Comment anticiper la travel rule européenne sur les transferts crypto ?
En vertu de la travel rule, tous les transferts de crypto-actifs effectués par l’intermédiaire d’un prestataire européen devront inclure l’identité de l’émetteur et du bénéficiaire des fonds à compter du mois de décembre 2024. Cette mesure destinée à accroître la transparence des transferts transnationaux, suscite de nombreuses questions et doit être soigneusement anticipée.
Une mesure de transparence financière établie
La travel rule est une règle de transparence financière instaurée par le US Bank Secrecy Act de 1970 qui impose la collecte et le partage des informations d’identification lors d’un transfert de fonds impliquant une institution financière. Cette mesure vise à apporter plus de transparence dans les transactions entre intermédiaires, c’est-à-dire à l’occasion des opérations de nature à rompre la chaine d’identification des clients.
En 2019, la FinCEN, cellule américaine de lutte contre les crimes financiers, étend cette règle aux transferts de crypto-actifs. La même année, le GAFI intègre cette mesure dans le cadre d’une mise à jour de sa 16ème recommandation relative à la transparence des virements électroniques. En mai 2023, l’Union Européenne met en application cette recommandation en adoptant simultanément le règlement sur les marchés de crypto-actifs (MiCA) et le règlement relatif aux transferts de fonds (TFR).
Un champ d’application élargi
La travel rule s’applique à l’ensemble des transferts de crypto-actifs qui impliquent au moins un prestataire européen.
L’application à l’ensemble des transferts de crypto-actifs
La travel rule concerne l’ensemble des transferts de crypto-actifs envoyés ou reçus par un prestataire de services sur crypto-actifs (PSCA, selon la définition de MiCA) établis dans l’Union européenne, sans montant minimum. Logiquement, cette règle ne couvre ni les transferts réalisés entre PSCA pour leur propre compte, ni ceux réalisés entre particuliers sans intervention d’un prestataire (peer-to-peer).
Les crypto-actifs sont définis par MiCA comme les monnaies virtuelles (bitcoins, ethers), les jetons (utility tokens) et les stablecoins se référant à un ou des actifs (ART) ou à une monnaie ayant cours légal, autrement appelé e-money token (USDC, USDT).
L’application à l’ensemble des opérations impliquant au moins un prestataire européen
Au sens du règlement TFR, la travel rule s’applique dès lors qu’un prestataire (côté bénéficiaire ou initiateur) est établi dans l’Union européenne. En somme, le règlement s’applique à :
- la réception de crypto-actifs par un PSCA européen envoyés depuis un portefeuille non-hébergé (ou « wallet non custodial », e.g. Metamask) ou depuis un autre prestataire quelque soit son lieu d’établissement (Etat membre, Chine, USA, etc.) ;
- l’envoi de crypto-actifs depuis un PSCA européen vers un autre prestataire ou vers un portefeuille non-hébergé, que ce bénéficiaire soit ou non établi dans l’UE.
Pour les transfert hors Union européenne, il est possible qu’un régime local d’application de la travel rule s’applique, notamment chez les Etats membres du GAFI.
Un régime contraignant et complexe
La mise en œuvre du règlement TFR implique, en amont, des obligations relatives à la collecte et la transmission de données et, en aval, d’en assurer leur bonne conservation.
Collecter, vérifier et transmettre les informations
Le règlement TFR distingue les obligations du PSCA initiateur de celles du PSCA bénéficiaire.
➡️D’une part, le PSCA (UE) initiateur doit obtenir les informations suivantes sur le bénéficiaire du transfert : nom, adresse blockchain, numéro de compte de crypto-actifs (s’il existe), identifiant d’entité juridique ou identifiant officiel équivalent (si disponible). Le prestataire n’a pas d’obligation de vérification et peut donc se reposer sur les informations obtenues de son client. Cependant, en cas de transfert d’un montant de plus de 1000 € vers un wallet non custodial, il devra vérifier si ce wallet appartient bien à son client.
🔎 Comment vérifier l’appartenance d’un Metamask par une personne ? Ce point particulièrement sensible et antithétique avec le fonctionnement des technologies crypto n’est pas précisé dans le règlement. En revanche, la consultation 2023/35 de l’EBA publiée le 24 novembre 2023 propose de mettre en œuvre au moins deux méthodes parmi sept, incluant l’utilisation d’outils analytiques avancés, la signature par le client d’un message dans le compte utilisateur au moyen de la clé correspondante ou encore « tout autre moyen technique approprié », pour autant qu’il permette une évaluation fiable et sûre.
Le prestataire initiateur doit ensuite accompagner le transfert des informations sur son client (nom, adresse blockchain, numéro de compte, adresse postale, numéro de document d’identité, date et lieu de naissance, identifiant d’entité juridique) avec celles sur le bénéficiaire. Les informations doivent être transmises de manière sécurisée, avant ou en même temps que le transfert des cryptos.
🔎Le règlement n’impose pas l’utilisation d’une technologie particulière. La consultation précitée indique que les PSCA peuvent transmettre les informations via différents canaux de communication (y compris par communication directe, par API ou via des solutions tierces) à condition de garantir la sécurité des systèmes d’information utilisés conformément à ses orientations 2019/04 sur la gestion des risques liés aux TIC.
⬅️D’autre part, le PSCA (UE) bénéficiaire doit prendre les mesures suivantes avant de mettre les cryptos à disposition de son client :
- Si les cryptos lui ont été envoyées par un autre prestataire, il doit vérifier que les informations sur son client sont complètes et exactes ;
- Si les cryptos proviennent d’un wallet non custodial, il doit obtenir les informations sur le détenteur du wallet (nom, adresse blockchain, numéro de compte de crypto-actifs s’il existe, identifiant d’entité juridique ou identifiant officiel équivalent si disponible) et, au dessus d’un seuil de 1000 €, vérifier ces informations (cf. ci-dessus) ;
- Dans tous les cas, si les informations qu’il reçoit sont incomplètes, il doit rejeter le transfert et envisager une déclaration à l’autorité compétente.
En définitive, la mise en œuvre de cette règle suscite de nombreuses interrogations dans le secteur : comment choisir les méthodes pour vérifier la propriété d’un wallet non custodial ? Comment garantir la sécurité de la transmission de ces informations ? Comment articuler les obligations de lutte contre le blanchiment de fonds, la protection des données personnelles (RGPD) et celles de cybersécurité ?
Conserver les informations
Les PSCA européens sont tenus de conserver les informations obtenues pendant 5 ans et en conformité avec le Règlement général sur la protection des données (RGPD). Une fois ce délai écoulé, les prestataires devront supprimer les données personnelles, sauf exception.
Le transfert des données devra également être effectué en conformité avec le RGPD. Pour rappel, ce dernier impose que le pays auquel les données personnelles sont transférées applique certaines garanties de protection. La question est alors de savoir si la travel rule doit primer en cas d’envoi de cryptos vers un pays sans législation sur les données.
Les sanctions en cas de manquement
Les sanctions applicables en cas de manquement seront décidées au niveau des Etats membres. En France, l’application des sanctions en vigueur en cas de manquement aux obligations LCB-FT est probable, à savoir :
- des sanctions pénales dans les cas les plus graves (suspicion de participation ou facilitation d’actes de blanchiment de capitaux ou financement du terrorisme) ;
- des sanctions disciplinaires (avertissement, blâme, démission du dirigeant, retrait de l’agrément, etc.) ;
- des sanctions financières (100 millions d’euros ou 10% du chiffre d’affaires au maximum).
Ainsi, les PSCA seront tenus pour responsables des manquements aux obligations de veiller à la véracité des informations des parties ou de conserver les données.
Quand est-ce que la travel rule entre en application ?
La travel rule au sens du règlement TFR entre en application pour tous les acteurs concernés le 30 décembre 2024, c’est-à-dire à la même date que le règlement MiCA. Cependant, à la différence de ce dernier, aucun délai de grâce (clause de grand-père) n’est prévu, la mise en conformité sera donc immédiate et les acteurs européens devraient déjà s’y préparer.
ORWL est en mesure de vous accompagner sur l’implémentation de la travel rule. Pour entrer en contact avec le cabinet, vous pouvez utiliser ce formulaire.