Après la cessation des paiements de la plateforme Celcius, de l’ancien PSAN français ByKEP, c’est au tour de FTX, acteur majeur de la finance décentralisée, d’être dans l’œil du cyclone. Rebondissant sur cette actualité, Stefan Berger, député européen et rapporteur de la proposition de Règlement MiCA (« Market in Crypto-Assets ») y voit la confirmation de l’absolue nécessité du nouveau passeport européen qui va mettre en place une régulation harmonisée de tous les « C.A.S.P. » (Crypto-Asset Service Providers) :
C’est l’occasion de faire le point sur les apports de ce nouveau cadre règlementaire en matière de protection des investisseurs.
Rappel du contexte règlementaire applicable aux PSAN
Pour rappel, notre régime national comprend d’ores et déjà une régulation à deux niveaux pour les P.S.A.N. (Prestataires de Services sur Actifs Numériques) introduite par la loi « PACTE » en 2019 (un enregistrement obligatoire pour quatre services qui se concentre essentiellement sur le dispositif LCB-FT et un agrément optionnel bien plus exigeant en termes de garanties prudentielles).
Le Règlement MiCA ayant dupliqué à l’échelle européenne notre agrément français, à quelques variables près, les investisseurs français disposent déjà, en principe, d’une protection spécifique lorsqu’ils s’adressent à des PSAN proposant leurs services en France. Cependant, cet agrément (qui sera rendu obligatoire avec le Règlement MiCA) est pour l’heure optionnel et aucun acteur n’a été agréé au jour de l’écriture de cet article.
Mais au-delà de la règlementation spécifique à ce secteur, les utilisateurs consommateurs bénéficient cependant de l’arsenal prévu au Code de la consommation dès lors qu’ils concluent un contrat à distance avec un professionnel. Par ailleurs, ils bénéficient également des mécanismes de responsabilité contractuelle et de revendication de biens meubles fongibles (en ce compris les crypto-actifs) prévus dans le Code civil.
Par conséquent, le Règlement MiCA a-t-il une vraie valeur ajoutée ?
Peu de nouveautés pour les PSAN en droit de la consommation
Le Règlement MiCA prévoit, dans son chapitre dédié aux C.A.S.P (Crypto-asset service providers, l’équivalent de nos Prestataires de Services sur Actifs Numériques ou PSAN) plusieurs obligations qui relèvent du droit de la consommation.
A quelques exceptions près, ces obligations sont celles que nous connaissions déjà en droit français puisqu’elles sont prévues dans notre code de la consommation :
- Article 59 : obligation d’information précontractuelle, interdiction des pratiques commerciales trompeuses, transparence tarifaire, accessibilité des informations
- Article 64 : procédure interne de règlement des plaintes préalablement communiquée au client
- Article 65 : information des clients sur l’existence de conflits d’intérêt entre les CASP et leurs partenaires
Cette formalisation des obligations, bien que préexistantes, que les CASP auront envers les consommateurs n’est cependant pas inutile puisque de nombreux PSAN (y compris enregistrés) sont parfois méconnaissants de ces règles, avec des conditions générales de services incomplètes.
Par ailleurs, les obligations prévues aux articles 64 et 65 sont actuellement soumises à un effet de seuil de chiffre d’affaires ou de nombre de connexions qui n’est pas (tout à fait) repris dans le Règlement.
Petite originalité qui n’est pas dénuée d’intérêt compte tenu de l’acualité, le Règlement prévoit que :
« Les fournisseurs de services de crypto-actifs mettent à la disposition du public, à un endroit bien visible de leur site web, les informations relatives aux principales incidences négatives sur l’environnement et le climat du mécanisme de consensus utilisé pour émettre chaque crypto-actif pour lequel ils fournissent des services. Ces informations peuvent être extraites des livres blancs sur les crypto-actifs »
Le Règlement MiCA aussi s’engage dans l’amélioration du bilan carbone …
Des apports intéressants en matière de protection contre les abus et manipulation de marchés
En revanche, le Règlement MiCA trouve tout son intérêt dans les nouvelles obligations qui sont créées en vue de lutter contre les manipulations et les abus de marché (articles 80 et suivants).
Ces règles sont directement inspirées des règles prudentielles appliquées au marché financier, mais elles n’étaient pas, jusqu’au Règlement MiCA, applicables aux PSAN.
Par ailleurs, le Règlement MiCA ne se contente pas de réguler l’activité des PSAN à ce titre, puisqu’il vise également les intermédiaires qui tenteraient de « profiter d’un accès occasionnel ou régulier aux médias traditionnels ou électroniques pour exprimer une opinion sur un crypto-actif, tout en ayant précédemment pris position sur ce crypto-actif, et profiter ensuite de l’impact des opinions exprimées sur le prix de ce crypto-actif, sans avoir simultanément divulgué ce conflit d’intérêts au public de manière appropriée et efficace ».
On pense notamment à certains influenceurs bien connus de l’écosystème Web 3 qui font la promotion, dans leurs vidéos sur Youtube, de PSAN au sein desquels ils détiennent des participations …
Une politique de gestion prudentielle renforcée pour les PSAN
Avec le Règlement MiCA, c’est une vraie politique de gestion des risques qui sera exigée des PSAN, sur le modèle de l’agrément français, tout en allant plus loin.
Pour rappel, nous avons en France le régime PSAN qui prévoit un enregistrement pour 4 services et un agrément, beaucoup plus exigeant, mais optionnel. Dans le cadre de l’enregistrement, le PSAN doit se conformer au processus de lutte contre le blanchimennt et le financement du terrorisme mais n’est pas obligé, par exemple, de disposer d’un montant minimum de fonds propres, de mettre en place un plan de continuité ou de faire réaliser un audit de sécurité de son système.
L’audit de sécurité obligatoire pour les PSAN
La position 2020-07 de l’Autorité des Marchés Financiers rappelle notamment concernant l’audit de sécurité :
« Les articles D. 54-10-7 et D. 54-10-9 du code monétaire et financier prévoient que l’AMF peut exiger du demandeur à l’agrément de recourir à des produits évalués et certifiés ou de faire procéder à des audits de sécurité. Aux termes de l’article 721-4 du RGAMF, cette évaluation des produits et l’audit de sécurité sont réalisés conformément à l’instruction DOC-2019-24 relative au référentiel d’exigences en matière de cybersécurité.
L’AMF exerce cette faculté lorsqu’elle l’estime nécessaire au regard de la résilience et de la sécurité du système d’information du PSAN, notamment pour contrer les menaces suivantes :
-
la compromission de portefeuilles conservant les clés privées des clients ;
-
la fuite de données à caractère personnel ;
-
les attaques par déni de service ;
-
l’usurpation d’identité ;
-
l’incapacité à investiguer en cas d’incident ou d’activité frauduleuse. »
Le Règlement MiCA va rendre cette procédure, ainsi que les autres garanties prévues par l’agrément, obligatoire puisqu’il est prévu à l’article 54 que le dossier devra notamment comprendre :
- la documentation technique des systèmes informatiques et des dispositifs de sécurité, ainsi qu’une description en langage non technique
- la preuve que le candidat prestataire de services de crypto-actifs satisfait aux garanties prudentielles conformément à l’article 60 (fonds propres mimimaux ou police d’assurance, qui doit notamment couvrir le CASP pour la perte des fonds/crypto-actifs des clients)
- description de la procédure de ségrégation des crypto-actifs et les fonds des clients
- description de la politique de conservation lorsque ce service est proposé
Le plan de continuité en cas de sinistre ou de procédure collective
Par ailleurs les PSAN devront établir un plan de continuité des activités, avec la mise en place de plans de reprise après sinistre ainsi qu’un plan de liquidation ordonnée (plan démontrant la capacité du prestataire de services de crypto-actifs à procéder à une liquidation ordonnée sans causer de préjudice économique excessif à ses clients).
Ils devront également « disposer de systèmes et de procédures pour préserver la sécurité, l’intégrité et la confidentialité des informations », et mettre en place un registre de toutes les opérations effectuées pour le compte des clients (articles 61 et 66bis).
Ces précisions sont importantes, car en cas de faillite de la plateforme, elles permettront aux clients :
- de continuer à accéder à leur compte, alors qu’une procédure collective ordinaire n’implique pas nécessairement la poursuite de l’activité, comme cela a par exemple été le cas pour ByKEP dont les comptes ont été bloqués dès leur mise en liquidation judiciaire ;
- d’obtenir un historique régulier de leurs opérations, ce qui leur permettra notamment de pouvoir justifier d’un titre de propriété sur les crypto-actifs détenus par la plateforme en cas d’action en revendication (voir supra).
La ségrégation des fonds et la consécration d’un principe de responsabilité du PSAN
L’agrément français prévoyait déjà un mécanisme de ségrégation des fonds:
Conformément aux dispositions de l’article 722-1 du RGAMF, le PSAN s’assure que les actifs numériques de ses clients sont séparés dans le DEEP de ses propres actifs numériques. Cette séparation implique au minimum une séparation dans le DEEP entre les actifs numériques de l’ensemble des clients, d’une part, et les actifs numériques détenus en compte propre par le prestataire agréé, d’autre part. Aussi, il est de bonne pratique pour les prestataires agréés de séparer les actifs numériques pour chaque client du service. Le 6° de l’article 722-1 du RGAMF prévoit que le conservateur agréé « s’assure de la mise en place des moyens nécessaires à la restitution des moyens d’accès aux actifs numériques […]. » La restitution des actifs numériques doit s’entendre comme la restitution de la maîtrise des moyens d’accès aux actifs numériques. Par conséquent l’obligation de restitution du conservateur agréé entraîne nécessairement la perte de toute faculté, pour lui, de mouvementer les actifs numériques appartenant au client, notamment en lui transférant ses actifs numériques sur un portefeuille externe désigné par le client dont il aura préalablement communiqué l’adresse de destination. Il peut être convenu entre les parties que la restitution porte sur des actifs numériques équivalents ou en monnaie ayant cours légal.
En application de l’article 722-14 du RGAMF, le prestataire agréé exploitant une plateforme de négociation d’actifs numériques ne peut engager ses propres capitaux que lorsqu’il se porte acquéreur ou vendeur d’actifs numériques pour assurer la liquidité sur ladite plateforme et si le montant des transactions ainsi réalisées par l’exploitant est proportionné à la capitalisation totale du marché de l’actif numérique concerné. 22/23 Position AMF – DOC-2020-07 – Questions-réponses relatives au régime des prestataires de services sur actifs numériques Document créé le 22 septembre 2019, modifié le 7 juin 2021 Dans l’hypothèse où il fournit par ailleurs le service de conservation, les actifs numériques conservés pour le compte de ses clients ne constituent pas des capitaux propres du PSAN et ne peuvent donc être utilisés pour assurer la liquidité sur la plateforme de négociation d’actifs numériques, et ce même s’il a obtenu l’accord exprès du client visé au 5° de l’article 722-1 du RGAMF.
Position 2020-07 de l’AMF citée plus haut
L’agrément reprend cette obligation en la complétant par la mise en place de divers dispositifs (articles 63 et 67) :
- Les PSAN doivent prendre des dispositions pour sauvegarde les droits de leurs clients sur les crypto-actifs, notamment en cas d’insolvabilité du PSAN, et doivent veiller à ne pas utiliser pour leur propre compte les actifs des clients.
- Les fonds en devises doivent être placés le jour ouvrable suivant la réception dans une banque centrale ou un établissement de crédit, avec un sous-compte par client.
- L’article 67 du Règlement prévoit une série d’obligations spécifiques aux PSAN custodian, parmi lesquelles :
- La rédaction d’une politique de conservation assortie de règles et de procédures internes visant à assurer la garde ou le contrôle de ces crypto-actifs, ou des moyens d’accès aux crypto-actifs, tels que les clés cryptographiques.
Ces règles et procédures minimisent le risque de perte des crypto-actifs des clients ou des droits liés à ces actifs ou des moyens d’accès aux crypto-actifs en raison de fraudes, de cybermenaces ou de négligence.
- Un résumé de la politique de garde qui doit être mis à la disposition des clients, sur leur demande, dans un format électronique.
- Les fournisseurs de crypto-actifs agréés pour la garde et l’administration de crypto-actifs pour le compte de tiers fournissent à leurs clients, au moins une fois tous les trois mois et à chaque demande du client concerné, une déclaration de position des crypto-actifs enregistrés au nom de ces clients. Cette déclaration de position est faite sous format électronique. La déclaration de position mentionne les crypto-actifs concernés, leur solde, leur valeur et le transfert de crypto-actifs effectué au cours de la période concernée.
- Les prestataires de services de crypto-actifs qui sont autorisés à conserver et à administrer des crypto-actifs pour le compte de tiers doivent s’assurer que les procédures nécessaires sont en place pour restituer les crypto-actifs détenus pour le compte de leurs clients ou les moyens d’accès dans les meilleurs délais à ces clients.
- Les prestataires de services de crypto-actifs qui sont autorisés à conserver et à administrer des crypto-actifs pour le compte de tiers séparent les avoirs en crypto-actifs pour le compte de leurs clients de leurs propres avoirs et veillent à ce que les moyens d’accès aux crypto-actifs de leurs clients soient clairement identifiés comme tels. Ils veillent à ce que, sur le DLT, les crypto-actifs de leurs clients soient détenus sur des adresses distinctes de celles sur lesquelles sont détenus leurs propres crypto-actifs.
- Les crypto-actifs conservés sont isolés du patrimoine du prestataire de services de crypto-actifs dans l’intérêt des clients du prestataire de services de crypto-actifs conformément au droit applicable, de sorte que les créanciers du prestataire de services de crypto-actifs n’ont aucun recours sur les crypto-actifs conservés, notamment en cas d’insolvabilité.
En outre, il est prévu que « Les prestataires de services de crypto-actifs qui sont agréés pour la garde et l’administration des crypto-actifs pour le compte de tiers sont responsables envers leurs clients de la perte de tout crypto-actif ou des moyens d’accès aux crypto-actifs à la suite d’un incident imputable à la fourniture du service concerné ou au fonctionnement du prestataire de services. »
La responsabilité du fournisseur de services de crypto-actifs est plafonnée à la valeur marchande du crypto-actif perdu au moment où la perte a eu lieu.
Par ailleurs, les PSAN agréés feront appel à d’autres prestataires pour la conservation et l’administration de crypto-actifs devront en informer leurs clients.
Vous avez un projet de service sur crypto-actifs et souhaitez être accompagné dans la procédure d’agrément PSAN/MiCA ? Halt Avocats est un cabinet d’avocats spécialisés Web3/blockchain. Nous vous conseillons et vous assistons auprès des autorités de régulation (AMF, ACPR) dans le cadre de dossiers d’enregistrement et d’agrément de PSAN. N’hésitez pas à prendre rendez-vous ou à nous contacter pour des renseignements sur nos modalités d’intervention.
