Preamble Recitals

Afin de permettre aux autorités compétentes d’évaluer si les personnes morales ou autres entreprises sollicitant un agrément en tant que prestataire de services sur crypto-actifs en vertu de l’article 62 du règlement (UE) 2023/1114 (ci-après les «demandeurs») satisfont aux exigences applicables énoncées au titre V et, le cas échéant, au titre VI dudit règlement, les informations à fournir dans une demande d’agrément en tant que prestataire de services sur crypto-actifs présentée en vertu de l’article 62, paragraphe 1, dudit règlement (ci-après la «demande d’agrément») doivent être suffisamment détaillées et complètes, sans toutefois imposer de charge excessive.

La demande d’agrément devrait contenir des données sur l’identité du demandeur, son dispositif de gouvernance et ses mécanismes de contrôle interne, l’aptitude des membres de son organe de direction et l’honorabilité suffisante de ses actionnaires ou associés détenteurs d’une participation qualifiée. Conformément au principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679 du Parlement européen et du Conseil(²)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj)., ces informations devraient être suffisantes pour permettre aux autorités compétentes de procéder à une évaluation complète du demandeur et de sa capacité à se conformer aux exigences pertinentes du règlement (UE) 2023/1114. En outre, ces informations devraient suffire pour permettre aux autorités compétentes de vérifier qu’il n’existe aucune des raisons objectives et démontrables de refus de l’agrément visées à l’article 63, paragraphe 10, points a) à d), dudit règlement.

Afin de garantir que l’évaluation des autorités compétentes repose sur des informations exactes, les demandeurs devraient fournir des copies de leurs documents d’entreprise, incluant leur identifiant d’entité juridique, leurs statuts, une copie de leur inscription au registre national des sociétés et, lorsqu’ils ont l’intention d’exploiter une plate-forme de négociation, la dénomination commerciale utilisée.

Conformément à l’article 62, paragraphe 2, point d), du règlement (UE) 2023/1114, une demande d’agrément doit contenir un programme d’activité. Ce programme doit préciser la structure organisationnelle du demandeur, sa stratégie de fourniture de services sur crypto-actifs à des clients ciblés et sa capacité opérationnelle pendant les trois années suivant l’octroi de l’agrément. Lorsqu’ils précisent la stratégie utilisée pour cibler les clients, les demandeurs devraient, pour des raisons de transparence, décrire les moyens de commercialisation qu’ils comptent utiliser, y compris les sites web, les applications pour téléphones mobiles, les réunions en face à face, les communiqués de presse ou toute forme de moyen physique ou électronique, y compris les outils de campagne sur les médias sociaux, les annonces et bandeaux publicitaires sur l’internet, le reciblage publicitaire, les accords avec des influenceurs, les accords de parrainage, les appels vocaux, les webinaires, les invitations à participer à un événement, les campagnes d’affiliation, les techniques de ludification, les invitations à remplir un formulaire de réponse ou à suivre une formation, les comptes de démonstration ou le matériel pédagogique.

Afin de permettre aux autorités compétentes d’évaluer la résilience des demandeurs face aux chocs financiers externes, y compris ceux concernant la valeur des crypto-actifs, les demandeurs devraient inclure, dans leur demande d’agrément, des scénarios de crise simulant des événements graves, mais plausibles, dans leurs calculs prévisionnels et leurs plans de détermination de leurs fonds propres.

Les clients sont exposés à des risques liés aux prestataires de services sur crypto-actifs. Afin de permettre aux autorités compétentes d’évaluer si les demandeurs satisfont aux exigences prudentielles prévues par l’article 67 du règlement (UE) 2023/1114 pour protéger leurs clients contre ces risques, toute demande d’agrément devrait contenir des informations précisant les garanties prudentielles du demandeur.

En vue de garantir que les prestataires de services sur crypto-actifs respectent les obligations qui leur incombent en vertu du règlement (UE) 2023/1114, les demandeurs devraient démontrer qu’ils possèdent un dispositif de gouvernance et des mécanismes de contrôle interne adéquats et solides, notamment les dispositifs et mécanismes essentiels à une gestion saine et prudente de tels prestataires.

Dans le système des services financiers, le temps est précieux. Afin d’éviter les pannes, qui peuvent avoir des conséquences financières, réglementaires et de réputation majeures pour les prestataires de services sur crypto-actifs et les marchés de crypto-actifs en général, il est primordial de maintenir les activités ou, à tout le moins, les fonctions essentielles de ces prestataires et de réduire à un minimum les temps d’arrêt dus à des perturbations inattendues telles que les cyberattaques et les catastrophes naturelles. Une demande d’agrément devrait donc contenir des informations détaillées sur les dispositions prises par le demandeur pour garantir la continuité et la régularité de la fourniture de services sur crypto-actifs, notamment une description détaillée des risques auxquels il peut être exposé et de ses plans de continuité des activités.

Des mécanismes, systèmes et procédures efficaces, conformes à la directive (UE) 2015/849 du Parlement européen et du Conseil(³)Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n^o 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj). et au règlement (UE) 2023/1113 du Parlement européen et du Conseil(⁴)Règlement (UE) 2023/1113 du Parlement européen et du Conseil du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive (UE) 2015/849 (JO L 150 du 9.6.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj)., sont nécessaires pour garantir que les demandeurs s’attaquent de manière appropriée aux risques et aux pratiques de blanchiment de capitaux et de financement du terrorisme dans le cadre de la fourniture de services sur crypto-actifs. Par conséquent, les demandeurs devraient fournir, dans leur demande d’agrément, des informations détaillées sur les mécanismes, systèmes et procédures qu’ils ont mis en place pour prévenir les risques liés à leurs activités commerciales en ce qui concerne, entre autres, la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Conformément à l’article 62, paragraphe 2, point g), du règlement (UE) 2023/1114, une demande d’agrément doit contenir la preuve que les membres de l’organe de direction jouissent d’une honorabilité suffisante et possèdent les connaissances, les compétences et l’expérience adéquates pour diriger le prestataire de services sur crypto-actifs. En particulier, le demandeur devrait fournir aux autorités compétentes toutes les informations relatives aux condamnations pénales antérieures, ainsi qu’aux enquêtes pénales, affaires civiles et administratives, sanctions, mesures d’exécution et autres procédures juridictionnelles en cours, visant des membres de son organe de direction au titre du droit commercial, du droit de l’insolvabilité, ou du droit en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, de fraude ou de responsabilité professionnelle. Pour que les autorités compétentes reçoivent des informations adéquates sur l’honorabilité des membres de l’organe de direction, les demandeurs devraient leur fournir des informations sur toute affaire concernant directement ces membres ou concernant toute organisation au sein de laquelle ils ont occupé fait partie de l’organe de direction, dont ils ont été actionnaires ou associés détenteurs d’une participation qualifiée ou au sein de laquelle ils ont exercé une fonction clé. Pour garantir que les autorités compétentes reçoivent suffisamment d’informations sur les refus ou les retraits, entre autres, d’enregistrements, d’agréments ou d’affiliations en lien avec la fourniture de services sur crypto-actifs par les demandeurs, ceux-ci devraient leur fournir ces informations sur chaque membre de l’organe de direction. En outre, les demandeurs devraient fournir, pour chaque membre de l’organe de direction, des informations permettant aux autorités compétentes d’évaluer ses connaissances, compétences et expérience professionnelles au regard du poste visé, ainsi qu’une description de tous les intérêts financiers et non financiers de ce membre qui pourraient générer des conflits d’intérêts potentiels importants affectant significativement sa fiabilité dans l’exercice de son mandat.

En ce qui concerne l’exigence d’honorabilité des actionnaires et associés détenant directement ou indirectement une participation qualifiée dans le capital du demandeur, la demande d’agrément devrait contenir toutes les informations relatives à leurs condamnations antérieures et aux enquêtes pénales, affaires civiles et administratives et autres procédures juridictionnelles en cours dont ils font l’objet, ainsi que des informations pertinentes sur le caractère certain et l’origine légitime des fonds utilisés pour établir le demandeur et financer ses activités, de manière à permettre l’évaluation d’éventuelles tentatives ou suspicions de blanchiment de capitaux ou de financement du terrorisme.

En raison de la nature décentralisée et numérique des crypto-actifs, les risques en matière de cybersécurité pour les prestataires de services sur crypto-actifs sont importants et prennent de nombreuses formes. Pour que les demandeurs soient en mesure de prévenir les violations de données et les pertes financières susceptibles d’être causées par des cyberattaques, les informations sur les systèmes de TIC déployés par les demandeurs et les dispositifs de sécurité correspondants visées à l’article 62, paragraphe 2, point j), du règlement (UE) 2023/1114, devraient inclure les ressources humaines allouées à la gestion des risques en matière de cybersécurité.

La ségrégation des crypto-actifs et des fonds des clients protège ces derniers contre les pertes du prestataire de services sur crypto-actifs et contre l’utilisation abusive de leurs crypto-actifs et de leurs fonds. L’article 70 du règlement (UE) 2023/1114 impose donc aux prestataires de services sur crypto-actifs de prendre des dispositions adéquates pour protéger les droits de propriété des clients. Cette exigence s’applique également aux prestataires de services sur crypto-actifs qui ne fournissent pas de services de conservation et d’administration. Il est donc important que la demande d’agrément contienne des informations sur la ségrégation des crypto-actifs des clients.

Pour permettre aux autorités compétentes d’évaluer l’adéquation des règles de fonctionnement des plates-formes de négociation de crypto-actifs des demandeurs, ces derniers devraient détailler certains éléments dans la description de ces règles. En particulier, les demandeurs devraient préciser les aspects des règles de fonctionnement relatifs à l’admission à la négociation, à la négociation elle-même et au règlement des crypto-actifs. En ce qui concerne l’admission à la négociation de crypto-actifs, le demandeur devrait fournir des informations détaillées sur les règles régissant l’admission de crypto-actifs à la négociation, sur la conformité des crypto-actifs admis avec ses règles, sur les types de crypto-actifs qu’il n’admettra pas sur sa plate-forme de négociation et sur les raisons de ces exclusions, ainsi que sur les frais d’admission à la négociation. En ce qui concerne la négociation de crypto-actifs, les demandeurs devraient préciser les éléments des règles de fonctionnement relatifs à l’exécution et à l’annulation des ordres, à la négociation ordonnée, à la transparence et aux enregistrements. Enfin, les demandeurs devraient inclure dans la description de leurs règles de fonctionnement les éléments régissant le règlement des transactions sur crypto-actifs conclues sur leur plate-forme de négociation, en indiquant notamment si ce règlement est initié à l’aide de la technologie des registres distribués (DLT pour «Distributed Ledger Technology»), le délai d’initiation de l’exécution, la définition du moment où le règlement est définitif, toutes les vérifications requises pour garantir le règlement effectif de la transaction et les mesures prises pour limiter les défauts de règlement.

Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité européenne des marchés financiers, qui a été élaboré en étroite coopération avec l’Autorité bancaire européenne.

L’Autorité européenne des marchés financiers a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe des parties intéressées au secteur financier institué par l’article 37 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁵)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁶)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et fait part de ses observations formelles le 21 juin 2024,