En plus de se conformer à l’exigeant règlement européen MiCA à compter de janvier 2025, les prestataires de services sur actifs numériques devront également, à la même échéance, respecter la « Travel Rule » : une règlementation devant prévenir le blanchiment d’argent et le financement du terrorisme (LCB-FT), et qui s’appliquera à compter 30 décembre 2024. En mai 2023, elle a été étendue aux cryptoactifs. Et le 4 juillet, l’Autorité bancaire européenne (EBA) a publié ses lignes directrices pour sa mise en application.

1. Qu’est-ce la « Travel Rule » ?
La « Travel Rule » est une recommandation du Groupe d’action financière (Gafi) visant à lutter contre le blanchiment d’argent et le financement du terrorisme . Elle exige que les institutions financières transmettent des informations sur l’expéditeur et le bénéficiaire lors de transactions. Adoptée par l’Union européenne en 2015 dans le cadre du règlement sur les transferts de fonds (TFR), cette « Travel Rule » s’appliquait jusqu’alors principalement aux prestataires de services de paiement (PSP) pour les transferts de fonds traditionnels, tels que les virements.
Cette règle sera étendue aux prestataires de services sur cryptoactifs agréés sous MiCA . Avec la « Travel Rule », les prestataires de services sur actifs numériques (PSAN en France, CASP en anglais) établis dans un Etat membre de l’UE devront collecter et transmettre des informations sur les transactions en cryptoactifs sans montant minimum. Cela concerne les monnaies virtuelles (bitcoins, ether…), les jetons (utility tokens) et les stablecoins se référant à une monnaie ayant cours légal (EMT sous MiCA) ou à un ou des actifs (ART). Le 4 juillet, l’EBA a publié des lignes directrices pour aider les CASP à se conformer à ces exigences.
« L’objectif était de réguler ce nouveau marché des cryptoactifs car il présente intrinsèquement un risque accru de LCB/FT. MiCA a créé un cadre harmonisé, imposant aux prestataires certains standards et un agrément, tout en les incluant dans les obligations LCB-FT. Obligations qui ont été complétées par TFR, qui impose des exigences de transparence lors des transactions », rappelle Sonia Rogez, avocat au Barreau de Paris, Of Counsel chez Herbert Smith Freehills Paris.

2. Qu’est-ce que ça change pour les CASP ?
L’EBA demande aux CASP établis en UE de : collecter et transmettre des informations complètes sur l’expéditeur et le bénéficiaire lors des transferts de fonds ou de cryptos (noms et prénoms, adresse postale, numéro de carte d’identité ou passeport, portefeuille de destination, numéro de compte, clé publique blockchain) ; mettre en place des procédures pour détecter les informations manquantes ou incomplètes et définir des mesures pour traiter ces cas (telles que rejeter ou suspendre les transactions jusqu’à ce que les informations soient fournies) ; vérifier l’identité des expéditeurs et des bénéficiaires ; garantir l’interopérabilité des systèmes de messagerie et de règlement ; obtenir et conserver des informations sur les adresses auto-hébergées (liées aux portefeuilles de conservation comme Ledger ou MetaMask , dont seuls les utilisateurs détiennent et contrôlent les moyens d’accès) et s’assurer que les transferts peuvent être identifiés individuellement.
Une fois cela posé, il faut distinguer trois types de transactions : entre deux CASP, entre un CASP et un portefeuille auto-hébergé, ou entre deux portefeuilles auto-hébergés. Pour une transaction entre deux CASP, par exemple Binance et Coinbase , la difficulté est que la règle s’applique sans montant minimum. A chaque transaction, l’émetteur doit envoyer les informations d’identification de la transaction susmentionnées. Pour un transfert entre un CASP et un portefeuille de type Ledger (où l’utilisateur possède sa clé privée), au-delà de 1.000 euros, le CASP de l’initiateur doit déterminer s’il lui appartient – en d’autres termes, si vous voulez rapatrier vos bitcoins gagnés sur Binance dans votre portefeuille, la plateforme devra s’assurer que c’est bien le vôtre, et non celui d’un tiers non identifié. Enfin, pour un échange entre deux portefeuilles de pair à pair, il échappera à cette « Travel Rule », de même que les transferts réalisés entre CASP pour leur propre compte.

3. La blockchain ne devait-elle pas assurer cette traçabilité ?
Pourquoi tout ça ? Intuitivement, on imagine que la nature des blockchains publiques (Bitcoin ou Ethereum), parce qu’elles consignent toutes les transactions en ligne de façon ouverte, suffirait à assurer une traçabilité des fonds. Or, « une blockchain repose sur le pseudonymat », pointe Sonia Rogez. Il est possible de suivre sur la blockchain l’adresse publique d’un utilisateur – considérée comme un pseudonyme – qui répertorie toutes les transactions effectuées par ce dernier… sans savoir qui est derrière. « Les CASP, en tant qu’entités régulées, poursuit-elle, sont les points d’entrée et de sortie par lesquels les utilisateurs réalisent une identification des clients. En cela, TFR permet d’associer une identité aux transferts pseudonymes réalisés sur la blockchain ». La réglementation, pour ce qui est des échanges réalisés avec des CASP, vise à rétablir une chaîne d’identification des clients.

4. Quid des mixeurs et des cryptos anonymes ?
Avec des outils comme Tornado Cash , on peut mélanger des fonds des cryptomonnaies potentiellement identifiables avec d’autres, ce qui permet d’obscurcir la traçabilité jusqu’à la source d’origine des fonds. Ces « mixeurs de cryptos » sont prisés des acteurs cherchant à masquer des fonds illicites. Ils recourent parfois à d’autres voies : les cryptos anonymes, comme Monero, Dash ou Zcash, qui assurent une confidentialité presque totale.
« La question serait plutôt de savoir comment les CASP peuvent se conformer à TFR sachant que les clés publiques qu’ils devront communiquer et conserver peuvent être passées par un mixeur, et présentent donc une chaîne de traçage corrompue », relève Sonia Rogez. Le règlement précise bien qu’« avant de transférer les cryptoactifs, le prestataire de services de l’initiateur vérifie l’exactitude des informations ». Une des questions qui se pose est donc de déterminer si un CASP voulant se conformer à la « Travel Rule » pourrait accepter de cryptos « mixées », ou bien anonymes comme Monero.

5. Toutes les entreprises vont-elles réussir à se conformer ?
Non. « Le respect de normes légales et réglementaires implique l’utilisation d’outils informatiques dédiés aux échanges d’informations (Coinbase Trust, Chainalysis ou VerifyVASP) et des personnes chargées de la mise en oeuvre de ces obligations et de leur contrôle », indique Sonia Rogez.

Tout cela « engagera des coûts supplémentaires humains, financiers et informatiques » et il n’est pas improbable que les plus petits peinent à suivre la cadence. Quant à ceux qui ne se conforment pas, ils « vont au-devant de sanctions disciplinaires pouvant aller jusqu’au retrait de leur enregistrement/agrément », prévient l’avocate de Herbert Smith Freehills. Fin 2022, l’AMF et l’Autorité de contrôle prudentiel et de résolution (ACPR) ont ainsi radié le PSAN Bykep , avec effet immédiat.

Lire l’article complet sur : www.lesechos.fr