Le règlement MiCA modifié avant même son entrée en vigueur ?
Alors que le règlement européen visant à encadrer les cryptoactifs doit s'appliquer le 30 décembre prochain, le gendarme européen des marchés financiers estime que le texte ne va pas assez loin en termes de cybersécurité.
Contre les cybercriminels qui s'adonnent au vol de cryptomonnaies, l'Autorité européenne des marchés financiers (AEMF) veut établir une forteresse imprenable. Mi-octobre, le gendarme européen de la finance a en effet appelé Bruxelles à amender le règlement MiCA (pour Markets in Crypto-Assets), avant même son entrée en vigueur, afin d'y inclure l'obligation, pour les prestataires de services cryptoactifs, d'effectuer un audit externe de cybersécurité avant d'obtenir leur licence pour opérer dans l'UE.
Adopté l'an passé par le Parlement européen, le règlement MiCA a pour but d'établir un cadre réglementaire précis et harmonisé à l'échelon européen pour permettre au marché des cryptomonnaies de prospérer tout en protégeant les utilisateurs contre les arnaques et en luttant contre les pratiques criminelles. Il permet notamment aux entreprises qui souhaitent proposer une offre autour des cryptomonnaies sur le Vieux continent de demander une licence auprès de l'Etat membre où se trouve leur siège social, qui leur permettra ensuite d'opérer dans toute l'Union. Il offre également un guide pour la classification des différents actifs crypto, ainsi qu'un encadrement des stablecoins.
Une requête pilotée par la France ?
Pour l'AEMF, l'ajout d'un impératif d'audit externe est nécessaire pour faire face à la montée des attaques conduites par les hackers contre les plateformes crypto. Un rapport de Chainalysis, un consultant crypto américain, paru en août, estimait ainsi que l'équivalent de 1,58 milliard de dollars avait été dérobé en cryptos dans le monde entre le premier janvier et le 31 juillet 2024, soit une hausse de 84% par rapport à la même période l'an passé. Selon l'AEMF, cet audit externe obligatoire "va accroître la résilience du marché des cryptoactifs et la protection des investisseurs".
L'autorité européenne ajoute également que l'absence d'un audit externe conduirait à une "fragmentation à travers l'UE", précisément l'inverse de ce que le règlement MiCA souhaite créer. Qu'entend-elle par là ? Pour Emilien Bernard-Alzias, avocat associé au cabinet Simmons & Simmons, spécialiste en réglementation des services financiers, c'est du côté de la France qu'il faut jeter un œil pour comprendre cette remarque.
"En France, les prestataires de services sur cryptoactifs sont régulés depuis 2019 par la loi Pacte. Or, celle-ci, depuis la réforme de 2023, exige précisément la réalisation d'un audit externe comme préalable à l'obtention d'une licence ou d'un enregistrement pour opérer dans l'Hexagone. La volonté de l'AEMF d'amender MiCA provient ainsi probablement d'une pression de la part des autorités françaises, pour qui l'aspect cybersécurité est très important et qui craignent que MiCA ne constitue un rétropédalage, avec des conditions moins exigeantes en la matière que ce qui était jusqu'ici en vigueur en France."
Un calendrier ambitieux
Reste à déterminer qui seront les acteurs qualifiés pour assurer cet audit. En France, il doit pour l'heure s'agir d'un prestataire certifié Passi (Prestataires d'Audit de Sécurité des Systèmes d'Information). Comme la France est pour l'heure le seul acteur de l'UE à imposer un tel audit, il est probable que la certification Passi serve de référence. "Si l'amendement est adopté, on peut s'attendre à ce que le texte impose de recourir à un prestataire Passi ou son équivalent dans les autres pays de l'UE, étant donné que Passi est une certification uniquement française", selon Emilien Bernard-Alzias.
Il est toutefois peu probable que cette modification puisse être intégrée avant l'entrée en vigueur de la loi le 30 décembre prochain. "Il faut que la Commission amende le texte, puis que ce texte modifié soit approuvé par un vote au Parlement et au Conseil européen. Le fait de sortir un texte ainsi rectifié avant la fin de l'année semble donc un gros défi. Cela ne signifie pas que la modification ne pourra pas se faire, mais elle sera sans doute postérieure", estime l'avocat.