Recherche
Position de l’Adan sur les lignes directrices actualisées du GAFI
Commentaires généraux
L’Adan accueille favorablement les adaptations par le GAFI de ses lignes directrices basées sur les recommandations précédentes émises par l’Adan. L’Adan soutient fortement le développement de mesures LCB-FT appropriées pour prévenir les risques liés au blanchiment d’argent et au financement du terrorisme et plus largement toute utilisation illicite des actifs virtuels/crypto-actifs.
Cependant, l’Adan estime qu’il reste quelques aspects à améliorer pour mettre en place un cadre approprié et proportionné de lutte contre le blanchiment d’argent et le financement du terrorisme pour les marchés des crypto-actifs :
1. Une interprétation large des notions d’actifs virtuels et de VASP, dont les conséquences règlementaires/juridiques ne sont pas pertinentes :
- Presque l’intégralité des NFT sont considérés comme actifs virtuels, et tombent ainsi dans le champ de la LCB-FT.
- De nombreuses personnes (y compris physiques) impliquées dans le développement d’applications DeFi sont considérées comme des VASP.
- Qualifier les instances de gouvernance des stablecoins, ainsi que les développeurs, comme des VASP n’est ni juste (l’exercice de la gouvernance ou le développement technologique ne sont pas des services sur actifs numériques) ni utile car ces acteurs n’ont pas de relation directe avec leurs utilisateurs et ne peuvent donc pas remplir les exigences de LCB-FT. En outre, cela n’est pas l’approche retenue par MiCA.
2. La finance décentralisée (DeFi) est soumise aux règles LCB-FT traditionnelles, sans adaptations ni granularité :
- Si une personne morale exerce une influence suffisante sur le fonctionnement du protocole, elle pourra être qualifiée de VASP et devra respecter des obligations de LCB-FT à l’égard des utilisateurs du protocole : or cette notion d’ »influence suffisante » est trop imprécise et risque de créer des divergences d’interprétation entre juridictions et de qualifier de nombreux VASP si cette interprétation est trop large.
- La possibilité qu’une autorité nationale compétente puisse exiger – s’il n’existe pas d’entité sous-jacente identifiable au protocole – qu’une entité soit créée afin d’être qualifiée de VASP risque de dénaturer les fondamentaux intrinsèques de cet écosystème, tout en étant en pratique inapplicable.
- In fine, seuls certains protocoles – dont les fondateurs seraient restés anonymes, avec une DAO particulièrement décentralisées et sans entité centrale – pourraient être exclus de la définition de VASP.
3. L’obligation des VASP d’appliquer la travel rule ne doit être ni précipitée ni trop large :
- La flexibilité octroyée dans la mise en œuvre de la travel rule par les Etats menace une mise en place harmonisée entre les Etats membres, au détriment des acteurs des juridictions les plus vertueuses.
- Même si l’exigence du GAFI est moins stricte, la travel rule est imposée aux VASP dans le scénario de transactions impliquant un portefeuille non-hébergé (considéré pourtant par le Groupe comme entité non-assujettie). Or il n’y a pas d’échange d’informations possible dans la mesure où il n’y a donc qu’un seul VASP, et la collecte d’information n’est pas possible.
- L’obligation pour les VASP visant à vérifier systématiquement que l’initiateur et le bénéficiaire de la transaction ne soient pas sujet à des sanctions, et la possibilité de suspendre le transfert durant cette vérification, apparaît extrêmement contraignante pour le secteur des crypto-actifs et va à l’encontre du principe de neutralité technologique (en effet, il n’existe pas une telle obligation dans le cas des transferts de fonds en monnaie à cours légal).
- L’application de la travel rule se heurte aujourd’hui à l’absence de canaux d’échange d’information compatibles avec les exigences du GAFI : une solution européenne doit d’abord être développée.
Sur ces points, l’Adan apporte une analyse détaillée et des recommandations dans son document de position.
Contexte
Le 28 octobre, le GAFI a publié ses lignes directrices actualisées. Cette mise à jour intervient dans un contexte particulier : en mars 2021, le GAFI a publié une première proposition de révision des lignes directrices ciblant les actifs numériques (autrement appelés « Virtual Assets » ou « VA » par le GAFI) et les prestataires de services d’actifs numériques (autrement appelés « Virtual Assets Service Providers » ou « VASP » par le GAFI) et, en parallèle, a ouvert une consultation d’un mois auprès des acteurs du secteur. L’Adan a répondu à cette consultation publique, soulignant diverses questions relatives à la définition des VA et VASP et à la mise en œuvre de la Travel Rule.
Ces lignes directrices révisées semblent avoir pris en compte les recommandations faites par l’industrie et tend à ajuster les définitions en proposant des mesures supplémentaires pour prévenir les risques de blanchiment d’argent et de financement du terrorisme dans le secteur des actifs numériques.
Les ajustements proposés par le GAFI sont les suivants :
- Tout d’abord, les lignes directrices actualisées clarifient les définitions des VA et des VASP et favorisent une interprétation large de celles-ci.
- Le GAFI définit les jetons non fongibles (NFT) comme des actifs à collectionner qui ne sont pas en eux-mêmes des actifs virtuels. Mais si les NFT sont utilisés à des fins de paiement ou d’investissement, ils peuvent être traités comme des VA. En outre, les NFT qui sont des représentations numériques d’autres actifs (par exemple, des actifs financiers tokenisés) ne seraient pas considérés comme des actifs virtuels, mais réglementé par le régime du sous-jacent.
- Le GAFI a également exprimé son avis sur la question de savoir si les monnaies numériques des banques centrales (CBDC) devaient être considérées comme des actifs virtuels. Pour le GAFI, elles ne le sont pas car elles ne sont que des représentations numériques de monnaies fiduciaires.
- Enfin, le GAFI exclut de la définition des VA certains acteurs qui n’exercent pas un contrôle direct sur les actifs virtuels tels que les fabricants de portefeuilles matériels, les fournisseurs de portefeuilles non hébergés (unhosted wallets), les mineurs ou les fournisseurs de services cloud.
- Par ailleurs, dans ce nouveau projet de lignes directrices, le GAFI a tenté de réviser son approche à l’égard protocoles de finance décentralisée (DeFi), tout en laissant une large interprétation aux autorités nationales. Le GAFI explique que les protocoles DeFi (i.e l’application décentralisée elle-même) ne sont pas des VASP mais, si une personne morale a une influence suffisante (« sufficient influence« ) sur le fonctionnement et la fourniture des services offerts par le protocole, alors cette personne morale peut être un VASP. En outre, si aucun VASP n’est identifié en raison de l’absence d’une entité sous-jacente créée par les opérateurs du protocole, les pays peuvent exiger que le protocole crée une entité qui sera qualifiée de VASP et qui devra mettre en place une dispositif en matière de LCB-FT à l’égard de ses clients/utilisateurs. En général, le GAFI souhaite une interprétation large sur la qualification des VASP. Le paragraphe 80 des lignes directrices indique que le GAFI envisage très peu d’accords de VA sans que des VASP ne soient impliqués à un moment donné, si les pays appliquent correctement la définition.
- En outre, le GAFI indique que les monnaies stables doivent être traitées comme des VA ou des valeurs mobilières selon le cadre réglementaire existant. Les opérateurs de stablecoins qui ont un niveau d’influence suffisant sur le développement et le lancement du stablecoin peuvent être traités comme une VASP.
- Enfin, concernant la Travel Rule (prévue à la Recommandation 16 des lignes directrices du GAFI), le GAFI rappelle la nécessité pour les Etats de procéder à la mise en œuvre de la Travel Rule dans le secteur des actifs virtuels. Certaines exigences ont été ajoutées, notamment que les institutions doivent vérifier que les donneurs et les bénéficiaires ne font pas l’objet de sanctions (§183). Comme cette vérification prend du temps et peut être achevée après le règlement, cela peut nécessiter des mesures telles que la mise en attente des transferts jusqu’à ce que les vérifications aient été effectuées (§194).
I – Révision des définitions de VASP et de VA en ce qui concerne les NFT et la finance décentralisée (DeFi)
A – Une assimilation des NFT utilisés à des fins de paiement ou d’investissement à des actifs virtuels
En principe, le GAFI considère que les jetons non fongibles (NFT) sont des actifs qui sont uniques, plutôt qu’interchangeables, et qui sont en pratique utilisés comme des objets de collection plutôt que comme des instruments de paiement ou d’investissement.
Selon le GAFI au paragraphe 53, un NFT n’est – en principe – pas un actif virtuel, mais s’ils sont utilisés à des fins de paiement ou d’investissement, ils peuvent être traités comme un actif virtuel. En outre, les NFT qui sont des représentations numériques d’autres actifs (par exemple, les actifs tokenisés qui ne sont pas une représentation numérique de la valeur) ne seraient pas considérés comme des actifs virtuels, mais réglementé à travers son sous-jacent par les autres recommandations du GAFI.
Position de l’Adan
L’Adan préconise d’adapter la réglementation des NFT en fonction de leurs caractéristiques intrinsèques. Selon l’Adan, les NFT offrent une multitude de cas de figure qui nécessitent une approche réglementaire casuistique. La volonté d’inclure une définition large des NFT, tout en établissant certains critères pour leur inclusion, est une bonne approche afin d’intégrer au mieux ces nouveaux actifs dans un système de LCB-FT.
Cependant, certaines clarifications sont nécessaires quant à l’interprétation d’un NFT utilisée à des fins de paiement ou d’investissement. La frontière entre les NFT utilisés à des fins de paiement ou d’investissement et les NFT utilisés à d’autres fins est parfois beaucoup plus floue qu’il n’y paraît. Une séparation peu claire pourrait être difficile à faire respecter par le secteur des crypto-actifs. La plupart du temps, un NFT est acheté avec l’objectif (même secondaire) de réaliser un profit. Par conséquent, au regard des critères du GAFI, il semblerait que la plupart des NFT puissent être qualifiés d’actifs virtuels (même ceux dont l’actif sous-jacent est un actif déjà couvert par les précédentes directives du GAFI).
Recommandation de l’Adan
Le critère des « fins de paiement ou d’investissement » n’est pas approprié pour aider à classifier les NFT. Une analyse plus granulaire au cas par cas et une distinction des NFT devraient se baser sur l’actif sous-jacent. L’Adan prépare une analyse juridique détaillée sur les NFTs et recommandera une méthodologie pour qualifier ces actifs.
B – Une exclusion des protocoles DeFi de la définition de VASP
Selon le GAFI au paragraphe 67, les protocoles de finance décentralisée (c’est-à-dire les logiciels développés sur les réseaux blockchain fournissant des services financiers) ne sont pas qualifiés – en eux-mêmes – de VASP.
Cependant, le GAFI considère que les créateurs, propriétaires et opérateurs ou d’autres personnes qui maintiennent un contrôle ou une influence suffisante dans les dispositifs DeFi, même si ces dispositifs semblent décentralisés, peuvent être assimilés à un VASP lorsqu’ils fournissent ou facilitent activement les services.
Cela a été confirmé au paragraphe 84 qui énonce qu’une personne qui crée ou vend une application ou une plateforme de services sur d’actif virtuels (c’est-à-dire un développeur de logiciels) n’est pas assimilé à un VASP, lorsqu’elle crée ou vend uniquement l’application ou la plateforme. Néanmoins, l’utilisation de l’application ou de la plate-forme pour exercer des fonctions de VASP, en tant qu’entreprise pour le compte d’autrui, modifierait cette détermination.
Position de l’Adan
L’Adan salue la position du GAFI d’exclure les protocoles de finance décentralisée – programmes développés sur un réseau blockchain – de la définition de VASP (au §67).
L’Adan est également d’accord avec la disposition du GAFI (§84) selon laquelle une personne qui crée ou vend une application logicielle ou une plateforme VA peut ne pas constituer un VASP, lorsqu’elle crée ou vend l’application ou la plateforme. Selon l’Adan, il est faux de penser que lancer un contrat intelligent sur une infrastructure décentralisée pour offrir des services VASP revient à les offrir, et à exercer un contrôle direct sur les utilisateurs.
Dans de nombreux cas, le contrôle de ces applications décentralisées est laissé par les créateurs du protocole à une organisation autonome décentralisée (DAO).
Cependant, selon nous, la deuxième phrase du paragraphe 67 des lignes directrices semble problématique. Nous comprenons que les recommandations visent à inclure toute entité qui conserve un contrôle significatif sur les actifs et les opérations, et la définition actuelle inclut des personnes telles que les créateurs, les propriétaires, les développeurs. Selon nous, ces personnes n’ont, la plupart du temps, aucun contrôle significatif sur ces opérations et ne sont donc – à ce jour – pas en mesure de mettre en œuvre des mesures de LCB-FT.
Recommandation de l’Adan
L’Adan recommande de supprimer la deuxième partie du paragraphe 67 des lignes directrices mise à jour par le GAFI. Le paragraphe se présenterait comme suit :
« A DeFi application (i.e. the software program) is not a VASP under the FATF standards, as the Standards do not apply to underlying software or technology (see paragraph 82 below). However, creators, owners and operators or some other persons who maintain control or sufficient influence in the DeFi arrangements, even if those arrangements seem decentralized, may fall under the FATF definition of a VASP where they are providing or actively facilitating VASP services. This is the case, even if other parties play a role in the service or portions of the process are automated. Owners/operators can often be distinguished by their relationship to the activities being undertaken. For example, there may be control or sufficient influence over assets or over aspects of the service’s protocol, and the existence of an ongoing business relationship between themselves and users, even if this is exercised through a smart contract or in some cases voting protocols. Countries may wish to consider other factors as well, such as whether any party profits from the service or has the ability to set or change parameters to identify the owner/operator of a DeFi arrangement. These are not the only characteristics that may make the owner/operator a VASP, but they are illustrative. Depending on its operation, there may also be additional VASPs that interact with a DeFi arrangement.«
II – L’identification d’un VASP sous-jacent au protocole DeFi
La finance décentralisée nécessite une nouvelle approche réglementaire 1. Le cadre réglementaire traditionnel est conçu pour des activités centralisées, et non pour des cas d’utilisation décentralisés. Selon l’Adan, les services de finance décentralisée, qui ne reposent pas sur des entités centrales et sont développés sur des technologies de registres distribués , nécessitent une révision drastique de l’approche communément admise pour réguler les acteurs financiers. En effet, le système financier traditionnel repose sur une architecture centralisée, ce qui a progressivement conduit à une réglementation basée sur la supervision et la responsabilité de l’intermédiaire (par exemple, la banque, l’assurance, et autres). En ce qui concerne la finance décentralisée, une question importante doit être résolue : déterminer les critères permettant de rendre une autorité compétente pour superviser un protocole de finance décentralisée. En effet, la réglementation financière est construite autour de l’application territoriale des règles. Il est donc difficile pour une autorité nationale d’établir l’affiliation des protocoles de finance décentralisée, et il semble nécessaire, avant d’obliger les acteurs, d’établir des critères juridiques clairs d’affiliation. En conséquence, il nous semble difficile d’envisager un cadre juridique efficace et durable pour la finance décentralisée s’il n’est pas conçu autour des principes inhérents à ces applications. Une réglementation non adaptée à ces nouveaux services pourrait être inefficace et limiter considérablement la croissance exponentielleSelon DeFi Lama, la finance décentralisée compte actuellement plus de 260 milliards de dollars d’actifs mis sous gestion dans les protocoles de finance décentralisée. En comparaison, en décembre 2020, la finance décentralisée ne représentait que 18 milliards de dollars d’actifs mis sous gestion. des acteurs de cette industrie. 2. Le profil de risque des services DeFi est très hétérogène et différent de celui de la finance traditionnelle. Si le risque de ML-FT existe dans l’écosystème DeFi, son niveau et sa matérialisation sont très différents du système financier centralisé, et d’un protocole à l’autre : Les fonds utilisés ne sont pas échangés contre de la monnaie fiduciaire. Ils seront rechangés en monnaie fiduciaire lorsqu’ils seront retransférés sur une plateforme centralisée. C’est exactement à ce moment-là que l’infraction de blanchiment d’argent sera établie. → Il faut mettre l’accent sur le transfert de crypto-actifs vers de la monnaie fiduciaire. Lorsque les actifs ne quittent pas la chaîne, l’avantage de la DeFi est qu’ils restent traçables. Seuls les mixeurs décentralisés – comme Tornado Cash – ne peuvent pas faire l’objet (pour le moment) d’une analyse transactionnelle précise par des outils d’analyse tels que Chainalysis ou Scorechain. → L’utilisation et la sophistication des outils d’analyse de la blockchain seront essentielles pour gérer les risques dans l’écosystème DeFi. Ces dernières années, les protocoles de finance décentralisée ont fait l’objet d’une grande variété d’attaques, les fonds volés étant généralement blanchis ou utilisés pour des activités illicites par la suite. Les DApps (applications décentralisées) utilisées pour tenter de blanchir les produits criminels de ces attaques sont principalement des « cross-chain bridges », des échanges décentralisés (DEX) et des mixeurs décentralisés. En effet, ces DApps sont généralement utilisées comme outils de « superposition », pour introduire une complexité artificielle dans les transactions afin de rendre plus difficile le traçage des fonds par les autorités. Cependant, tous les autres types de protocoles – utilisés pour déployer des services de prêt, des services d’assurance, des produits dérivés décentralisés, des agrégateurs, etc. – ne sont pas utiles aux criminels qui veulent blanchir leurs « fonds » illicites. → Des règles spécifiques doivent cibler les DApps où le risque de ML-FT peut se matérialiser (outils dits de « layering ») alors qu’elles ne sont pas aussi pertinentes pour les autres protocoles. |
L’approche actuelle adoptée par le GAFI constitue une extension significative des définitions et des opérations des entités couvertes. Le GAFI prévoit :
(A) La capacité d’identifier un VASP sous-jacent au protocole DeFi ;
(B) La possibilité d’exiger qu’un protocole DeFi crée une entité qui sera qualifiée de VASP ;
(C) La nécessité d’inclure un VASP pour chaque arrangement VA.
A – La possibilité d’identifier et de qualifier une entité sous-jacente au protocole DeFi comme VASP
Le GAFI explique que si une personne physique ou morale maintient un contrôle ou une influence suffisante sur le protocole, celui-ci peut être considéré comme un VASP, si elle fournit ou facilite activement les services.
En effet, le paragraphe est rédigé comme suit :« In order to qualify a VASP, Competent Authorities will need to verify, inter alia, the level of control or sufficient influence over the assets or certain aspects of the service protocol, and the existence of an ongoing commercial relationship between them and users, even if this is exercised through a smart contract or, in some cases, voting protocols. Countries may also wish to consider other factors, such as whether a party is profiting from the service or has the ability to set or change parameters that identify the owner/operator of a DeFi device.”
Position de l’Adan
L’Adan s’interroge sur l’interprétation qu’il convient de donner à l’expression « sufficient influence ». Du point de vue de l’Adan, il est nécessaire d’expliquer plus en détail les situations dans lesquelles une personne serait considérée comme exerçant une telle influence sur le fonctionnement ou la gouvernance du protocole. En effet, il existe un risque d’interprétations divergentes entre les Etats, ce qui conduirait à un cadre non harmonisé.
Le niveau d’implication dépend de chaque protocole et l’influence exercée par les personnes actives sur ces applications peut parfois varier fortement. L’établissement de critères plus clairs détaillant précisément comment l’influence exercée par une personne sur le protocole est jugée suffisamment importante pour être qualifiée de VASP serait le bienvenu.
Recommandation de l’Adan
Dans le cadre du futur dispositif de lutte contre le blanchiment et le financement du terrorisme, une dichotomie binaire « contrôle/influence vs. aucun contrôle/aucune influence » est erronée. L’analyse de différents critères, tels que les exemples suivants, devrait permettre de construire une notation plus précise :
- Les transactions envoyées par les clients au protocole ou au smart-contract sont contrôlées ou supervisées par le déployeur / développeur.
- Le déployeur / développeur a, en pratique, conservé le contrôle du smart-contract ou de la gouvernance du protocole.
- Le déployeur / développeur est le seul bénéficiaire des frais de transaction payés par les utilisateurs.
- Le smart-contract ou le protocole ne peut être utilisé qu’en conjonction avec une autre entreprise exploitée par le déployeur / développeur et qui n’est pas exploitée sur la blockchain.
- Le protocole ne peut être utilisé que par le biais d’une interface contrôlée par le développeur/déployeur.
B – La possibilité d’obliger au protocole de créer une entité qui sera qualifiée de VASP
Au paragraphe 69, le GAFI accepte que si aucun VASP n’est pas identifié sur un protocole DeFi, il se peut qu’il n’y ait pas de propriétaire/opérateur central qui réponde à la définition d’un VASP. Les pays doivent surveiller l’émergence de risques posés par les services et dispositifs DeFi dans de telles situations, notamment en s’engageant auprès des représentants de leur communauté DeFi.
En outre, le GAFI explique que les autorités compétentes ont le pouvoir d’exiger qu’un VASP réglementé soit impliqué. Si aucun VASP n’est identifié en raison de l’absence d’une entité sous-jacente créée par les gestionnaires du protocole, l’autorité peut ordonner au protocole de créer une entité qui sera qualifiée de VASP.
Position de l’Adan
Selon l’Adan, cette disposition semble être très restrictive pour les acteurs de la finance décentralisée. L’objectif de la DeFi est de permettre un meilleur accès aux services financiers traditionnellement offerts par les banques et les institutions financières, sans tiers de confiance mais à travers une infrastructure décentralisée. Exiger d’un protocole DeFi qu’il constitue une entité centrale qui sera ensuite qualifiée de VASP semble être en contradiction avec la nature de cet écosystème décentralisé. En outre, la formulation de ces lignes directrices révisées soulève la question de savoir quelle autorité nationale peut être considérée comme compétente pour imposer cette exigence.
Une telle exigence serait un peu plus réaliste pour les protocoles les plus importants de l’écosystème puisque la plupart des applications DeFi importantes ont déjà une entité sous-jacente qui fournit un niveau significatif de contrôle pour le fonctionnement de la plateforme. Si ces entités peuvent facilement être identifiées et qualifiées de VASP, il n’en va pas de même pour tous les protocoles.
Cependant, l’Adan souhaite attirer l’attention du GAFI sur la difficulté pour les protocoles DeFi de mettre en place des mesures KYC et CDD. Les utilisateurs de ces applications utilisent des portefeuilles non hébergés et n’ont, à ce jour, aucun moyen de mettre en œuvre l’identification des clients. De facto, il est impossible d’attendre des protocoles de finance décentralisée qu’ils respectent les mêmes exigences en matière de LCB-FT que les acteurs centralisés (tels que les plateformes d’échanges centralisées).
Recommandation de l’Adan
L’Adan propose au GAFI de se focaliser davantage sur les protocoles qui permettent aux blanchisseurs d’argent d’ajouter une couche de complexité au modèle de transaction et sur les outils permettant d’ajouter une couche d’anonymisation aux transactions.
C – La volonté d’inclure un VASP pour chaque opération de VA
Afin de faire entrer le plus grand nombre possible d’entités dans la définition de VASP, le GAFI souhaite étendre considérablement ses lignes directrices aux activités liées aux actifs virtuels. En effet, selon le paragraphe 80 de ces lignes directrices, le GAFI précise qu’il n’envisage que très peu d’opération incluant des VA sans que des VASP ne soient impliquées à un certain stade si les pays appliquent correctement la définition.
Position de l’Adan
De ce paragraphe, il ressort que les protocoles DeFi et tous les autres systèmes permettant le transfert d’actifs virtuels ne sont pas considérés comme des VASP en tant que tels, mais que, pour remplir leurs obligations en matière de LCB-FT, ils auront besoin d’une entité juridique qualifiée de VASP (et donc soumise aux exigences de LCB-FT).
Selon l’Adan, cette disposition semble trop importante et ambitieuse compte tenu de la jeunesse de cet écosystème. La plupart des protocoles de finance décentralisée sont développés à l’initiative de codeurs qui n’ont pas forcément les ressources financières et humaines pour créer une véritable structure et mettre en place un dispositif de lutte contre le blanchiment et le financement du terrorisme, particulièrement complexe à mettre en place, notamment dans le secteur des actifs numériques.
Recommandation de l’Adan
En conséquence, l’Adan propose de supprimer ce paragraphe qui apparaît très large et pratiquement incorrect.
III – Le contrôle des stablecoins et de leurs opérateurs
A – Une assimilation des stablecoins à des VA
Le paragraphe 54 de ces lignes directrices actualisées indique que les monnaies stables doivent être identifiées comme des VA ou des titres financiers conformément à la réglementation en vigueur dans le pays membre. Par conséquent, en Europe, les stablecoins doivent être comprises comme des actifs virtuels ou des crypto-actifs.
Position de l’Adan
L’Adan partage la position du GAFI. En Europe, la proposition de règlement sur le marché des crypto-actifs (MiCA) définit les stablecoins comme une sous-catégorie de crypto-actifs et les réglemente à cet effet en établissant un régime réglementaire spécifique pour leur émission.
B – La qualification discutable des organismes de contrôle des stablecoins en tant que VASP
Dans cette mise à jour, le GAFI rappelle les risques de LCB-FT posés par les stablecoins. Selon le Gafi, lorsqu’un stablecoin est détenu par un développeur central ou un organisme de gouvernance qui est responsable de la gestion et du développement du stablecoin (par exemple, déterminer les fonctions du stablecoin, gérer la solution de stabilisation), cet organisme répondra à la définition de VASP.
D’autre part, si un stablecoin a une partie qui conduit le « développement et le lancement » du stablecoin, cette partie pourrait remplir la fonction d’un VASP. De même, une partie qui a un pouvoir de décision sur la structure pourrait être considérée comme un VASP.
Position de l’Adan
L’Adan s’interroge sur la pertinence de qualifier un organisme de contrôle des stablecoins comme un VASP. En effet, selon nous, les émetteurs ou les organes centraux liés à la gouvernance ou à l’émission d’un stablecoin – tels que Circle – n’ont aucune relation avec les utilisateurs finaux de ces crypto-actifs et, à ce titre, nous ne voyons pas comment ils pourraient assurer la conformité avec un dispositif de lutte contre le blanchiment et le financement du terrorisme.
IV – Application de la Travel Rule
Les lignes directrices actualisées du GAFI rappelle que la recommandation 16 (la « Travel Rule« ) s’applique indépendamment du fait que les transferts soient libellés en monnaie fiduciaire ou en actifs virtuels, et détaille ensuite la manière dont cette recommandation s’applique dans le contexte des VA.
A – L’introduction d’exigences supplémentaires pour le respect de la Travel Rule
Selon le paragraphe 179, les exigences en matière de LCB-FT s’appliquent de la même manière que les transactions traditionnelles aux transferts de VA entre un VASP et une autre entité obligée (VASP ou autre institution financière). Cela signifie que l’institution d’origine doit collecter et vérifier le nom du donneur d’ordre et son numéro de compte (ou l’adresse de son portefeuille dans le contexte du VA). Elle doit également collecter, sans les vérifier, le nom et le numéro de compte du bénéficiaire (c’est-à-dire l’adresse du portefeuille). Pour l’institution bénéficiaire, les obligations de vérification sont inversées : elle peut se fier aux informations fournies pour le donneur d’ordre mais doit vérifier celles relatives au bénéficiaire.
En outre, le GAFI ajoute au paragraphe 183 que les VASP doivent vérifier que les donneurs d’ordre et les bénéficiaires ne font pas l’objet de sanctions et, comme cette vérification prend du temps et peut être achevée après le règlement, le paragraphe 194 a. indique que cela peut nécessiter une suspension temporaire des transferts.
Position de l’Adan
Selon l’Adan, ces exigences de contrôle supplémentaires pourraient considérablement contraindre les acteurs dans la mise en œuvre de la Travel Rule. D’autre part, il n’est – à notre avis – pas économiquement acceptable ni technologiquement faisable de suspendre une transaction entre deux utilisateurs pour s’assurer du contrôle des destinataires et de l’absence de sanctions à leur encontre. En outre, cette obligation ne s’applique pas à chaque transaction dans le secteur financier traditionnel – où le contrôle permanent est effectué de manière périodique sur les bases de données des clients plutôt que sur chaque transaction individuelle – cela risquerait d’enfreindre le principe de neutralité technologique.
B – L’établissement d’une application par étapes pour la mise en œuvre de la Travel Rule
En outre, le paragraphe 200 des lignes directrices reconnaît que la mise en œuvre de la règle peut être semée d’embûches et que, par conséquent, les pays peuvent souhaiter adopter une approche progressive de l’application des exigences de la Travel Rule afin de s’assurer que leurs VASP ont suffisamment de temps pour mettre en œuvre les systèmes nécessaires.
Position de l’Adan
L’Adan salue l’engagement du GAFI en faveur d’une approche par étapes pour la mise en œuvre de la Travel Rule. Selon l’Adan, cela permettra aux régulateurs d’être flexibles dans le déploiement initial, en reconnaissant les problèmes réels que les VASP et les fournisseurs de services leur ont rapportés.
En outre, l’Adan souhaite attirer l’attention du GAFI sur les risques associés à la mise en œuvre progressive de la Travel Rule dans le secteur des crypto-actifs. En effet, certains pays avancent à des vitesses différentes, ce qui a pour conséquence inévitable que certains d’entre eux demandent aux VASP de se mettre en conformité avant d’autres juridictions (le « sunrise issue »), laissant les VASP dans la position difficile de ne pas savoir comment traiter avec les VASP dans les juridictions où la règle n’est pas en place. Il sera donc essentiel de voir comment les régulateurs nationaux vont mettre en œuvre les règles et quelles attentes ils placent dans leurs VASP, notamment pour reconnaître les défis techniques et de sécurité que la mise en œuvre de la règle apporte.
Recommandation de l’Adan
Dans le futur cadre de la lutte contre le blanchiment et le financement du terrorisme, l’Adan propose de donner suffisamment de temps aux acteurs pour mettre en œuvre la Travel Rule avec une date limite définitive ou au moins la même approche progressive pour tous afin d’éviter toute disparité entre les acteurs des différents Etats dans la mise en œuvre de la Travel Rule. A notre avis, une mise en œuvre peu harmonisée de la Travel Rule risquerait de rendre sa mise en œuvre particulièrement complexe.
C – Limites à la mise en œuvre de la Travel Rule
1. La mise en œuvre d’une « application limitée » de la Travel Rule pour les portefeuilles non hébergés
Dans ces lignes directrices actualisées, le GAFI affirme que les transactions impliquant des portefeuilles non hébergés sont également couvertes par la Travel Rule.
En effet, au paragraphe 179, le GAFI déclare que les exigences de la recommandation 16 s’appliquent aux VASP dès lors que leurs transactions, qu’elles soient en monnaie fiduciaire ou en VA, impliquent un transfert de VA entre un VASP et une entité non obligée (c’est-à-dire un portefeuille non hébergé). Le paragraphe précise en revanche que les exigences complètes de la recommandation 16 ne s’appliquent pas à un transfert d’actifs virtuels entre un VASP et un portefeuille non hébergé.
En outre, en raison des difficultés de mise en œuvre de la Travel Rule dans les transactions impliquant des portefeuilles non hébergés, le GAFI indique au paragraphe 204 que l’application de la Recommandation 16 peut être différente lorsque la transaction implique un non VASP (comme les transactions vers/depuis des portefeuilles non hébergés). Dans ces cas, alors que le GAFI ne s’attend pas à ce que les VASP soumettent des informations aux personnes qui ne sont pas des entités obligées, il s’attend à ce que les VASP obtiennent des informations sur les donneurs d’ordre et les bénéficiaires auprès des clients dans les cas impliquant des transferts vers/depuis des entités non VASP (par exemple d’un utilisateur VA individuel vers un portefeuille non hébergé).
Position de l’Adan
Selon l’Adan, l’application de la Travel Rule semble particulièrement complexe avec les portefeuilles non hébergés car ces portefeuilles permettent aux individus d’échanger des actifs virtuels sur une base peer-to-peer, ce qui signifie qu’il n’y a pas nécessairement une entité obligée impliquée dans chaque transaction. En conséquence, l’Adan admet que le projet de lignes directrices n’exige pas la mise en œuvre complète de la Travel Rule pour les transactions impliquant un VASP et une entité non obligée telle que les wallets non hébergés.
Cependant, selon nous, l’adaptation de la Travel Rule aux transactions impliquant un portefeuille non hébergé doit être développée davantage. L’Adan propose donc de ne pas appliquer la Travel Rule aux transactions impliquant un portefeuille non hébergé.
2. Les risques soulevés par la mise en œuvre de la Travel Rule en termes de protection des données personnelles des utilisateurs d’actifs virtuels
In fine, au paragraphe 188, le GAFI précise que tant que cela est respecté et que les informations sont disponibles pour les autorités, les données n’ont pas besoin de faire partie du transfert ou d’être enregistrées dans la blockchain.
Compte tenu des risques posés par la Travel Rule en termes de protection des données personnelles des clients de VASP, le paragraphe 294 précise que les VASP devraient avoir recours à des procédures modifiées, y compris la possibilité de ne pas envoyer les informations relatives aux utilisateurs, lorsqu’ils pensent raisonnablement qu’une contrepartie VASP ne les traitera pas de manière sécurisée tout en continuant à exécuter le transfert s’ils estiment que les risques de LCB-FT sont acceptables. Dans ces circonstances, les VASP devraient identifier une procédure alternative, dont la conception du contrôle pourrait être dûment examinée par leurs superviseurs sur demande.
Position de l’Adan
La Travel Rule exige le partage d’informations avec d’autres VASP lors du transfert de VA. Ces VASP peuvent être situés dans des pays hors de l’Union européenne qui ne fournissent pas de garanties équivalentes pour la protection des données personnelles. Il s’agit, selon l’Adan, du principal problème lié au partage de données personnelles avec ces VASP étrangers. En effet, ces derniers peuvent avoir des niveaux de normes de sécurité différents, un cadre moins exigeant en termes de LCB-FT et de protection des données. En Europe, le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, offre un cadre particulièrement protecteur pour la protection des données personnelles des citoyens européens. Il est donc nécessaire de mettre en place une Travel Rule garantissant un niveau de protection équivalent pour les utilisateurs de crypto-actifs. Il est donc nécessaire de se coordonner avec les autorités nationales (en tenant compte du cadre réglementaire applicable à chaque État) pour élaborer des normes internationales strictes qui garantissent la sécurité de la transmission des données personnelles, tout en garantissant l’interopérabilité des solutions technologiques qui verront le jour pour assurer cette conformité.
Par ailleurs, selon l’Adan, en termes de modalités pratiques, l’attente d’une transmission « immédiate » de la date (excluant ainsi une transmission a posteriori) et « sécurisée » soulève des questions quant aux garanties de protection des données personnelles ainsi transférées.
~
Consultez le document de position de l’Adan :