Le règlement MiCA est un règlement européen (Règlement (UE) 2023/1114) dont l'objectif est d'harmoniser le marché des cryptos et des actifs numériques. Publié le 31 mai 2023, sa mise en application est progressive afin de laisser aux acteurs concernés le temps de se mettre en conformité. Le texte vise également à combler un vide juridique concernant ce secteur en pleine expansion ainsi qu'à protéger les investisseurs en encadrant de manière claire et transparente les pratiques des différents intervenants.
Quel calendrier pour l'application du règlement MiCA ?
Le déploiement des règles applicables aux crypto-actifs s'est fait de manière progressive. Le texte initial publié le 31 mai 2023 a vu ses dispositions concernant les émetteurs de jetons entrer en application dès le 30 juin 2024. Puis ce sont les dispositions encadrant les Prestataires de Services sur Crypto-Actifs (PSCA) qui sont à leur tour entrées en vigueur à compter du 30 décembre 2024. L'AMF a rappelé en début d'année que la période transitoire prendra fin au 1er juillet 2026, date à laquelle tous les opérateurs devront avoir obtenu l'agrément PSCA (aussi appelé licence MiCA) pour continuer à opérer légalement en France.
MiCA : les grandes lignes du règlement
La mise en conformité avec le règlement MiCA repose sur 4 piliers fondamentaux.
Le premier pilier impose une transparence de l'offre via la publication obligatoire d'un livre blanc. Ce document engage la responsabilité juridique de l'émetteur et doit détailler les caractéristiques techniques des crypto-actifs proposés, mais également les risques encourus et l'impact environnemental.
Le deuxième pilier est dédié aux exigences prudentielles et de gouvernance des intervenants. On distingue deux types d'acteurs : les PSCA (prestataires de services sur crypto-actifs) qui sont des pures players de la crypto (plateformes d'échange, courtiers en crypto) et qui, jusqu'à présent, pouvaient se contenter d'un simple enregistrement PSAN sans obligation d'obtenir l'agrément ; et les acteurs traditionnels de la finance qui peuvent fournir des services sur crypto-actifs après notification à l'autorité compétente (en l'occurrence l'AMF pour la France). Les PSCA doivent désormais obtenir un agrément obligatoire, prouver leur assise financière via des réserves de fonds propres permanentes capables d'absorber d'éventuelles fluctuations des marchés et justifier de l'honorabilité et des compétences de leurs dirigeants.
Le troisième pilier s'évertue à mettre en place des protections pour les investisseurs. Pour cela le règlement MiCA impose une ségrégation des actifs, des règles de communication et de publicités strictes visant à éliminer toute présentation trompeuse de produits ou de services et demande la mise en place de gardes-fous pour obliger les plateformes à agir de manière honnête, loyale et professionnelle. Le prestataire doit mettre l'accent sur le devoir de conseil pour les produits complexes, effectuer un test d'adéquation avec le profil de l'investisseur, garantir une procédure de gestion des plaintes et des réclamations gratuite et rapide et offrir un droit de rétractation sur certaines offres.
Enfin, le quatrième pilier vise à protéger l'intégrité de l'écosystème en transposant les règles de la finance traditionnelle sur les abus de marché liés à la blockchain. En effet, délits d'initiés et manipulation des cours des crypto-actifs ont longtemps terni l'image du secteur et les acteurs ont désormais une obligation de surveiller les transactions pour détecter les comportements suspects et les signaler sans délai aux autorités compétentes.
Le statut de Prestataire de Services sur Crypto-Actifs (PSCA)
Avec le règlement MiCA, l'Union Européenne innove en instaurant un régime d'agrément européen harmonisé pour les prestataires de services sur crypto-actifs, désignés sous l'acronyme PSCA (ou CASP en anglais, pour Crypto-Asset Service Provider). Ce statut se substitue aux régimes nationaux préexistants, tels que le statut de PSAN en France, institué par la loi PACTE de 2019. Alors que le régime PSAN reposait sur un enregistrement obligatoire auprès de l'AMF assorti d'un agrément optionnel renforcé, le règlement MiCA impose un agrément obligatoire à tous les prestataires, obligeant ces derniers à garantir leurs dispositifs de transparence, de conformité, de gouvernance et de contrôle interne.
Pour obtenir l'agrément de PSCA, l'entité candidate doit être constituée sous la forme d'une personne morale établie dans l'Union européenne et soumettre une demande auprès de l'autorité compétente de son État membre d'origine. L'autorité compétente en France est l'AMF. Elle instruit ces demandes en coordination avec l'ACPR. Le dossier doit démontrer que le prestataire satisfait à un ensemble d'exigences couvrant la gouvernance, les fonds propres, les dispositifs organisationnels, la gestion des conflits d'intérêts, la protection des actifs des clients mais également la sécurité des systèmes d'information comme expliqué ci-après.
L'un des avantages majeurs de ce régime réside dans le mécanisme de fourniture transfrontalière de services sur crypto-actifs (article 65 du MiCA). Un PSCA agréé dans un État membre peut fournir ses services dans l'ensemble de l'Union européenne — en libre prestation de services ou par l'établissement d'une succursale — après déclaration auprès de l'autorité compétente, sans agrément supplémentaire dans chaque pays. Ainsi, le déploiement transfrontalier est facilité tout en garantissant une supervision cohérente.
La dimension cybersécurité du règlement MiCA
La cybersécurité constitue un volet structurant du règlement MiCA, reflétant la prise de conscience par le législateur européen des risques propres à la nature numérique des crypto-actifs. Dans un secteur où les incidents de sécurité, les piratages de plateformes et les pertes massives de fonds ont jalonné l'histoire récente, le règlement impose des exigences significatives en matière de sécurité informatique et de résilience opérationnelle, tant aux émetteurs de jetons qu'aux prestataires de services.
En effet, MiCA ne se contente pas de régir les bonnes pratiques commerciales et les flux financiers des entités concernées ; elle verrouille également l'infrastructure technologique en plaçant, de facto, tous ses acteurs sous l'égide du règlement DORA (Digital Operational Resilience Act). Comme indiqué aux articles 34 (pour les émetteurs de jetons) et 68 (pour les PSCA), la gestion des systèmes de TIC doit être conforme au règlement (UE) 2022/2554 du Parlement européen (que nous vous présentons dans cet article). Si les institutions financières classiques y étaient déjà préparées de par leur nature, les émetteurs de jetons et les PSCA découvrent un nouveau régime d'exigences de cybersécurité. Tous ces acteurs doivent désormais prouver leur capacité à résister, à réagir et à se rétablir face à des cyberattaques. Cela inclut une gestion rigoureuse des risques informatiques incluant le cloud et la supply chain, une notification systématique des incidents majeurs aux autorités et des tests de résilience réguliers (comprenant des tests d'intrusion mais également des tests avancés comme les TLPT pour les entités concernées).
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alessio, Alexandre, Amine, Anas, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Henri, Hicham, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Matt, Nancy, Natacha, Nicolas, Pierre, PierreG, Quentin, QuentinR, Sébastien, Tristan, Yann, Yannick, et bonne visite !