Les services sur actifs numériques stimulent l’innovation au sein du secteur financier et ouvrent des perspectives de développement. Ils sont aussi sources de risques puisqu’ils peuvent être utilisés à des fins criminelles. La France s’est saisie de cet enjeu à travers la construction, depuis plusieurs années, d’un cadre réglementaire adapté à ces acteurs au sein duquel la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT1) occupe une place centrale.
Un cadre réglementaire renforcé
Dès fin 2016, les plateformes de conversion des actifs numériques en monnaie ayant cours légal ont été supervisées au titre de la LCB/FT, entraînant l’obligation des procédures d’identification de la clientèle et des mesures de vigilance adéquates. L’Autorité de contrôle prudentiel et de résolution (ACPR) est ainsi en charge de la supervision des prestataires de services sur actifs numériques (PSAN) en matière de LCB/FT, selon les services qu’ils fournissent. En mai 2019, lors de la promulgation de la loi PACTE2, les pouvoirs publics français ont démontré leur volonté d’encadrer et de réguler plus avant le développement du secteur des actifs numériques en instaurant deux régimes d’autorisation (enregistrement et agrément). En avril 2021, un régime d’enregistrement dit « renforcé » a été introduit3. Il devient obligatoire à compter du 1er janvier 2024 pour les nouveaux acteurs souhaitant fournir des services sur actifs numériques4.
Le secteur des PSAN s’est fortement développé en France, avec près d’une centaine d’établissements enregistrés et un établissement agréé par l’Autorité des marchés financiers (AMF), ce développement s’est fait dans un cadre légal et réglementaire strict et sous le regard attentif des superviseurs. L’AMF procède à l’enregistrement de ces acteurs, sur avis conforme de l’ACPR, qui examine les points clés du dispositif LCB/FT. L’ACPR évalue leur niveau de risque grâce aux informations collectées, notamment par un questionnaire annuel ou auprès de Tracfin. En fonction du niveau de risque, l’ACPR mène des actions de supervision : des entretiens de suivi, des visites ou contrôles sur place, ou encore des échanges avec les superviseurs étrangers. Ces actions peuvent conduire jusqu’à la radiation. Ainsi, l’AMF a décidé en septembre 2022 de radier, sur avis conforme de l’ACPR, l’établissement BYKEP pour non-respect des exigences de l’enregistrement. Le contrôle sur place diligenté par l’ACPR avait permis d’identifier des défaillances sérieuses du dispositif de LCB/FT.
L’ACPR a procédé en juin 2023, dans le cadre de son analyse sectorielle des risques (ASR) à une analyse détaillée des risques associés aux PSAN, dont le risque BC-FT est très élevé. Les actifs numériques sont susceptibles d’être détournés et utilisés par des individus ou des groupes criminels organisés, comme des vecteurs de blanchiment de capitaux ou de financement du terrorisme5, des moyens de contournement des sanctions financières internationales6, mais aussi directement pour la commission d’infractions telles que l’acquisition ou la vente de marchandises prohibées (stupéfiants, armes), le trafic de documents d’identité, de fausses identités, de numéros de cartes de crédit volées, ou encore les attaques par rançongiciel.
Maîtrise et efficacité des dispositifs :
un enjeu de taille
Ce niveau de risque élevé s’explique par différents facteurs. Si les principales blockchains autorisent bien un certain niveau de transparence en permettant de consulter l’ensemble des transactions réalisées par les adresses de portefeuilles numériques du réseau (on parle alors de « pseudonymat »), l’analyse des transactions et l’évaluation des risques de blanchiment des capitaux et de financement du terrorisme (BC-FT) requièrent des outils spécialisés (outils d’analyse transactionnelle – OAT) et un temps d’investigation croissant en fonction de la complexité des chaînes de transaction. S’ajoutent à cela les différents procédés pour réduire la traçabilité des transactions (mixers7, peel chains8, chain hoppings9) et les actifs numériques à anonymat renforcé (Monero, Zcash, etc.).
Comme souligné par le Groupe d’action financière (Gafi) et divers éditeurs d’OAT, la part croissante des transactions réalisées via des portefeuilles non hébergés (privacy wallets) ou la finance désintermédiée (DeFi10), qui désigne un ensemble de services sur crypto-actifs comparables à des services financiers et effectués sans l’intervention d’un intermédiaire, pourrait constituer un angle mort en matière de risques BC-FT.
Le renforcement à venir des exigences réglementaires au niveau européen, avec l’entrée en vigueur à partir du 30 décembre 2024 du règlement MiCA (Markets in Crypto-Assets) et du règlement révisé sur les transferts de fonds (application de la transparence des virements électroniques aux transferts d’actifs virtuels, également appelée travel rule, définie par le Gafi), permettra de sécuriser l’environnement au niveau européen et, en corollaire, d’atténuer les risques identifiés.
Pour ces nouveaux acteurs, dont les business models et la maturité sont hétérogènes et par nature évolutifs, la maîtrise et l’efficacité de leurs dispositifs LCB/FT constituent un enjeu de taille. Dans cet environnement en évolution, tant sur le plan des activités que sur le plan réglementaire ou judiciaire, ces acteurs doivent veiller au suivi et au respect des exigences réglementaires, des attentes des superviseurs et plus largement de mise en œuvre des meilleures pratiques.
Les établissements supervisés ne doivent pas sous-estimer les ressources humaines et techniques nécessaires au bon fonctionnement d’un dispositif de LCB/FT. L’ACPR mettra bientôt à disposition sur son site Internet des documents explicitant les attentes du superviseur en matière d’actifs numériques. Cette maîtrise des risques BC-FT par ces acteurs fait ainsi partie des priorités de supervision de l’ACPR.
