paiement s'effectue par virement SEPA direct entre l'acheteur et le vendeur, les coordonnées bancaires étant échangées via le contrat signé. Dans la version actuelle de la plateforme, il n'existe pas de séquestre dépositaire : CertificAhorro ne reçoit ni ne détient les fonds de l'opération principale. Elle facture uniquement ses commissions de plateforme conformément au régime fiscal décrit plus bas.

Comment l'opération est protégée sans séquestre dépositaire :

  • Gel automatique du CAE en transit : après le matching, la plateforme bloque le CAE dans le carnet d'ordres. Le Sujeto Delegado cédant ne peut ni le re-publier ni l'apparier avec une seconde contrepartie tant que la transmission est en cours. Ce contrôle opérationnel remplace la fonction qu'assure un séquestre dépositaire sur d'autres marchés financiers.
  • Transmission MITECO comme point de non-retour : la demande de changement de titularité auprès du Registre National n'est lancée qu'après la signature eIDAS du contrat. Jusqu'à ce moment, la titularité juridique du CAE demeure auprès du SD vendeur.
  • Facturation cross-border HM Capital SARL -> client espagnol : deux factures automatiques sont émises au format XML Facturae 3.2.2 conforme à la Ley 18/2022 (Crea y Crece). La facture MKT-S est adressée au vendeur, la facture MKT-B à l'acheteur. Les deux sont émises en reverse charge conformément à l'Art. 84.Uno.2 de la Ley 37/1992 et à l'Art. 196 de la Directive 2006/112/CE : sans TVA française, avec mention expresse d'autoliquidation et auto-liquidation par le client espagnol dans le modelo 303.
  • Procédure de litige : si, après la transmission effective du CAE, l'une des parties manque à son obligation de paiement, la partie lésée ouvre un litige formel depuis le panneau de transaction. L'ouverture de la procédure gèle le règlement, active l'escalade vers l'équipe administratrice et, en cas de manquement persistant, autorise la suspension de toute nouvelle opération de l'opérateur défaillant.
05

Traçabilité immuable (tamper-evidence)

Le registre d'audit administratif (AdminAuditLog) enregistre chaque action sensible exécutée sur la plateforme : intervention d'un administrateur, gel d'un listing sur réquisition d'autorité, publication d'une nouvelle version des Conditions Générales, accès à un document contractuel. Le registre est protégé par des triggers PostgreSQL append-only installés au niveau de la base de données.

Les triggers BEFORE UPDATE et BEFORE DELETE installés sur les tables AdminAuditLog, LegalAcceptance et MktDocAccess lèvent l'erreur Postgres ERRCODE 42501 (insufficient_privilege) en dehors du rôle dédié audit_admin, qui n'est pas provisionné dans le runtime applicatif (NOLOGIN). L'application web ne peut à aucun moment modifier ni supprimer une entrée d'audit : l'écriture se fait en mode append, toute tentative d'UPDATE ou de DELETE avorte la transaction.

Les transactions de marché (MktTransaction) sont gelées à l'état COMPLETED ou CANCELLED : seuls les champs liés à la gestion des litiges (dispute*, relatedParties*) et le champ updatedAt peuvent évoluer une fois l'opération clôturée. Les autres champs financiers et contractuels sont immuables.

Copie externe quotidienne signée SHA-256 :

Le cron admin-audit-daily-export (GitHub Actions, exécution à 02:13 UTC) exporte au format CSV toutes les entrées AdminAuditLog de la veille, calcule le hash SHA-256 du fichier et l'envoie en pièce jointe à la boîte billing@certificahorro.es. L'archivage Workspace (horodatage SMTP du serveur Google) crée une copie tamper-evident externe : toute divergence ultérieure entre la base de données et le CSV archivé est détectée par recalcul du SHA-256. Le cron fonctionne comme heartbeat : le courriel est envoyé même les jours sans activité, ce qui permet de détecter une interruption du registre.

Conservation documentaire : dix ans conformément à l'Art. L102 B du Livre des Procédures Fiscales français applicable à HM Capital SARL, aligné sur le délai de conservation des pièces comptables applicable aux factures cross-border du marché. Aucune purge automatique n'est prévue.

Upgrade path réglementaire : si la CNMC venait à exiger à l'avenir une preuve cryptographique qualifiée, la structure de l'AdminAuditLog inclut déjà les champs sequence, prevHash et rowHash nécessaires à une chaîne de hashes ancrée à une Autorité d'Horodatage (TSA) conforme à la RFC 3161, avec provision d'activation sur FreeTSA et, en régime qualifié, FNMT-RCM Ceres. L'activation n'est pas déployée par défaut, étant jugée disproportionnée pour un opérateur CAE non financier : les contrôles compensatoires décrits (triggers append-only + copie externe quotidienne + identifiants DB restreints avec rotation semestrielle et sauvegardes PITR 7 jours sur Railway) sont considérés comme suffisants dans le contexte réglementaire actuel du marché CAE.

Audit de conformité réglementaire

L'architecture de sécurité décrite a été évaluée dans le cadre de l'audit interne v2.0, daté du 19 avril 2026. L'audit couvre 156 points de contrôle répartis sur 10 domaines (structure sociétaire, RGPD et LOPDGDD, RD 36/2023, Orden TED/815/2023, marché secondaire, signature électronique, système documentaire, fiscalité cross-border, conservation et tamper-evidence). Le résultat en couverture stricte est de 99,3 % : 151 points conformes, 1 point partiel justifié, 0 point non conforme et 4 points non applicables au périmètre actuel.

Le seul point évalué comme partiel, dénommé F6.10 (tamper-evidence cryptographique), correspond à l'absence d'une chaîne de hashes avec ancrage TSA qualifié activée par défaut. La justification documentaire et les contrôles compensatoires associés sont précisément ceux décrits dans la Couche 5. Le détail complet de l'audit, sa méthodologie et les rapports de domaine sont publiés sur /normativa#auditoria.

Contact pour auditeurs et autorités

CertificAhorro maintient un point de contact réglementaire unique à destination du MITECO, de la CNMC, de l'AEPD, des tribunaux et des forces et corps de sécurité de l'État. La page /mercado-cae/contacto-regulatorio décrit la procédure de gel des listings, les délais de réponse (exécution de mesures conservatoires urgentes en moins de 24 heures ouvrables, réquisitions ordinaires en moins de 10 jours ouvrables), les autorités compétentes identifiées et la base juridique applicable à chaque type de demande.

Supervision institutionnelle du marché : MITECO (Real Decreto 36/2023 et Orden TED/815/2023 sur le Système CAE et son Registre National), CNMC (Ley 3/2013 sur les marchés énergétiques et la défense de la concurrence) et AEPD (Règlement UE 2016/679 et Ley Orgánica 3/2018 sur le traitement des données personnelles).

Bêta fermée · Accès sur invitation

Une architecture conçue pour être auditée

Les contrôles décrits s'appliquent à toutes les transactions du Marché Secondaire CAE depuis l'ouverture de la bêta fermée. L'équipe de conformité répond aux réquisitions d'autorité en moins de 24 heures ouvrables.

Demander une invitation bêtaContact réglementaire

Dernière mise à jour :