Un organigramme comportant les bons intitulés de poste ne suffira pas à obtenir une licence. Ce que l'autorité de régulation recherche, c'est une architecture de conformité : une indépendance documentée, une expertise collective couvrant trois domaines de connaissances distincts, et une véritable substance institutionnelle. Voici comment cette norme s'applique dans la pratique.
MiCA décrypté : pourquoi l'autorité de régulation considère votre équipe de conformité comme un « cerveau unique »
ÉCRIT PAR
PARTAGER
MiCA Decoded est une série hebdomadaire de 12 articles pour Bitcoin.com News, co-rédigée par les cofondateurs et directeurs généraux de LegalBison : Aaron Glauberman, Viktor Juskin et Sabir Alijev. LegalBison conseille les entreprises du secteur des cryptomonnaies et des technologies financières sur les licences MiCA, les demandes CASP et VASP, ainsi que sur la structuration réglementaire en Europe et au-delà.
Le mythe : il suffit d'externaliser la fonction de responsable de la conformité
Lorsque les fondateurs commencent à planifier l'autorisation des prestataires de services d'actifs cryptographiques (CASP), la conversation en arrive presque toujours au même moment : « Alors, devons-nous embaucher un responsable de la conformité ? » Parfois, la question s'accompagne d'une autre : « Et un responsable de la déclaration des opérations suspectes (MLRO) ? C'est tout ? »
La réponse à ces deux questions est oui. Mais considérer ces deux nominations comme la ligne d’arrivée constitue l’interprétation erronée la plus courante et la plus lourde de conséquences de ce que la MiCA exige réellement d’une fonction de conformité. Les régulateurs ne vérifient pas si l’organigramme comporte les bons intitulés de poste. Ils évaluent si l’organe de direction, en tant qu’entité globale, dispose de l’architecture des connaissances, de l’indépendance structurelle et de la profondeur opérationnelle documentée nécessaires pour diriger une institution financière réglementée. Une licence MiCA n’est pas délivrée à une personne. Elle est délivrée à un organisme. Cette distinction est au cœur de la raison pour laquelle tant de demandes en phase initiale sont bloquées ou nécessitent d’importantes modifications avant qu’une autorité nationale compétente (ANC) n’accorde l’autorisation.
Que signifie réellement « collectivement » dans la réglementation
L'article 68, paragraphe 1, de la MiCA est précis sur ce point. Les membres de l'organe de direction doivent posséder les connaissances, les compétences et l'expérience appropriées « tant individuellement que collectivement ». Ce simple mot, « collectivement », joue un rôle réglementaire important.
Les lignes directrices conjointes de l’ABE et de l’AEMF sur l’aptitude des membres de l’organe de direction et des actionnaires des entités relevant de la MiCA précisent les modalités de cette norme en énumérant les domaines spécifiques d’expérience professionnelle que l’organe de direction doit posséder. Eira Järvi, juriste senior chez LegalBison, a résumé les exigences spécifiques dans le tableau ci-dessous.
| Catégorie d'exigence | Description détaillée |
| Réglementation des marchés financiers | Compréhension des instruments financiers et des instruments financiers DLT, y compris les exigences réglementaires au titre de la SIBA et d’autres lois applicables |
| Conformité AML/CTF | Connaissance des exigences en matière de lutte contre le blanchiment d'argent et le financement du terrorisme, y compris l'identification, l'évaluation et les stratégies d'atténuation des risques |
| Actifs virtuels | Connaissance des types d'actifs virtuels, y compris les jetons adossés à des actifs et les jetons de monnaie électronique, ainsi que des risques associés à chacun |
| Protection des données | Compréhension des obligations en matière de protection des données applicables aux activités de la Société |
| Gestion des risques | Compréhension des principes et procédures de gestion des risques, y compris les risques de marché, de crédit et de liquidité |
| Gouvernance et contrôles internes | Capacité à évaluer l'efficacité des dispositifs de gouvernance, des mécanismes de surveillance et des contrôles internes |
| Résilience opérationnelle numérique | Connaissance des exigences relatives à la résilience opérationnelle |
| Connaissances stratégiques et managériales | Expérience en matière de planification stratégique, de développement commercial et de mise en œuvre des objectifs commerciaux |
| Gestion des tiers | Compréhension des accords d'externalisation, de la gestion des prestataires tiers et des exigences réglementaires associées |
| Communication et supervision | Capacité à présenter des points de vue, à discuter des stratégies et, le cas échéant, à remettre en question les décisions de la direction afin d'assurer une supervision efficace |
| Comptabilité et audit | Capacité à interpréter les informations financières, à identifier les enjeux clés et à comprendre les normes comptables et d'audit pertinentes |
| Connaissances juridiques et réglementaires | Connaissance des exigences légales applicables aux prestataires de services d'actifs virtuels (VASP), y compris l'émission et la gestion des actifs virtuels |
Lorsque l'on analyse les lignes directrices de l'AEMF, il apparaît clairement que le profil combiné de l'organe de direction doit couvrir de manière démontrable trois domaines de connaissances fondamentaux, qui incluent tous ceux détaillés par Eira :
- Marchés financiers traditionnels : cadres réglementaires, obligations en matière de protection des investisseurs, règles de conduite sur les marchés et normes opérationnelles applicables aux prestataires de services financiers agréés.
- Infrastructure de la technologie des registres distribués (DLT) et cybersécurité : architecture de la blockchain, risques au niveau des protocoles, exposition aux contrats intelligents, modélisation des menaces de cybersécurité et vulnérabilités opérationnelles spécifiques découlant de la prestation de services sur la chaîne.
- Stratégie commerciale et gouvernance organisationnelle : conception de la gestion des risques, architecture de contrôle interne, politique de gouvernance et capacité à évaluer et à réexaminer périodiquement l'efficacité de la conformité de l'entreprise.
L'autorité de régulation ne s'attend pas à ce qu'une seule personne maîtrise ces trois domaines. L'attente, formalisée par l'exigence de l'AEMF selon laquelle les entreprises doivent soumettre une évaluation de leur « aptitude collective », est que l'équipe, dans son ensemble, couvre l'ensemble de ces domaines sans lacunes significatives.
Un organe de direction issu exclusivement du secteur financier traditionnel, sans personne capable d’évaluer les risques liés à l’infrastructure DLT, est structurellement incomplet avant même que la demande ne soit soumise. Il en va de même dans le sens inverse : une équipe crypto-native dotée d’une expertise technique approfondie, mais ne comptant aucun membre comprenant le fonctionnement des marchés financiers réglementés, sera soumise au même examen minutieux.
Le problème du temps consacré dont personne ne parle
Il existe un deuxième aspect de la norme d’aptitude collective qui prend les candidats au dépourvu. Les personnes adéquates doivent exister dans la pratique, et pas seulement sur le papier. Chaque membre de l’organe de direction doit documenter par écrit son engagement en termes de temps minimum envers l’entreprise : plus précisément, une estimation du temps consacré à la fonction (avec des indications annuelles et mensuelles), ainsi qu’une déclaration formelle de tous les autres mandats de direction et de conseil non exécutif actuellement détenus.
Le projet de normes techniques réglementaires de l'AEMF sur l'agrément (issu du premier paquet de consultation) est explicite à ce sujet. L'évaluation porte sur la présence fonctionnelle de chaque personne, et non sur sa simple inscription sur la liste. Un administrateur non exécutif occupant quatre autres sièges au conseil d'administration et ayant une relation de conseil en conformité avec deux autres entreprises fera l'objet d'un examen minutieux. L'autorité nationale compétente doit s'assurer que l'organe de direction est réellement en mesure d'exercer ses fonctions, et pas seulement que les bons noms figurent sur la demande.
Cela revêt une importance particulière pour les entreprises de cryptomonnaies en phase de démarrage qui font appel à des experts en conformité expérimentés à temps partiel ou à titre consultatif afin de renforcer leur demande d’agrément. L’autorité de régulation vérifiera exactement le nombre d’heures par mois que cette personne consacre à la mission et comparera ce chiffre à l’étendue du rôle et aux services que l’entreprise a l’intention de fournir. Un décalage entre les responsabilités et le temps consacré à la mission constitue un signal d’alerte, et non une simple formalité.
Les fonctions de contrôle interne : la structure prime sur les titres
Comprendre l'aptitude collective au niveau de l'organe de direction n'est qu'une partie du tableau. L'article 68, paragraphe 4, de la MiCA exige que les CASP adoptent des politiques et des procédures « suffisamment efficaces pour garantir la conformité ». L'article 68, paragraphe 5, exige que le personnel dispose des connaissances appropriées à tous les niveaux de l'entreprise. L'article 68, paragraphe 6, exige que l'organe de direction examine périodiquement l'efficacité de ces dispositions et remédie à toute lacune constatée.
Le projet de RTS de l’AEMF va plus loin. Il exige des entreprises qu’elles identifient des fonctions de contrôle interne spécifiques et qu’elles documentent, pour chacune d’entre elles :
- La ligne hiérarchique qui relie directement l'organe de direction.
- La manière dont la fonction opère en toute indépendance par rapport au domaine d'activité qu'elle supervise.
- la manière dont la fonction peut accéder à l’organe de direction de manière programmée et en cas d’urgence (ad hoc) lorsqu’un risque de conformité significatif est détecté.
Les trois domaines fonctionnels qui constituent le cœur de ce cadre de contrôle interne sont les suivants :
- La fonction de conformité (obligations réglementaires, politiques de conduite, procédures internes).
- La fonction d'évaluation des risques (identification des risques, méthodologie d'évaluation, protocoles d'escalade).
- La fonction d'audit interne (examen indépendant de l'efficacité, évaluation périodique).
Remarque : la fonction LBC/FT et la fonction de continuité des activités sont également des piliers obligatoires de la demande d'agrément, mais l'AEMF les considère comme des exigences organisationnelles distinctes parallèlement à ce cadre de contrôle interne central. La MiCA n'attribue pas toujours ces étiquettes précises dans le texte de niveau 1. Les RTS de l'AEMF précisent que ces domaines de contrôle interne centraux doivent avoir des responsables désignés, des périmètres de responsabilité documentés et une indépendance structurelle vérifiée.
C'est sur ce dernier point que de nombreuses demandes révèlent une faille structurelle. Une fonction de conformité qui rend compte au directeur des opérations, lequel gère également les revenus et le développement commercial, n'est pas indépendante au sens réglementaire. Une fonction de gestion des risques intégrée au sein de la salle des marchés, rendant compte à la hiérarchie par la même voie que la salle qu'elle est censée surveiller, ne répond pas non plus à la norme.
L'autorité de régulation demandera l'organigramme. Elle demandera ensuite à qui le responsable de la conformité rend compte dans la pratique, quelles sont les autres responsabilités de cette personne et de quels droits d'escalade elle dispose lorsqu'un risque de conformité grave est identifié. Pour construire une demande de licence CASP autour d'une véritable structure d'indépendance, il faut que l'architecture soit conçue avant la rédaction de la demande, et non pas adaptée a posteriori.
Substance physique : le problème des administrateurs fantômes
La demande d'autorisation doit indiquer un lieu physique de gestion effective au sein de l'UE. Cela signifie l'adresse du siège social, les emplacements des succursales le cas échéant, et la zone géographique où s'exercent réellement les pouvoirs de décision de l'entreprise.
- Au moins un administrateur exerçant une autorité réelle doit résider au sein de l'Union et être joignable par l'autorité nationale compétente de l'État membre d'origine.
- Une adresse enregistrée dans une juridiction de l'UE, appuyée par un accord de directeur fantôme, ne satisfait pas à cette norme.
- L'exigence de substance signifie que le poids décisionnel humain doit effectivement se situer au sein de l'Union.
Les autorités nationales compétentes évaluent cela à travers les champs relatifs à la localisation dans la demande RTS et à travers les déclarations de temps consacré par chaque membre de l'organe de direction.
Un administrateur physiquement présent dans l'UE pendant deux semaines par trimestre ne peut être considéré comme un administrateur résident au sens réglementaire du terme. Ce point revêt une importance particulière pour les entreprises opérant depuis un siège social mondial situé en dehors de l'UE et qui cherchent à obtenir une licence de crypto-actifs en Europe. L'entité basée dans l'UE doit fonctionner comme une véritable unité décisionnelle, et non comme une simple façade administrative pour une structure de groupe opérant depuis un autre endroit.
La continuité des activités relève de l'équipe de conformité
La continuité des activités est généralement considérée comme une responsabilité informatique. En vertu de la MiCA et de la loi sur la résilience opérationnelle numérique (DORA), cette conception est erronée pour tout CASP agréé.
La politique de continuité des activités doit être définie, approuvée et maintenue par l'organe de direction. La DORA (règlement UE 2022/2554) régit les éléments spécifiques aux technologies de l'information et de la communication, et les CASP relèvent du champ d'application de la DORA en tant qu'entités financières. Les deux cadres s'appliquent simultanément, et la fonction de conformité doit être capable de les gérer tous les deux en même temps.
Le deuxième document de consultation de l'AEMF sur la MiCA a introduit une obligation spécifique pour les entreprises opérant sur une technologie de registre distribué sans autorisation (blockchains publiques telles qu'Ethereum) : une communication proactive et structurée avec les clients lors de toute interruption de service au niveau de la DLT.
L'entreprise doit informer ses clients de l'existence éventuelle d'un risque pour leurs fonds et leur fournir une image claire de la manière dont la reprise du service est gérée. L'entreprise reste entièrement responsable de toute perte résultant de ses propres contrats intelligents, que la blockchain sous-jacente soit ou non sans autorisation.
Il ne s'agit pas d'une politique standard en cas de panne informatique. Pour assumer cette obligation de manière significative, l'organe de direction doit comprendre les risques liés à l'infrastructure DLT à un niveau qui va bien au-delà d'une simple connaissance technique générale. Une équipe de conformité qui ne peut décrire les risques liés à la blockchain qu'en termes généraux ne sera pas en mesure de rédiger, d'examiner ou de maintenir une politique de continuité des activités qui satisfasse à l'examen réglementaire.
Les normes de données en tant que capacité de conformité
Les responsabilités de la fonction de conformité s'étendent à l'architecture des données. Les CASP exploitant des plateformes de négociation doivent utiliser la norme Digital Token Identifier (DTI) pour toute la tenue des registres et la déclaration aux autorités nationales compétentes (ANC). Le DTI identifie de manière unique chaque crypto-actif et le relie à la DLT spécifique sur laquelle il est émis, négocié ou réglé. Cela permet aux régulateurs d'exercer une surveillance transfrontalière à l'aide de données cohérentes et comparables.
Les normes de messagerie ISO 20022 régissent le format des données transactionnelles soumises aux autorités. Les données de transparence pré- et post-négociation doivent être divulguées via des canaux publics non discriminatoires et lisibles par machine afin de prévenir les abus de marché. Chacune de ces exigences comporte une dimension technique dont l'équipe de conformité doit s'approprier la gestion, sans la déléguer aveuglément au service informatique.
Une entreprise qui considère la tenue des registres comme une simple tâche d'administration système, sans contrôle de conformité aux normes de données spécifiques exigées par les RTS, sera confrontée à des problèmes de surveillance après l'autorisation. Ces normes existent précisément pour permettre aux autorités nationales compétentes (NCA) de comparer les registres de centaines de CASP en une seule analyse. Une entreprise incapable de produire des données dans le format requis est une entreprise incapable de démontrer sa conformité continue.
C'est là le sens pratique de la norme du « cerveau unique ». L'équipe de conformité intègre la connaissance de la réglementation, la structure de gouvernance, la maîtrise opérationnelle de la DLT et la maîtrise technique des données en une seule capacité fonctionnelle. Aucun de ces éléments ne peut être entièrement externalisé vers une autre fonction.
Constituer l'équipe avant de constituer la demande
La demande d'autorisation pour une licence CASP MiCA porte sur une institution qui existe déjà. C'est ce modèle mental qui distingue les entreprises qui avancent efficacement dans le processus de celles qui stagnent. Les entreprises qui souhaitent obtenir une licence d'échange de cryptomonnaies, une autorisation de conservation d'actifs numériques ou toute autre licence CASP en Europe doivent considérer l'architecture de l'équipe comme la première étape à franchir, et non comme un élément qui se met en place au fur et à mesure de la rédaction de la demande.
La fonction de conformité doit être structurellement indépendante avant la rédaction du premier document. La couverture des connaissances collectives de l'organe de direction doit être évaluée et toute lacune comblée avant que l'examen par l'autorité nationale compétente (NCA) ne commence. Les déclarations relatives à l'engagement en temps doivent être réalistes avant d'être soumises.
La même logique s'applique à l'échelle mondiale. Les entreprises sollicitant une licence VASP dans des juridictions hors de l'UE sont de plus en plus confrontées à des normes parallèles : les régulateurs du Moyen-Orient, de l'Asie-Pacifique et des Amériques s'accordent sur des exigences similaires, privilégiant le fond sur la forme, en matière de conception de la fonction de conformité. La norme européenne, qui est actuellement la plus détaillée et la plus spécifique sur le plan technique, constitue une référence utile pour toute équipe visant à obtenir un statut réglementé dans n'importe quelle juridiction majeure.
'Nous sommes dans le secteur de la DeFi, donc la MiCA ne s'applique pas à nous.' Désolé, mais l'ABE et l'AEMF ne sont pas du même avis
La MiCA remet en question les arguments en faveur de la décentralisation de la DeFi, alors que les régulateurs examinent les règles en matière de contrôle, de gouvernance et de conformité. read more.
Lire
'Nous sommes dans le secteur de la DeFi, donc la MiCA ne s'applique pas à nous.' Désolé, mais l'ABE et l'AEMF ne sont pas du même avis
La MiCA remet en question les arguments en faveur de la décentralisation de la DeFi, alors que les régulateurs examinent les règles en matière de contrôle, de gouvernance et de conformité. read more.
Lire'Nous sommes dans le secteur de la DeFi, donc la MiCA ne s'applique pas à nous.' Désolé, mais l'ABE et l'AEMF ne sont pas du même avis
LireLa MiCA remet en question les arguments en faveur de la décentralisation de la DeFi, alors que les régulateurs examinent les règles en matière de contrôle, de gouvernance et de conformité. read more.
Point clé Le mythe : la nomination d'un responsable de la conformité et d'un MLRO satisfait aux obligations de conformité de la MiCA. La réalité : la MiCA exige un organisme de conformité opérationnel, et non une liste de titres de poste.
Trois éléments déterminent si un organe de direction répond à la norme : Couverture collective des connaissances. L'équipe, considérée comme une unité, doit couvrir l'expertise des marchés financiers traditionnels, la maîtrise des technologies de registres distribués (DLT) et de la cybersécurité, ainsi que les capacités de gouvernance organisationnelle. Les lacunes dans l'un de ces domaines constituent des déficiences structurelles, et non des préférences de profil.
Indépendance structurelle documentée. Les fonctions clés de contrôle interne (conformité, évaluation des risques et audit interne) doivent avoir un responsable désigné, une ligne hiérarchique directe vers l'organe de direction et une indépendance vérifiée par rapport au domaine d'activité qu'elles supervisent. (Remarque : la lutte contre le blanchiment de capitaux et le financement du terrorisme (AML/CFT) ainsi que la continuité des activités sont tout aussi obligatoires, mais traitées comme des piliers organisationnels distincts). Un organigramme qui fait passer la conformité par une fonction génératrice de revenus ne résistera pas à l'examen minutieux des autorités nationales de contrôle (NCA).
Une substance institutionnelle réelle. Les engagements en termes de temps doivent être authentiques et documentés. La présence physique dans l'UE doit refléter le poids réel dans la prise de décision, et non une simple adresse d'enregistrement. La politique de continuité des activités doit être prise en charge au niveau de l'organe de direction. La communication des données doit respecter les normes DTI et ISO 20022 dès le premier jour. La demande de licence CASP est le résultat. L'architecture de conformité en est le fondement. Commencez par construire ce fondement.
Cet article s'appuie sur une étude menée par LegalBison en avril 2026. Son contenu est fourni à titre informatif uniquement et ne constitue pas un avis juridique.
