MiCA décrypté : « Nous avons un bureau dans l'UE » ne suffit pas : voici ce que les régulateurs veulent réellement voir

MiCA Decoded est une série hebdomadaire de 12 articles pour Bitcoin.com News, co-rédigée par les cofondateurs et directeurs généraux de LegalBison : Aaron Glauberman, Viktor Juskin et Sabir Alijev. LegalBison conseille les entreprises du secteur des cryptomonnaies et des technologies financières sur les licences MiCA, les demandes CASP et VASP, ainsi que sur la structuration réglementaire en Europe et au-delà.

L'article de cette semaine a été rédigé par Krystian Lapka, avocat chez LegalBison. Krystian est spécialisé dans les transactions commerciales et d'entreprise transfrontalières, ainsi que dans la gestion stratégique des risques à la croisée du droit civil et de la common law.

---

La plupart des fondateurs qui s'apprêtent à déposer leur première demande CASP comprennent, du moins de manière abstraite, que la MiCA exige une présence physique dans l'UE. Ce qu'ils sous-estiment, c'est la manière dont le régulateur définit ce terme de « physique ».

La configuration typique d’une entreprise en phase de démarrage semble cohérente sur le papier : un siège social dans une juridiction européenne favorable, un directeur désigné dans les documents de gouvernance, des systèmes informatiques hébergés dans le cloud ou gérés à partir de l’infrastructure mondiale du groupe, et un capital libéré déposé sur un compte bancaire nouvellement ouvert. Vu de l’intérieur, cela ressemble à une entreprise européenne. Du point de vue d’une autorité nationale compétente, cela peut ressembler à une boîte aux lettres avec un directeur attaché.

Cet article présente ce qu'exigent réellement les critères de substance de la MiCA en matière de personnel, de technologie et de résilience financière, et explique pourquoi les régulateurs traitent chaque catégorie comme un test fonctionnel plutôt que comme un simple exercice de documentation. La préoccupation sous-jacente est la même : empêcher l'existence de sociétés boîtes aux lettres, c'est-à-dire d'entités qui existent sur le papier dans une juridiction favorable mais qui n'y exercent aucune activité économique significative et ne disposent d'aucun capital humain ni d'aucune capacité opérationnelle.

Le mythe : la présence équivaut à la substance

La logique réglementaire en question est antérieure à la MiCA. Dans l’arrêt historique Cadbury Schweppes (affaire C-196/04), la Cour de justice de l’Union européenne a établi que la liberté d’établissement ne peut être utilisée pour créer des « montages purement artificiels » dépourvus d’activité économique réelle. La MiCA codifie ce principe directement dans la réglementation des crypto-actifs.

L'article 59, paragraphe 2, de la MiCA stipule que les CASP agréés doivent avoir leur siège social dans un État membre où ils fournissent au moins une partie de leurs services liés aux crypto-actifs, doivent avoir leur lieu de gestion effective au sein de l'Union et doivent compter au moins un administrateur résidant dans l'Union. La disposition est succincte. Ce qui se cache derrière est considérablement plus exigeant.

La note d'orientation de l'AEMF sur l'agrément des CASP, bien que non contraignante, indique clairement comment les autorités nationales compétentes (ANC) sont censées interpréter ces exigences dans la pratique. C'est dans l'écart entre le texte législatif et les attentes des autorités de surveillance que de nombreuses demandes se heurtent à des difficultés.

Personnel : qui dirige réellement cette entité ?

Le seuil minimum prévu par la MiCA est d’un administrateur résidant dans l’UE. Les orientations prudentielles relèvent la barre. La note d’information de l’AEMF prévoit qu’au moins deux cadres supérieurs supervisent conjointement les opérations quotidiennes. La raison en est simple : un seul dirigeant crée un risque de concentration et supprime les contrôles internes qu’exige une structure de gouvernance fonctionnelle. La norme attendue est que deux dirigeants aient des responsabilités définies et qui se recoupent.

La résidence n'est pas suffisante en soi. Les orientations indiquent que lorsqu'un membre de l'organe de direction ne réside pas dans la juridiction de l'autorité nationale de contrôle (NCA), cette personne doit être en mesure d'assister à des réunions en personne à la demande de l'autorité dans un délai de deux jours ouvrables. Pour les juridictions où la proximité physique avec l'autorité de contrôle revêt une importance opérationnelle, cela constitue une contrainte pratique quant à la distance à laquelle un administrateur peut effectivement se trouver par rapport à sa juridiction d'origine. Le temps consacré à cette fonction est traité avec le même sérieux. La position de l’AEMF, telle qu’énoncée dans sa note d’orientation sur l’agrément des CASP, est que les membres du conseil d’administration doivent généralement consacrer 100 % de leur temps professionnel à leur rôle au sein du CASP. Le cumul de fonctions, où une même personne occupe des fonctions de direction au sein de plusieurs entités, n’est autorisé que dans des circonstances limitées. Un dirigeant qui partage son attention entre le CASP et une autre société du groupe est susceptible de faire l’objet d’un examen minutieux lors de l’évaluation de l’aptitude et de l’honorabilité.

Les lignes hiérarchiques importent autant que les profils individuels. L’organe de direction doit démontrer que le contrôle stratégique et opérationnel réside au sein de l’entité de l’UE, et non au sein d’une société mère située dans un pays tiers qui prend les décisions réelles et donne des instructions à ses subordonnés. Une filiale de l’UE dont les dirigeants agissent fonctionnellement en tant qu’agents d’exécution pour un siège social hors UE n’est pas, au sens de la surveillance, une entité dotée d’une véritable direction au sein de l’UE.

La dimension de la lutte contre le blanchiment d'argent (AML) renforce cette position. La personne chargée de déposer les déclarations d'opérations suspectes (le MLRO) doit être physiquement présente, détenir une autorité réelle au sein de l'entité et être en mesure d'interagir directement avec la cellule de renseignement financier locale. Cette exigence reflète une tendance mondiale plus large : le Cadre de déclaration des crypto-actifs (CARF) du GAFI et de l'OCDE fonctionne selon la même logique, étendant les exigences de substance et de transparence au-delà de l'UE.

Les exigences en matière de personnel de la MiCA et le CARF ne sont pas des évolutions sans rapport ; elles reflètent une norme internationale convergente quant à ce à quoi doit ressembler, de l'intérieur, une entité crypto-réglementée. La norme d'aptitude collective de l'article 68, paragraphe 1, exige que l'organe de direction possède les connaissances, les compétences et l'expérience appropriées, tant au niveau individuel que collectif. Comme abordé dans le précédent volet de cette série, cette norme couvre la réglementation des marchés financiers traditionnels, l’infrastructure des technologies de registres distribués (DLT) et la cybersécurité, ainsi que la gouvernance organisationnelle. Chacun de ces domaines doit être représenté au sein de l’équipe. Une équipe composée exclusivement de professionnels issus du secteur des cryptomonnaies sans expérience des services financiers réglementés, ou une équipe dotée d’une solide expérience de la finance traditionnelle (TradFi) mais incapable d’évaluer les risques liés à la chaîne, présente des lacunes structurelles que le processus d’évaluation mettra en évidence.

Technologie : le contrôle, pas seulement l'hébergement

Le règlement DORA (Règlement (UE) 2022/2554) s’applique directement aux CASP et définit le cadre des exigences en matière de résilience des TIC. La question que se posent les régulateurs au sujet de la technologie n’est pas de savoir quelle infrastructure une entreprise utilise. La question est de savoir qui la contrôle.

Une infrastructure cloud hébergée par AWS, Azure ou des fournisseurs similaires est acceptable selon les pratiques de surveillance actuelles. Le problème se pose lorsque l'entité agréée dans l'UE ne dispose pas d'un contrôle administratif significatif sur les systèmes dont elle dépend. Si la gestion des clés de chiffrement incombe à l'équipe informatique mondiale de la société mère, si les droits d'accès aux données des clients sont gérés depuis l'extérieur de l'UE, ou si le plan de reprise après sinistre dépend des autorisations d'un siège social situé dans un pays tiers, l'entité de l'UE ne peut pas démontrer une véritable indépendance opérationnelle.

La position de l'AEMF, telle qu'elle ressort de ses documents de consultation, est que l'équipe de direction de l'UE doit exercer un contrôle effectif sur l'infrastructure TIC pertinente pour les opérations du CASP. La politique de continuité des activités et les plans de reprise après sinistre requis en vertu de l'article 68, paragraphe 7, doivent être détenus et exécutables par l'entité de l'UE, et ne pas dépendre d'une fonction mondiale qui peut ou non réagir en cas de crise.

Le test pratique est clair : si l'équipe informatique mondiale de la société mère devenait indisponible du jour au lendemain, l'entité de l'UE pourrait-elle continuer à fonctionner, accéder aux fonds des clients et restituer les actifs aux clients ? Si la réponse est non, ou pas sans une escalade significative vers du personnel hors UE, la question de fond n'est pas résolue.

Les exigences en matière de conformité au RGPD et de gouvernance des données s'ajoutent au cadre DORA. Les accords de traitement des données, les relations entre le responsable du traitement et le sous-traitant, ainsi que les considérations relatives à la localisation des données font tous partie de l'architecture technique que les régulateurs examineront.

Aspects financiers : un capital qui fonctionne réellement

L'article 67 définit les garanties prudentielles minimales. Les niveaux de capital sont définis par catégorie de services :

Le montant du capital minimum constitue un point de départ, et non un plafond. Les garanties prudentielles doivent être égales au montant le plus élevé entre le capital minimum permanent et un quart des frais fixes de l'année précédente. À mesure qu'un CASP se développe et que ses frais fixes augmentent, ce deuxième critère devient la contrainte déterminante. Lorsque les frais fixes dépassent quatre fois le capital initial versé, l'entreprise doit passer au cadre basé sur les frais fixes. Ce point d'inflexion survient plus rapidement que ne le prévoient de nombreux opérateurs, et les régulateurs attendent un suivi proactif plutôt qu'un ajustement réactif. Un point structurel mérite d'être souligné : le capital doit être versé sur un compte détenu auprès d'un établissement de crédit officiel. Un compte auprès d'un prestataire de services de paiement ou d'un établissement de monnaie électronique ne satisfait pas à cette exigence. Établir une relation bancaire en tant qu'entreprise du secteur des cryptomonnaies prend du temps et n'est pas garanti. Il n’est pas facultatif d’entamer ce processus tôt, avant le dépôt officiel de la demande. Il s’agit d’une contrainte de séquence qui affecte l’ensemble du calendrier d’autorisation. L’exigence selon laquelle les états financiers utilisés dans le calcul des frais généraux fixes doivent être dûment audités ou validés par les autorités de régulation nationales ajoute une dimension administrative supplémentaire. Les entités nouvellement constituées qui établissent des projections de leurs frais généraux pour les douze premiers mois doivent inclure ces projections dans leur demande d’autorisation, en documentant clairement la méthodologie utilisée.

Externalisation et seuil de substance

L'article 73 autorise les CASP à externaliser des fonctions opérationnelles à des tiers. La contrainte est que l'externalisation ne doit pas vider de sa substance l'entité autorisée. La responsabilité incombe toujours au CASP ; la délégation ne transfère pas la responsabilité.

La note d'orientation de l'AEMF sur l'agrément des CASP identifie le pourcentage des coûts totaux attribuables à des fonctions situées en dehors de l'UE comme un indicateur pratique permettant de déterminer si l'externalisation est allée trop loin. Un CASP dont la majorité des dépenses opérationnelles est versée à des prestataires de services non européens, même s'ils sont bien gérés et réputés, peut se voir demander si l'entité de l'UE dispose d'une capacité interne suffisante pour être considérée comme un véritable prestataire de services plutôt que comme un simple intermédiaire.

La distinction opérée par le régulateur porte sur les CASP qui externalisent des fonctions spécifiques tout en conservant le contrôle et les CASP qui externalisent tout ce qui est substantiel tout en ne conservant que la forme juridique. Ce dernier cas constitue une coquille vide, quelle que soit la manière dont l’arrangement est décrit dans la demande.

Variations juridictionnelles : même loi, pratiques différentes

La MiCA est directement applicable dans tous les États membres de l'UE. Les exigences de fond sont uniformes. Les pratiques de surveillance ne le sont pas. Chypre, par l'intermédiaire de la CySEC, a explicitement exigé que la majorité des membres du conseil d'administration d'un CASP soient physiquement résidents à Chypre. Pour un conseil composé de deux administrateurs exécutifs et de deux administrateurs non exécutifs, cela signifie un minimum de trois administrateurs résidant à Chypre. Cela va au-delà des exigences du texte de la MiCA et reflète les directives nationales en matière de lutte contre le blanchiment d'argent qui s'ajoutent au cadre harmonisé de l'UE. L'Estonie présente une dynamique différente. Sous l'ancien régime d'enregistrement des VASP géré par la Cellule de renseignement financier, l'Estonie était devenue l'une des juridictions européennes les plus accessibles en matière d'octroi de licences. Le passage à la MiCA a transféré la responsabilité de la surveillance à l'Autorité estonienne de surveillance financière et de résolution, ce qui apporte une approche institutionnelle différente en matière d'examen et de surveillance continue.

La situation législative de la Pologne, abordée dans les précédents volets de cette série, a créé un vide structurel : la loi nationale de transposition de la MiCA n’a pas encore été promulguée, ce qui prive la KNF d’une désignation officielle en tant qu’autorité compétente et laisse les titulaires de VASP sans voie viable pour déposer une demande de CASP au niveau national.

Ces variations ne sont ni des failles ni des bizarreries administratives. Elles reflètent la réalité selon laquelle un cadre juridique harmonisé s'applique toujours à travers les cultures nationales de surveillance, les contraintes de personnel et les histoires institutionnelles. Choisir une juridiction pour l'autorisation CASP revient à choisir un régulateur, avec toutes les implications pratiques que cela implique.

Ce qu'exige réellement la notion d'« établissement effectif »

Dans leur ensemble, les exigences de fond prévues par la MiCA reflètent une philosophie de surveillance plutôt qu’une simple liste de contrôle. L’autorité de régulation veut avoir l’assurance que, si un problème survient, elle dispose de recours significatifs. Cela signifie que la direction exécutive doit être physiquement joignable et légalement responsable en vertu du droit de l’UE. Cela signifie que les systèmes TIC doivent être contrôlables par l’entité de l’UE sans dépendre de chaînes d’autorisation hors UE. Cela signifie que le capital doit être véritablement disponible et dimensionné en fonction du risque opérationnel réel.

Et cela signifie une gouvernance dans laquelle l'entité de l'UE prend de véritables décisions plutôt que de se contenter d'appliquer des instructions émanant d'ailleurs. Les entreprises qui abordent cela comme un simple exercice de documentation ont tendance à trouver le processus plus difficile que prévu. Celles qui mettent d'abord en place la substance et documentent ensuite ce qu'elles ont construit ont tendance à trouver cela plus simple. La demande ne crée pas l'organisation. Elle décrit une organisation qui devrait déjà exister en grande partie.

Sources :

• Note d'information de l'AEMF sur l'agrément des CASP
• Document de consultation de l'AEMF sur la MiCA, 2e paquet
• Règlement MiCA de la MFSA

Cet article s'appuie sur une étude menée par LegalBison en mai 2026. Son contenu est fourni à titre informatif uniquement et ne constitue pas un avis juridique.