Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?
Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant à la finance numérique.
Des adresses (blockchain) pour vous, d'autres pour vos clients. Ce principe de séparation logique sera probablement inscrit au MiCA (règlement sur les marchés de cryptoactifs). Il figure en tout cas autant dans la proposition initiale - que la Commission européenne avait présentée en septembre 2020 - que dans la position que le Conseil avait arrêtée en novembre 2021.
Un accord provisoire a été trouvé cette semaine, dans l'optique d'une entrée en vigueur fin 2023. Parmi les grands axes du texte :
- Transparence et information pour l'émission et l'admission à la négociation de cryptoactifs
- Agrément et surveillance des émetteurs et des prestataires de services
- Fonctionnement, organisation, gouvernance de ces acteurs
- Protection des consommateurs ; mesures contre les abus de marché
En toile de fond, un train de mesures sur la finance numérique. Il comprend deux autres propositions de règlement. L'un dit DORA et relatif à la résilience opérationnelle numérique du secteur financier. L'autre visant à instaurer un régime pilote sur des cas d'utilisation de gros liés à la technologie DLT (registres distribués).
Objectif du premier : pallier un cadre juridique fragmenté au niveau de l'UE. Notamment sur les exigences de notification d'incidents informatiques. Ou sur les tests de pénétration, dépourvus, en particulier, de reconnaissance transfrontalière des résultats. Il s'agit de rester, en parallèle, cohérent avec la SRI (directive destinée à assurer un niveau élevé commun de sécurité des réseaux et des SI dans l'Union). Et avec l'ICE (directive sur les infrastructures critiques européennes).
Lire aussi : NIS 2 : les nouveaux défis de la conformité cyber
Cryptoactifs : garantir la résilience
Le deuxième règlement couvrirait deux types d'infrastructures. D'un côté, les systèmes « multilatéraux de négociation » n'admettant à la négociation que des valeurs mobilières DLT. Et dont les exploitants peuvent être autorisés à enregistrer ces valeurs, à régler des transactions contre paiement et à fournir des services de conservation. De l'autre, les systèmes qui servent exclusivement à une fin de règlement de titres.
Sur le volet technologique, les dispositions du DORA restent génériques. On retiendra la consigne du « au moins une fois par an », appliqué par exemple :
- Au réexamen du cadre de gestion des risques informatiques
- À l'examen de la classification des actifs d'information et de la documentation pertinente
- À la communication, aux autorités compétentes, d'informations sur les accords avec des prestataires tiers
- Aux tests de résilience opérationnelle (et au moins tous les 3 ans pour les tests de pénétration « avancés », sur la prod)
Le « règlement DLT » établit des seuils, mais essentiellement d'ordre financier. Par exemple, pour les valeurs mobilières admises (actions dont l'émetteur présente une capitalisation boursière < 200 M€, obligations dont le volume d'émission < 500 M€...).
Le texte reste générique sur le plan des mesures technologiques. On y retrouve toutefois la « séparation logique » sus-évoquée.
Photo d'illustration © jorisvo - Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité