Accueil > Investissement > MiCA : la Commission européenne retoque l’obligation d’un audit de cybersécurité réalisé par un prestataire externe MiCA : la Commission européenne retoque l’obligation d’un audit de cybersécurité réalisé par un prestataire externe Alors que l’entrée en application de MiCA approche, l’écosystème crypto vient de gagner une bataille contre les régulateurs financiers. La Commission européenne s’est positionnée contre l'obligation d’une certification par un tiers des systèmes de cybersécurité souhaitée par l’ESMA et l’AMF. Par Caroline Soutarson. Publié le 17 octobre 2024 à 17h48 - Mis à jour le 08 janvier 2025 à 14h47 Ressources À deux mois et demi de l’entrée en application du règlement crypto européen MiCA (Markets in crypto-assets), un point sur les exigences en matière de cybersécurité vient d’être éclairci. Alors que l’Autorité européenne des marchés financiers (ESMA) avait introduit l’obligation d’un audit de cybersécurité réalisé par un prestataire externe pour les candidatures à l’agrément de CASP (crypto-asset services provider) dans son projet de normes techniques (RTS), la Commission européenne estime que l’Autorité surinterprète le texte du règlement. Selon l’institution, cette exigence n’est imposée ni par MiCA ni par DORA (Digital operational resilience act), qui entrera en application le 17 janvier 2025, peut-on lire dans un texte d’opinion de l’ESMA publié le 11 octobre 2024. Subséquemment à cette prise de position, le régulateur financier a demandé à Bruxelles de modifier le règlement crypto afin d’y inclure cet audit pour tous les futurs CASP européens ou, a minima, de laisser le choix aux autorités nationales. Mais une potentielle modification ne devrait pas arriver avant l’entrée en application de MiCA le 30 décembre prochain, selon l’avocat spécialisé du cabinet Kramer Levin Naftalis & Frankel, Victor Charpiat, tout juste nommé président du comité juridique de l’Adan (association pour le développement des actifs numériques). “Il faut suivre des procédures pour modifier un texte de niveau 1 comme MiCA. La Commission n’a pas un pouvoir arbitraire de modifier des détails du texte sans repasser par le processus législatif. Donc […] ce serait très difficile d’avoir une modification de MiCA qui puisse entrer en vigueur avant fin 2025. Et encore, il faudrait que la Commission européenne accepte la demande de l’ESMA et (probablement) consulte l’industrie sur ce point.” Une décision redoutée par l’AMF Pour rappel, en mai 2024, la présidente de l’AMF Marie-Anne Barbat-Layani affirmait qu’il était “indispensable d’avoir un audit de cybersécurité dans les exigences de l’agrément MiCA. La Commission européenne prendrait une lourde responsabilité de ne pas retenir cette demande. J’espère que le régulateur européen le prévoira. À défaut, nous appellerons de nos vœux un MiCA 2 qui le prendra en compte rapidement”. La France, dont le régime PSAN national a fortement imprégné MiCA, avait introduit une obligation d’audit de cybersécurité réalisé par un prestataire d’audit de la sécurité des systèmes d’information (PASSI) agréé par l’Anssi (Agence nationale de la sécurité des systèmes d’information) pour l’obtention d’un agrément optionnel de prestataire de services sur actifs numériques (PSAN), ainsi que pour l’enregistrement renforcé de PSAN, qui existe depuis le 1er janvier 2024. À nouveau, le 14 octobre 2024 , à l’occasion du Forum Fintech organisé par l’AMF et l’ACPR (l’Autorité de contrôle prudentiel et de résolution), la présidente a réaffirmé ses doutes : “il serait extrêmement dommageable de réduire le niveau d’exigence et problématique que des considérations très court-termistes puissent prévaloir en Europe et nous faire revenir en arrière”. Pour Marie-Anne Barbat-Layani, les risques sont particulièrement élevés dans le secteur : “de potentiels vols de crypto, des usurpations d’identités, des gens qui peuvent se faire siphonner leur compte bancaire parce que les données auxquelles sont attachés les porte-monnaies seraient mal protégées, etc. Des fraudes qui explosent déjà”. Un choix salué par l’écosystème crypto Cet amoindrissement des exigences anticipées constitue au contraire une bonne nouvelle pour la plupart des candidats à l’agrément européen. Robin Jacquet, secrétaire général et responsable de la conformité pour les services d’investissement du néocourtier français et PSAN Shares, qui s’était plaint en juin 2023 du coût financier d’un audit auprès d’un PASSI, salue la prise de position de la Commission européenne. “Shares est content de cet alignement législatif avec les dispositions de DORA.” La liste des PSAN enregistrés et agréés auprès de l’AMF Seul regret : plusieurs acteurs du secteur “avaient déjà fait réaliser des audits dans les conditions demandées par l’AMF et engagé des coûts importants”, assure Robin Jacquet. Le RCSI reconnaît toutefois que “la réalisation d’un audit de cybersécurité auprès d’un acteur certifié PASSI est un gage de qualité”. De plus en plus d’ingrédients pour un MiCA 2 Le premier règlement européen crypto n’avait même pas encore été finalisé que, déjà, des voix se faisaient entendre pour en créer un complément. Objectif : pallier les manquements liés à la première version. Et, avant même l’entrée en application du premier texte, le programme du second s’étoffe. Premiers sujets, connus de longue date : les activités crypto qui ont été exclues du cadre dans MiCA 1, tels que les jetons non-fongibles (NFT) et la finance décentralisée (DeFi). À l’intérieur de cette dernière, le lending crypto est particulièrement visé. D’autres sujets ont depuis été ajoutés, à l’aune de la publication des RTS de MiCA 1. Marie-Anne Barbat-Layani a par exemple indiqué dans son discours d’octobre 2024 plaider pour une “supervision européenne directe des grands acteurs du marché des cryptoactifs”. Selon l’article 85, du chapitre 5 du titre V du règlement MiCA, les CASP “d’importance significative” comptent “au moins 15 millions d’utilisateurs actifs dans l’Union, en moyenne, au cours d’une année civile”. Et dernier en date, l’ajout d’ “audits externes réguliers des systèmes d’information des entreprises crypto par des prestataires certifiés pour s’assurer de leur conformité avec les normes de cybersécurité et leur capacité à faire face à des attaques de grande ampleur”, plébiscite la présidente de l’AMF. Caroline Soutarson cryptoactifMiCArégulation Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire MiCA, premier acte : les émetteurs de stablecoins Circle et SG-Forge sont conformes 101 milliards de dollars de cryptoactifs ont été envoyés vers la France en un an Tempo France rachète Lugh, l’ex-émetteur du stablecoin de Casino La plateforme d'échange française Paymium rachète sa concurrente Zebitex Robinhood autorise les transferts de cryptoactifs depuis son application dans l’UE Société Générale-Forge va déployer son stablecoin sur Solana PSAN : AXA IM a demandé sa radiation auprès de l’AMF