Le principal régulateur financier français a publié de nouvelles règles concernant l’octroi de licences aux fournisseurs de services d’actifs numériques (DASP) ainsi que des lignes directrices à l’intention des entreprises sollicitant la licence non obligatoire et informant le régulateur des pratiques internes de cybersécurité.

L’Autorité des marchés financiers (AMF) ou l’Autorité des marchés financiers a rendu public les règles mercredi et les lignes directrices jeudi la semaine dernière, ouvrant ainsi la possibilité aux entreprises de postuler. Les règles et directives développent la loi PACTE française, l’un des premiers paquets législatifs cryptographiques adoptés en Europe. PACTE est passé en mai 2019.

Pour postuler, chaque DASP doit adresser à l’AMF un business plan de deux ans, une liste des actifs numériques que l’entreprise va desservir, la liste des géographies dans lesquelles elle évoluera et l’organigramme de l’entreprise entre autres.

Les DAS agréés doivent avoir une assurance responsabilité professionnelle ou un montant minimum de fonds de réserve, au moins un cadre supérieur efficace, des systèmes informatiques résilients, un système de contrôle interne, une procédure de traitement des réclamations, une organisation lui permettant d’éviter les conflits d’intérêts et des procédures pour prévenir le blanchiment d’argent et le financement du terrorisme.

La licence est cependant facultative pour les entreprises de cryptographie opérant en France. Le gouvernement français exige uniquement que les dépositaires de crypto-monnaies et toute entreprise traitant des services fiat-to-crypto ou crypto-to-fiat s’inscrivent auprès de l’AMF pour des raisons de lutte contre le blanchiment d’argent et le financement du terrorisme.

Le régulateur français a également publié des règles spécifiques pour les dépositaires de crypto, les échanges de crypto, les courtiers en crypto-crypto et les dépositaires de crypto.

«À ma connaissance, c’est la première fois que nous voyons précisément comment un dépositaire doit conserver la clé des actifs sur la blockchain, et quels sont le rôle et la responsabilité du dépositaire», a déclaré Hubert de Vauplane, associé en droit. la société Kramer Levin Naftalis & Frankel.

Le gouvernement français, avec l’aide de l’AMF, a défini le service de garde de crypto-actifs comme «maîtrisant» les «moyens d’accès» (clés cryptographiques) des actifs numériques d’un tiers et gardant une trace de leurs positions, a déclaré Emilien Bernard-Alzias , associé au sein du cabinet d’avocats Simmons & Simmons à Paris. Les nouvelles règles pour les dépositaires autorisés en vertu de sa réglementation générale comprennent la multi-validation des transactions des clients et la compensation des clients si le dépositaire ne peut pas rétablir le contrôle de ces actifs.

Dans ses lignes directrices, l’AMF note les risques de sécurité posés par la blockchain et demande aux entreprises de cryptographie de fournir au régulateur un programme de cybersécurité détaillé qui atténue les risques et se conforme à la réglementation générale européenne sur la protection des données. Les entreprises de cryptographie sont responsables de la cybersécurité du service d’actifs numériques qu’elles fournissent et doivent faire l’objet d’audits techniques réguliers.

“L’AMF essaie de prendre les entreprises de crypto par la main pour les aider à se conformer”, a expliqué Bernard-Alzias. «Pour d’autres prestataires de services financiers, il est nécessaire d’avoir un système informatique solide, mais les directives de l’AMF n’ont pas beaucoup de détails pour eux comme pour les entreprises de cryptographie … Pour cela, l’AMF demande aux entreprises de cryptographie d’expliquer au début ce qu’elles vont faire, et c’est nouveau pour nous en France. »