Interview: Hervé Maurey, sénateur - “FTX n’aurait pas obtenu d’enregistrement renforcé en France”

Hervé Maurey est sénateur de l’Eure depuis 2008, membre du groupe Union Centriste, et conseiller régional de Normandie. Il a auparavant été maire de la commune de Bernay et présidé la commission de l’aménagement du territoire et du développement durable au Sénat. En tant que parlementaire, il s’est notamment engagé pour la lutte contre la déshérence et en faveur d’un renforcement de la transparence des contrats d’assurance-vie et de certaines pratiques bancaires. Début 2023, il a été rapporteur pour avis de la commission des finances du Sénat concernant le projet de loi portant sur l’adaptation au droit de l’UE et a été dans ce cadre à l'initiative d'un renforcement de l'encadrement des Prestataires de Services sur Actifs Numériques (PSAN).

Monsieur le Sénateur, pouvez-vous rappeler votre proposition et son parcours parlementaire ? Quel compromis a-t-il été retenu ?

Hervé Maurey : Au Sénat, j’ai proposé de « fermer » l’enregistrement pour les PSAN et de leur imposer, à compter du 1er octobre 2023, d’obtenir un agrément pour exercer leurs activités. Aujourd’hui, l’enregistrement est obligatoire mais l’agrément facultatif, ses exigences étant plus élevées.

À l’Assemblée nationale, le rapporteur pour avis de la commission des finances, M. Labaronne, a proposé de mettre en place un « enregistrement renforcé », une sorte de voie intermédiaire entre l’enregistrement et l’agrément.

Seulement, le compte n’y était pas pour nous, du côté du Sénat. En particulier, rien n’était dit sur les obligations que devraient remplir les PSAN en matière de cybersécurité, ce qui me semblait paradoxal pour des acteurs numériques régulièrement cibles d’attaques ! Nous sommes tombés d’accord avec mon homologue à l’Assemblée nationale pour ajouter des obligations en matière de cybersécurité dans le cadre d’un enregistrement renforcé ou « quasi-agrément ».

Nous avions toutefois un désaccord sur la date : il était impératif que ce nouveau statut s’applique pour tous les acteurs entrant sur le marché à compter du 1er janvier 2024. Pour ce faire, une date limite d’enregistrement « simple » devait être prévue, au 1er juillet 2023, pour laisser un délai de six mois à l’AMF pour traiter les dossiers. À partir de cette date, les demandes déposées devront l’être pour un enregistrement renforcé.

En commission mixte paritaire (CMP), j’ai obtenu satisfaction sur ce point : nous avons su convaincre du bien‑fondé de notre proposition !

Concrètement, comment les exigences d’enregistrement des PSAN vont-elles être renforcées ?

Dans le cadre de l’enregistrement renforcé, on retrouve plusieurs des obligations prévues pour l’obtention de l’agrément, comme je le souhaitais au départ, et surtout avec l’ajout de nouvelles exigences en matière de sécurité informatique.

Les futurs PSAN devront ainsi disposer d’un dispositif de sécurité et de contrôle interne adéquat, d’un système de gestion des conflits d’intérêts complet, communiquer aux clients des informations claires, exactes et non trompeuses, rendre publiques leurs politiques tarifaires et mettre en œuvre une politique de gestion des réclamations des clients. Les prestataires qui conservent des actifs numériques devront en outre s’assurer de pouvoir restituer ces actifs à leurs clients dans les meilleurs délais, ségréguer les détentions pour le compte des clients de leurs propres détentions et s’abstenir d’en faire usage. Ce dernier point retient de plus en plus l’attention des régulateurs, y compris aux États-Unis.

Enfin, grâce à l’accord obtenu en CMP, il sera désormais demandé aux PSAN de disposer d’un système informatique résilient et sécurisé. J’ai rappelé lors des débats que, d’après certaines évaluations, ce serait près de quatre milliards de dollars qui auraient été dérobés en cryptoactifs en 2022 !

À ce jour, aucun PSAN n’a obtenu d’agrément auprès de l’AMF. Cette procédure est-elle trop complexe et exigeante ?

Il est vrai que l’agrément est une procédure plus exigeante que l’enregistrement, qui impose le minimum « essentiel » avec le contrôle de l’honorabilité et de la compétence des dirigeants ainsi que la mise en place d’un dispositif LCB-FT. C’est une procédure longue, surtout que les dossiers ne sont pas toujours complets, ce qui peut rallonger leur traitement par les autorités de supervision.

L’une des principales difficultés remontées par les PSAN pour la demande d’un agrément tient à l’exigence de disposer d’une assurance responsabilité civile professionnelle ou, à défaut, de disposer d’un niveau minimal de fonds propres. C’est une difficulté dont nous avons tenu compte dans nos travaux : l’enregistrement renforcé ne reprend pas cette exigence, impossible à atteindre pour beaucoup de PSAN. De même, pour tout ce qui a trait aux nouvelles obligations en matière de sécurité informatique, l’AMF s’est engagée à communiquer de façon pédagogique et pragmatique auprès des acteurs du secteur.

Le projet de règlement européen MiCa doit fixer et harmoniser les exigences à l’égard des PSAN au niveau Européen. Pourquoi ne pas avoir attendu l’entrée en vigueur de ce règlement ?

C’est vrai, le règlement MiCa doit entrer en vigueur vers le mois d’octobre 2024. Il prévoit un agrément obligatoire pour tous les prestataires de services sur cryptoactifs (PSCA), avec des exigences proches de l’agrément français. Or, s’il doit bien s’appliquer à compter du mois d’octobre 2024, une période transitoire de 18 mois est prévue pour les acteurs bénéficiant déjà, au niveau national, d’un enregistrement ou d’un agrément. Concrètement, ces derniers pourront continuer leurs activités sans agrément en tant que PSCA jusqu’au mois de mars 2026.

Il en résulte un « appel d’air », qui a suscité l’inquiétude de plusieurs observateurs : certains acteurs, dont les régulateurs savent pertinemment qu’ils ne sont pas très solides et ne pourraient jamais obtenir l’agrément français ou européen, demandent rapidement leur enregistrement pour être sûrs de pouvoir bénéficier de cette période transitoire. Pour moi, c’est un contournement de la procédure et un vrai risque à court terme, au détriment des investisseurs et des acteurs financiers plus généralement. Les affaires récentes ont montré que nous devions avancer sur la régulation de ces actifs et des PSAN.

Près de quatre ans après la promulgation de la loi Pacte et la création du statut PSAN, une soixantaine d’établissements ont été enregistrés auprès de l’AMF, deux ont été radiés. Quel bilan tirez-vous du cadre réglementaire ainsi créé ?

Il faut d’abord saluer le cadre adopté par la France en 2019, fruit des travaux du Gouvernement et du Parlement. La France s’était montrée pionnière avec ce système à double‑étage, enregistrement obligatoire et agrément optionnel. Près de quatre ans plus tard, et nous en voyons les résultats avec le compromis en voie d’adoption au Parlement, il semble qu’une large majorité était d’accord sur la nécessité de faire un peu évoluer ce cadre.

Aucun PSAN n’a demandé l’agrément, jugé trop contraignant pour leurs activités. Pourtant, l’enregistrement n’empêche pas certaines faillites ou escroqueries. Je ne dis pas que l’enregistrement renforcé empêchera tous les accidents, mais il pourra limiter les risques et donner une assurance supplémentaire aux clients et aux investisseurs. Il est probable qu’une entreprise comme FTX n’aurait pas obtenu d’enregistrement renforcé en France.

Certains se sont opposés, au Parlement ou à l’extérieur, à l’évolution du cadre mis en place par la loi Pacte. Je leur réponds qu’on aurait tort d’opposer régulation et attractivité : on peut conserver le rôle pionnier de la place de Paris dans la régulation des cryptoactifs tout en protégeant les investisseurs et en préservant l’attractivité de notre droit pour les acteurs du secteur. Surtout, croyez-vous que c’est en n’imposant aucune régulation qu’une place financière renforce son attractivité ? Bien au contraire, s’il devait y avoir un scandale d’ampleur avec un PSAN sur la place de Paris, elle perdrait sans doute d’un peu de sa crédibilité dans sa volonté de devenir la première place pour les actifs numériques. Une régulation efficace est un facteur de confiance et donc d’attractivité.

Au-delà des exigences organisationnelles et opérationnelles créées par le dispositif d’enregistrement auprès de l’AMF, existe-t’il un système de sanctions ou de mesures conservatoires pour les acteurs qui ne jouent finalement pas le jeu ?

Oui, comme vous l’avez rappelé, certains acteurs ne respectant plus le socle d’exigences minimales de l’enregistrement peuvent être radiés.

Toutefois, encore une fois, sur ce sujet, une importante avancée est à chercher et à relever dans le dispositif de compromis en voie d’adoption par le Parlement. C’est d’ailleurs un autre exemple qui montre que le cadre règlementaire issu de la loi Pacte pouvait faire l’objet d’améliorations, après un peu de recul et de « laisser vivre » pendant quatre ans.

Désormais, l’AMF pourra décider de suspendre d’office l’enregistrement d’un prestataire si elle considère que la poursuite de son activité représente une menace grave et imminente pour la stabilité du marché des actifs numériques, et l’ACPR devra donner un avis conforme. C’est un nouveau pouvoir donné à l’AMF pour protéger les investisseurs et les marchés.