Le 19 décembre 2019, le nouveau régime juridique des prestataires de services sur actifs numériques (PSAN) issu de la Loi PACTE
[1]
est définitivement entré en vigueur à la suite de la publication de l’arrêté portant homologation de modifications du règlement général de l'Autorité des marchés financiers (AMF)
[2]
. Le régulateur financier en a également profité pour publier deux instructions les impactant directement : d’une part l’instruction 2019-23
[3]
précisant les éléments à fournir dans leurs dossiers d'enregistrement et d'agrément, leurs exigences de fonds propres ainsi que leurs obligations en matière de transparence post-négociation ; d’autre part l’instruction 2019-24
[4]
précisant leurs exigences en matière de cybersécurité afin d’assurer la résilience et la sécurité de leurs systèmes d’information. Explications.
I. Dossier d’enregistrement et d’agrément
L’agrément de PSAN par l’AMF est obligatoire pour toutes personnes fournissant des services respectivement, de conservation pour le compte de tiers ou d’accès à des actifs numériques
[5]
et/ou d’achat ou de vente d’actifs numériques en monnaie ayant cours légal
[6]
. À titre optionnel, toute autre personne établie en France pourra solliciter auprès du régulateur un agrément de PSAN
[7]
en vue de fournir à titre de profession habituelle un ou plusieurs services sur actifs numériques autres que ceux précités
[8]
. Les demandeurs devront respecter un niveau de fonds propres minimum dépendant du ou des futurs services fournis et remplir un dossier d’agrément obligatoire et/ou optionnel répondant à un formalisme strict.
Formalisme lié aux dossiers d’agrément de PSAN
Au titre de la nouvelle instruction 2019-233, le dossier d’agrément devra comporter des informations notamment sur la personne en charge d’en préparer le contenu, celle assurant la direction effective, les services fournis nécessitant un agrément obligatoire, ceux à agrément optionnel, ainsi qu’un programme d’activité (tout comme les prestataires de services d’investissement traditionnels et plus récemment les conseillers en investissements financiers
[9]
) en plus des documents de constitution de société
[10]
. Des éléments sur l’honorabilité et la compétence des dirigeants et actionnaires seront aussi à indiquer. Les premiers devront fournir notamment un extrait de casier judiciaire vierge, le temps minimal consacré à l’exercice de leurs fonctions, ainsi qu’une attestation de la possession des connaissances et compétences suffisantes pour exercer leurs fonctions de manière à être en mesure de comprendre les principaux risques auxquels les futurs PSAN seront exposés. Les informations liées aux bénéficiaires effectifs seront à obtenir des seconds en plus d’un extrait de casier judiciaire vierge ainsi que la même attestation produite par les dirigeants. Le dossier contiendra enfin des précisions sur le dispositif de lutte contre le blanchiment de capitaux et financement du terrorisme (LCB-FT). Le programme d’activité détaillera alors la classification des risques adoptée et plus particulièrement les informations relatives à la clientèle visée (caractéristique, nature juridique, zone géographique, particularité, etc.) et les canaux de distribution envisagés pour chaque service sur actifs numériques fourni. En cas d’appartenance à un groupe, la classification des risques adoptée par celui-ci, son organigramme avec les liens capitalistiques entre les différentes entités et pays d’établissement seront à indiquer. La dénomination et le CV des responsables du dispositif LCB-FT ainsi que ceux du contrôle permanent et contrôle périodique, composant ensemble le contrôle interne des futurs PSAN, seront à fournir en plus des évolutions prévisionnelles de leur effectif sur les deux premières années et la masse salariale correspondante. Les procédures de contrôle de niveau 1 et celles de niveau 2 misent en place seront précisées dans le programme d’activité précité (fréquence de contrôles, systèmes de reportings, mesures correctrices, etc.). Les diligences envers les clients et leurs opérations ainsi que la formation du personnel seront à fournir.
Notons que les demandeurs pourront envisager d’externaliser la mise en œuvre des obligations précitées en précisant notamment les prestations concernées, la dénomination du prestataire retenu ainsi que les principales caractéristiques du contrat les liant
[11]
. Pour tous les services sur actifs numériques, il sera demandé l’identité des actionnaires détenant directement ou indirectement au moins 10 % du capital ou des droits de vote ou pouvant exercer une influence notable sur la gestion des demandeurs. Les plans comptables prévisionnels pour les 3 prochains exercices ainsi qu’un calcul prévisionnel des fonds propres seront à communiquer. Enfin en termes de sécurités informatiques, l’AMF voudra obtenir un certificat de conformité et un rapport d’audit de sécurité délivré par un prestataire de services de confiance.
Exigences de fonds propres applicables aux PSAN
Les PSAN devront disposer en permanence du montant de fonds propres le plus élevé parmi les trois méthodes recommandées par l’AMF
[12]
: les frais généraux, le capital minimal ou le niveau d’activité. Ce montant devra être atteint dans les 3 mois de la clôture des comptes de l’année précédente. Une régularisation pourra néanmoins intervenir au plus tard le dernier jour ouvré du semestre qui suit la clôture des comptes annuels. S’agissant plus spécifiquement de la seconde méthode, le capital minimum des PSAN dépendra des services sur actifs numériques fournis. Il sera ainsi, respectivement, de 150 000 € pour la gestion de portefeuilles d’actifs numériques pour le compte de tiers, la prise ferme et le placement garanti d’actifs numériques, le service d’achat ou de vente d’actifs numériques en monnaie ayant un cours légal et l’exploitation d’une plateforme de négociation d’actifs numériques avec interposition avec les donneurs d’ordres ; 50 000 € pour le service d’achat ou de vente d’actifs numériques en monnaie ayant un cours légal et le service d’échange contre d’autres actifs numériques et l’exploitation d’une plateforme de négociation sans interposition, la réception et la transmission d’ordres sur actifs numériques, le conseil aux souscripteurs d’actifs numériques ainsi que le placement non garanti d’actifs numériques.
II. Le référentiel d’exigences en matière de cybersécurité
Les demandeurs d’agrément de PSAN doivent disposer en permanence d’un système informatique résilient et sécurisé
[13]
tout en définissant et mettant en œuvre des mesures opérationnelles précises, en plus d’avoir un référentiel de cybersécurité répondant à un contenu strict.
Contenu du référentiel d’exigences en matière de cybersécurité
Au titre de la nouvelle instruction 2019-244, les futurs PSAN définissent, formalisent, mettent en œuvre et contrôlent un programme continu de cybersécurité visant notamment à maîtriser le niveau de sécurité des systèmes d’information impliqués dans la fourniture du ou des services sur actifs numériques. Nous noterons qu’une analyse d’impact relative à la protection des données à caractère personnel (AIPD) sera à réaliser. Les traitements utilisés par les PSAN devront être exécutés en conformité avec la réglementation en vigueur en matière de protection de données à caractère personnel
[14]
. Afin d’aider les demandeurs, l’AMF propose comme référentiel différents guides sur la conception du programme continu et proposés notamment par la Commission Nationale Informatique et Libertés (CNIL) et ceux de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
[15]
. En termes d’analyse des risques, le régulateur estime que l’EBIOS Risk Manager peut constituer une méthode adéquate. Les demandeurs devront également formaliser, vérifier et contrôler que leurs politiques internes respectent les thèmes et chapitres de la norme ISO 27002
[16]
. À défaut, elles seront revues et adaptées, si nécessaire, au moins une fois par an, ou en cas de survenance d’un événement le justifiant. L’obtention et le maintien en vigueur de la certification ISO 27001 ne sont pas néanmoins exigés. Cependant, un responsable de la sécurité des systèmes d’information devra être désigné ; il sera alors en charge de notamment décliner le programme de cybersécurité ainsi élaboré et communiquer ses coordonnées à l’AMF.
Application de mesures opérationnelles
Partant du constat qu’à date, la quasi-intégralité des services sur actifs numériques étaient offerts par des applications numériques et/ou sites Internet, l’AMF a listé différentes exigences techniques générales permettant d’assurer un niveau de sécurité minimum. La sécurité des composants techniques impliqués dans la fourniture du service devra être identifiée et maintenue à jour. Les développements applicatifs effectués par les futurs PSAN pour offrir leur service sur actifs numériques devront en outre prendre en compte divers référentiels de sécurité applicative
[17]
. Des mesures d’authentification seront aussi recommandées par l’AMF en termes de noms de domaines utilisés, de services techniques exposés sur Internet ou encore d’utilisateurs (second facteur d’authentification en plus du mot de passe habituel) et d’administrateur (double facteur d’authentification). Le chiffrement des flux de communications et la confidentialité des données à caractère personnel seront à assurer et garantir par les PSAN en vue de couvrir notamment le risque d’intrusion dans les services par des attaquants malveillants. Enfin, s’agissant de la sécurité des portefeuilles électronique utilisés par leurs utilisateurs, les PSAN devront leur conseiller l’usage de portefeuilles électroniques disposant de niveau de sécurité conforme à l’état de l’art, mettant en œuvre une protection par mot de passe ou clé de chiffrement, un chiffrement des secrets, dont notamment la clé privée ainsi qu’une conservation hors-ligne. Notons que l’AMF sera enfin en droit de requérir un audit de sécurité des futurs PSAN pour vérifier la sécurité de leurs systèmes d’information.
1
Article 86 de la Loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises.
2
Arrêté du 5 décembre 2019 portant homologation de modifications du règlement général de l'Autorité des marchés financiers.
3
Instruction AMF 2019-23 du 19 décembre 2019 sur le régime applicable aux prestataires de services sur actifs numériques.
4
Instruction AMF 2019-24 du 19 décembre 2019 sur les prestataires de services sur actifs numériques et le référentiel d’exigences en matière de cybersécurité (version 1.0).
5
Article L. 54-10-2 1° du Code monétaire et financier.
6
Article L. 54-10-2 2° du Code monétaire et financier.
7
Article L. 54-10-5 du Code monétaire et financier.
8
Article L. 54-10 2 du Code monétaire et financier, respectivement les autres services pour le compte de tiers tels que le service d'échange d'actifs numériques contre d'autres actifs numériques, la réception et la transmission d'ordres (RTO) sur actifs numériques, la gestion de portefeuille d'actifs numériques, des portefeuilles incluant un ou plusieurs actifs numériques dans le cadre d’un mandat donné par un client, le conseil aux souscripteurs d'actifs numériques, la prise ferme d'actifs numériques, le placement garanti d'actifs numériques, le placement non garanti d'actifs numériques ainsi que l’exploitation d'une plateforme de négociation d'actifs numériques.
9
Les CIF doivent désormais établir un programme d’activité à la manière de celui des PSI avant leur adhésion à une association programme au titre de l’article 325-2-1 du règlement général de l’Autorité des marchés financiers. Pour s’intéresser aux autres conséquences de la seconde directive sur les marchés d’instruments financiers sur leurs activités, v. notamment mon article, « Directive : les conseillers en investissements financiers à l'épreuve de MIF 2 », Revue Banque n° 815, janvier 2018, p. 111.
10
Organigramme détaillé de la structure, CV des dirigeants, description d’activité, liste d’actifs envisagées, zone géographique, etc. conformément à l’article 721-3 du Règlement général de l’Autorité des marchés financiers.
11
Durée, responsabilité, clause d’audit, plan de secours, conditions de rupture, etc.
12
Article L. 54-10-5 du Code monétaire et financier et article 721-6 du Règlement général de l’Autorité des marchés financiers.
13
Article L. 54-10-5 3° du Code monétaire et financier.
14
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
15
Les guides recommandés par l’AMF sont respectivement le Guide de sécurité des données personnelles de la CNIL, les Premiers éléments d’analyse de la CNIL et le Guide d’hygiène informatique de l’ANSSI.
16
L'ISO 27002 est la norme organisationnelle relative à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information incluant la sélection, la mise en œuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l'information de l'organisation.
17
L’AMF recommande ainsi le respect du Top 10 des recommandations générales de l’Open Web Application Security Project (OWASP), le Top 10 courant de l’OWASP pour la sécurité des applications Web ainsi que le Top 10 Mobile courant de l’OWASP pour la sécurité des applications mobiles.
