Source: OJ L, 2025/303, 20.2.2025Current language: FR
RTS on notification of crypto-asset service provision
RÈGLEMENT DÉLÉGUÉ (UE) 2025/303 DE LA COMMISSION
du 31 octobre 2024
complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les informations que certaines entités financières doivent inclure dans la notification de leur intention de fournir des services sur crypto-actifs
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937(1)JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj., et notamment son article 60, paragraphe 13, troisième alinéa,
considérant ce qui suit:
Considérant 1Detailed yet proportionate CASP notification information
Afin de permettre aux autorités compétentes d’évaluer si certaines entités financières prévoyant de fournir des services sur crypto-actifs satisfont aux exigences applicables énoncées au titre V et, le cas échéant, au titre VI du règlement (UE) 2023/1114, les informations que ces entités doivent inclure dans la notification de leur intention de fournir ces services doivent être suffisamment détaillées et complètes, sans toutefois imposer de charge excessive.
Considérant 2Programme of operations and marketing strategy details
Conformément à l’article 60, paragraphe 7, point a), du règlement (UE) 2023/1114, une notification de l’intention de fournir des services sur crypto-actifs doit contenir un programme d’activité. Afin de dresser un tableau complet des activités que l’entité à l’origine de la notification prévoit d’entreprendre, le programme d’activité doit comprendre une description de la structure organisationnelle de l’entité, sa stratégie de fourniture de services sur crypto-actifs à ses clients ciblés et sa capacité opérationnelle pour les trois années suivant la date de la notification. En ce qui concerne la stratégie utilisée pour cibler les clients, l’entité à l’origine de la notification devrait décrire les moyens de commercialisation qu’elle compte utiliser, tels que les sites web, les applications pour téléphones mobiles, les réunions en face à face, les communiqués de presse ou toute forme de moyen physique ou électronique, y compris les outils de campagne sur les médias sociaux, les annonces et bandeaux publicitaires sur l’internet, le reciblage publicitaire, les accords avec des influenceurs, les accords de parrainage, les appels vocaux, les webinaires, les invitations à participer à un événement, les campagnes d’affiliation, les techniques de ludification, les invitations à remplir un formulaire de réponse ou à suivre une formation, les comptes de démonstration ou le matériel pédagogique.
Considérant 3Stress scenarios in forecast accounting plan
Afin de permettre aux autorités compétentes d’évaluer la résilience de l’entité à l’origine de la notification face aux chocs financiers externes, y compris ceux concernant la valeur des crypto-actifs, l’entité à l’origine de la notification devrait inclure dans sa notification des scénarios de crise simulant des événements graves, mais plausibles, dans son plan comptable prévisionnel.
Considérant 4Business continuity and disruption resilience arrangements
Afin d’éviter des interruptions d’activités, qui peuvent avoir des conséquences financières, réglementaires et de réputation majeures pour l’entité à l’origine de la notification et, plus généralement, les marchés de crypto-actifs, il est primordial de maintenir les activités ou, à tout le moins, les fonctions essentielles des prestataires de services sur crypto-actifs et de réduire au minimum les temps d’arrêt dus à des perturbations inattendues, y compris des cyberattaques et des catastrophes naturelles. Une notification devrait donc contenir des informations détaillées sur les dispositions prises par l’entité à l’origine de la notification pour garantir la continuité et la régularité de la fourniture de services sur crypto-actifs, y compris une description détaillée des risques auxquels elle peut être exposée et de ses plans de continuité des activités.
Considérant 5AML and counter-terrorist financing mechanisms disclosure
Des mécanismes, systèmes et procédures efficaces, conformes à la directive (UE) 2015/849 du Parlement européen et du Conseil(2)Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj). sont nécessaires pour garantir que les entités à l’origine de la notification s’attaquent de manière appropriée aux risques et aux pratiques de blanchiment de capitaux et de financement du terrorisme dans le cadre de la fourniture de services sur crypto-actifs. Par conséquent, les entités à l’origine d’une notification devraient fournir, dans cette notification, des informations détaillées sur les mécanismes, systèmes et procédures qu’elles ont mis en place pour prévenir les risques liés à leurs activités commerciales en ce qui concerne, entre autres, la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Considérant 6Cybersecurity resources and ICT outsourcing transparency
En raison de la nature décentralisée et numérique des crypto-actifs, les risques en matière de cybersécurité pour les prestataires de services sur crypto-actifs sont importants et prennent de nombreuses formes. Afin de garantir que l’entité à l’origine de la notification est en mesure de prévenir les violations de données et les pertes financières susceptibles d’être causées par des cyberattaques, les informations sur les systèmes de TIC déployés par l’entité à l’origine de la notification et les dispositifs de sécurité correspondants, notamment l’identité et la localisation géographique des prestataires de services, la description des activités externalisées ou les services TIC avec leurs principales caractéristiques et la copie des accords contractuels, telles que visées à l’article 60, paragraphe 7, point c), du règlement (UE) 2023/1114, devraient inclure les ressources humaines allouées à la gestion des risques en matière de cybersécurité.
Considérant 7Safeguarding and segregation of clients’ assets
La ségrégation des crypto-actifs et des fonds des clients protège ces derniers contre les pertes du prestataire de services sur crypto-actifs et contre l’utilisation abusive de leurs crypto-actifs et de leurs fonds. L’article 70 du règlement (UE) 2023/1114 impose donc aux prestataires de services sur crypto-actifs de prendre des dispositions adéquates pour protéger les droits de propriété des clients. Cette exigence s’applique également aux prestataires de services sur crypto-actifs qui ne fournissent pas de services de conservation et d’administration.
Considérant 8Detailed operating rules for crypto-asset trading platforms
Afin de permettre aux autorités compétentes d’évaluer l’adéquation des règles de fonctionnement définies par l’entité à l’origine de la notification pour ses plates-formes de négociation de crypto-actifs, cette dernière devrait détailler certains éléments dans la description de ces règles. En particulier, elle devrait préciser les aspects des règles de fonctionnement relatifs à l’admission à la négociation, à la négociation elle-même et au règlement des crypto-actifs. En ce qui concerne l’admission à la négociation de crypto-actifs, l’entité à l’origine de la notification devrait fournir des informations détaillées sur la conformité des crypto-actifs admis avec ses règles, sur les types de crypto-actifs qu’elle n’admettra pas sur sa plate-forme de négociation et sur les raisons de ces exclusions, ainsi que sur les frais d’admission à la négociation. En ce qui concerne la négociation de crypto-actifs, l’entité à l’origine de la notification devrait préciser les éléments des règles de fonctionnement régissant l’exécution et l’annulation des ordres, la négociation ordonnée, la transparence et les enregistrements. Enfin, l’entité à l’origine de la notification devrait inclure dans la description de ses règles de fonctionnement les éléments régissant le règlement des transactions sur crypto-actifs conclues sur sa plate-forme de négociation, en indiquant notamment si ce règlement est initié à l’aide de la technologie des registres distribués (DLT pour «Distributed Ledger Technology»), le délai d’initiation de l’exécution, la définition du moment où le règlement est définitif, toutes les vérifications requises pour garantir le règlement effectif de la transaction et les mesures prises pour limiter les défauts de règlement.
Considérant 9Operational arrangements for specific crypto-asset services
Afin de permettre aux autorités compétentes d’évaluer l’adéquation de l’entité à l’origine de la notification pour la fourniture de certains services sur crypto-actifs tels que l’échange de crypto-actifs contre des fonds ou d’autres crypto-actifs, l’exécution, la fourniture de conseils en crypto-actifs ou la gestion de portefeuille de crypto-actifs et les services de transfert, l’entité à l’origine de la notification devrait préciser les modalités de fourniture de ces services sur crypto-actifs ainsi que les dispositifs mis en place pour garantir que ladite entité respecte les dispositions pertinentes du règlement (UE) 2023/1114 en ce qui concerne la fourniture de ces services sur crypto-actifs.
Considérant 10Compliance with EU personal data protection rules
Tout traitement des données à caractère personnel au titre du présent règlement est conforme aux exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil(3)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj)..
Considérant 11Regulation based on ESMA draft technical standards
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité européenne des marchés financiers (AEMF), qui a été élaboré en étroite coopération avec l’Autorité bancaire européenne.
Considérant 12ESMA consultation and stakeholder cost-benefit analysis
L’AEMF a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil(4)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..
Considérant 13Consultation of the European Data Protection Supervisor
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(5)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et fait part de ses observations formelles le 21 juin 2024,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierProgramme d’activité
- Article 2Plan de continuité des activités
- Article 3Détection et prévention du blanchiment de capitaux et du financement du terrorisme
- Article 4Systèmes de TIC et dispositifs de sécurité correspondants
- Article 5Ségrégation et garde des crypto-actifs et des fonds des clients
- Article 6Politique de conservation et d’administration
- Article 7Règles de fonctionnement de la plate-forme de négociation et détection des abus de marché
- Article 8Échange de crypto-actifs contre des fonds ou contre d’autres crypto-actifs
- Article 9Politique d’exécution
- Article 10Fourniture de conseils en crypto-actifs ou fourniture de services de gestion de portefeuille de crypto-actifs
- Article 11Services de transfert
- Article 12Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
- la conservation et l’administration de crypto-actifs pour le compte de clients;
- l’exploitation d’une plate-forme de négociation de crypto-actifs;
- l’échange de crypto-actifs contre des fonds;
- l’échange de crypto-actifs contre d’autres crypto-actifs;
- l’exécution d’ordres sur crypto-actifs pour le compte de clients;
- le placement de crypto-actifs;
- la réception et la transmission d’ordres sur crypto-actifs pour le compte de clients;
- la fourniture de conseils en crypto-actifs;
- la fourniture de services de gestion de portefeuille de crypto-actifs;
- la fourniture de services de transfert de crypto-actifs pour le compte de clients;