Le nouveau règlement MiCA (Markets in Crypto-Assets) établit un cadre complet et harmonisé pour les marchés de crypto-actifs en Europe. À compter du mois de décembre 2024, toute entreprise fournissant des services sur crypto-actifs doit obtenir l’agrément PSCA (Prestataire de services sur crypto-actifs) pour opérer légalement au sein de l’Union européenne.

Mais comment obtenir cet agrément ? Quelles sont les exigences et les démarches à suivre ? Cet article vous guide à travers le processus et les principales étapes pour obtenir l’agrément PSCA.

Pourquoi l’agrément PSCA est-il obligatoire sous MiCA ?

Le règlement MiCA harmonise l’encadrement des services sur crypto-actifs en introduisant un statut unique de PSCA. Ce régime vise à protéger les investisseurs contre les risques liés aux crypto-actifs, assurer la transparence et la conformité des prestataires, et renforcer la stabilité du marché européen des crypto-actifs.

L’agrément PSCA concerne exclusivement la fourniture des dix services suivants : 

• La conservation et administration de crypto-actifs : ce service consiste à détenir et sécuriser les crypto-actifs d’un client pour son compte, généralement via une infrastructure de stockage sécurisé (hot/cold wallets). Généralement, ce service est fourni par les plateformes d’échange (Binance, Coinbase) ou des services spécialisés en conservation réglementée (Coinbase, Coinhouse custody).
• L’exploitation d’une plateforme de négociation : ce service permet aux utilisateurs d’acheter et de vendre des crypto-actifs sur un marché organisé, en mettant en relation les ordres d’achat et de vente via un carnet d’ordres (order book) ou un algorithme d’Automated market making (AMM). Ce service est généralement fourni par des plateformes centralisées (Binance, Coinbase, Kraken) ou décentralisées (Uniswap, dYdX).
• L’échange de crypto-actifs contre des fonds ou d’autres crypto-actifs : ce service permet la conversion de crypto-actifs en monnaies fiduciaires (euros, dollars) ou en d’autres crypto-actifs. Il est généralement assuré par des brokers (Bitstack, Coinhouse) ou des services de conversion (Transak, MoonPay).
• L’exécution d’ordres sur crypto-actifs pour le compte de tiers : ce service consiste à acheter ou vendre des crypto-actifs au nom d’un client, en exécutant les ordres sur les marchés. Ce service est généralement fourni par des courtiers spécialisés en actifs numériques (Flowdesk, B2C2) ou des banques crypto-friendly (Sygnum, SEBA Bank).
• Le placement de crypto-actifs : ce service vise à faciliter l’émission de crypto-actifs en recherchant des investisseurs pour financer des projets via des ICO, IEO ou STO. Il est généralement proposé par des prestataires spécialisés dans le financement de projets blockchain (CoinList, Republic) ou des cabinets de conseil en tokenisation.
• La réception et transmission d’ordres sur crypto-actifs : ce service permet de recevoir des ordres d’achat ou de vente de crypto-actifs d’un client et de les transmettre à une plateforme d’exécution. Il est généralement fourni de façon accessoire par des broker (transmission d’un ordre de placement des fonds sur un protocole DeFi ou de staking) pour les des conseillers en investissement sur crypto-actifs.
• La fourniture de conseils en crypto-actifs : ce service consiste à recommander à un client l’achat, la vente ou la conservation de crypto-actifs en fonction de son profil et de ses objectifs. Il est généralement fourni par des sociétés de gestion, des conseillers en investissement ou des analystes spécialisés en crypto-actifs (Coinhouse).
• La gestion de portefeuille de crypto-actifs sous mandat : ce service consiste à gérer un portefeuille de crypto-actifs pour le compte d’un client selon une stratégie prédéfinie et adaptée à son profil de risque. Il est généralement proposé par des gestionnaires de patrimoine ou des entreprises crypto (Coinhouse).
• Le transfert de crypto-actifs pour le compte de tiers : ce service permet d’envoyer des crypto-actifs d’un client vers un autre utilisateur ou un wallet désigné, tout en garantissant la sécurité et la traçabilité du transfert. Il est généralement fourni par des plateformes d’échange (Binance, Coinbase) ou des prestataires de paiements blockchain (Ripple, Circle avec USDC).

Tout acteur fournissant l’un de ces services depuis ou vers l’Union européenne (même si l’acteur est installé hors d’Europe) doit obtenir préalablement un agrément PSCA.

Quelles sont les exigences pour obtenir un agrément PSCA ?

L’agrément impose aux entreprises crypto de respecter des exigences communes à tous les PSCA et spécifiques à certains services. Ainsi, les exigences réglementaires sont différentes selon le service offert. Les divergences d’exigences réglementaires sont à prendre en considération lors de la réalisation de l’analyse réglementaire de l’activité, car elles sont déterminantes pour la structuration du dossier de demande d’agrément. 

Fonds propres et exigences financières

Les PSCA doivent respecter des exigences prudentielles, en disposant de fonds propres d’un montant au moins égal au plus élevé des deux critères suivants : 

• le montant des exigences de capital minimal permanent qui dépend du service fourni (voir tableau)
• ou le quart (¼) des frais généraux 

Toutefois, le PSCA peut souscrire à une police d’assurance ou une garantie comparable à la place de la réunion des fonds propres. 

Gouvernance et obligations de conformité

Le PSCA doit mettre en place une structure de gouvernance claire, incluant des dirigeants qualifiés, un responsable de la conformité et un dispositif de contrôle interne rigoureux. Une politique de gestion des conflits d’intérêts est obligatoire : elle doit identifier et documenter les risques liés aux activités du PSCA, définir des procédures de prévention et garantir la transparence des relations avec les clients.

L’entreprise doit également assurer la sécurité des actifs numériques en mettant en œuvre des dispositifs de contrôle stricts, tels que la ségrégation des fonds clients, la mise en place de politiques de cybersécurité conformes au règlement DORA et au RGPD (politique de confidentialité, PIA) ainsi que des protocoles de récupération des données en cas d’incident qui nécessite un accompagnement pas des consultant en cybersécurité. 

Protection des clients et obligations de transparence

La protection des clients repose sur plusieurs obligations réglementaires dont certaines sont spécifiques au service réalisé. Les PSCA doivent fournir une documentation contractuelle détaillée (terms and conditions, contrats, etc) et garantir l’accès à des informations précises sur les services proposés. 

La transparence des frais et des commissions doit être assurée par la publication de structures tarifaires claires. En cas de différend, des procédures de traitement des réclamations doivent être mises en place, permettant une résolution rapide et efficace des litiges.

Chaque exigence doit prendre la forme d’une procédure interne détaillée et parfaitement adaptée à l’activité du PSCA. Par ailleurs, ces procédures doivent être implémentées dans l’ensemble des aspects de la société (contrats avec des prestataires, contrats de travail, dispositions statutaires, etc.). Enfin, certaines procédures doivent faire l’objet d’une version publique à destination des clients.

Quelles sont les étapes pour déposer une demande d’agrément PSCA ?

L’obtention d’un agrément PSCA implique généralement quatre étapes : le cadrage, la constitution, le dépôt puis l’instruction

Le cadrage de l’activité et évaluation réglementaire

Avant d’entamer la constitution du dossier, il est essentiel de cadrer précisément l’activité envisagée ou exercée. Cette étape permet d’identifier les services proposés, d’analyser leur qualification au regard de MiCA et de repérer les éventuels points de blocage réglementaires ou pratiques.

Une analyse approfondie des activités doit être menée afin de :

• Déterminer si l’agrément PSCA est effectivement requis en fonction des services fournis.
• Cartographier les risques réglementaires et anticiper les exigences spécifiques.
• Identifier les contraintes organisationnelles et techniques liées à l’agrément.

Si nécessaire, une prise de contact avec l’autorité de régulation compétente (ex. : l’Autorité des marchés financiers en France) peut être envisagée afin d’obtenir des clarifications sur certains aspects du dossier. Cette interaction peut permettre d’ajuster la structuration du projet avant même la constitution du dossier formel.

Constitution du dossier

Le PSCA doit constituer et soumettre un dossier complet comprenant un plan d’affaires détaillant son modèle économique, une description précise des services fournis et des politiques de conformité, ainsi qu’un organigramme mettant en avant la gouvernance interne. La structure de gestion des risques doit inclure un plan de continuité des activités et des protocoles de cybersécurité conformes aux standards européens.

Pour en savoir plus, il est possible de consulter les pages relatives à MiCA sur le site de l’Autorité des marchés financiers.

Dépôt de la demande auprès du régulateur

La demande est déposée auprès de l’Autorité des marchés financiers en France qui est le guichet unique pour instruire les dossiers d’agrément PSCA. Cependant, l’ACPR est en charge de l’instruction des aspects relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), ainsi que des réglementations relevant de son périmètre de compétence (services de paiement, monnaie électronique). Le dossier est donc examiné conjointement par ces deux autorités avant l’octroi ou le refus de l’agrément.

Instruction et obtention de l’agrément

L’analyse du dossier par le régulateur inclut un examen détaillé des documents et des entretiens avec les dirigeants. Une attention particulière est portée à la substance, la solidité financière et la mise en conformité avec MiCA du prestataire. Les délais d’obtention de l’agrément sont, à la date de rédaction de cet article, d’environ 9 mois à compter du dépôt. Ce délai dépend largement de la complexité du dossier et des éventuelles demandes complémentaires du régulateur.

A l’issue de l’instruction, le dossier est transmis au Collège de l’AMF qui décide l’obtention de l’agrément MiCA, éventuellement assortie de conditions suspensives, ou prononce un refus. Motivé, ce refus est susceptible de recours.

Quels sont les pièges à éviter et les meilleures stratégies pour réussir son agrément ?

L’un des écueils majeurs réside dans la préparation insuffisante du dossier. Un dossier incomplet ou imprécis peut entraîner des retards considérables, voire un rejet de la demande. Il est essentiel de détailler avec précision la structure organisationnelle, les mécanismes de contrôle interne et les mesures de gestion des risques.

Les entreprises doivent également anticiper les exigences de conformité en mettant en place des politiques robustes de cybersécurité, de gestion des conflits d’intérêts et de protection des actifs des clients. La cybersécurité, notamment, doit inclure des protocoles stricts de gestion des accès, une surveillance continue des transactions suspectes et des mécanismes d’authentification renforcés.

Afin de sécuriser la demande d’agrément, l’accompagnement du projet par des avocats spécialisés et des consultants en conformité est indispensable et constitue un gage de sérieux pour les régulateurs. 

Vous souhaitez être accompagné dans votre demande d’agrément ? ORWL_ vous aide à structurer votre projet en conformité avec MiCA (nous contacter).