Cybersécurité : les changements pour votre PSAN au 1er janvier 2024
Enregistrement obligatoire : quels sont les services sur actifs numériques concernés ?
Rappel sur les services concernés
Pour rappel, les exigences des articles L-54-10-2 et L-54-10-3 du Code Monétaire et Financier ont introduits, en 2019, avec la loi PACTE :
- L’ obligation d’enregistrement des Prestataires de Services sur Actifs Numériques (PSAN) proposant leurs services aux Français ;
- La définition des quatre (04) services sur actifs numériques concernés par cette obligation.
L’enregistrement obligatoire concerne les services suivants :
- Service de conservation pour le compte de tiers d’actifs numériques ou d’accès à des actifs numériques, le cas échéant sous la forme de clés cryptographiques privées, en vue de détenir, stocker et transférer des actifs numériques ;
- Service d’achat ou de vente d’actifs numériques en monnaie ayant cours légal ;
- Service d’échange d’actifs numériques contre d’autres actifs numériques ;
- Exploitation d’une plateforme de négociation d’actifs numériques.
La transition vers l’enregistrement PSAN renforcé est introduite et s’applique en 2024 dans l’intérêt des utilisateurs
Les prestataires de services sur actifs numériques (PSAN) doivent se conformer à deux types d’enregistrement obligatoire, conformément aux articles L54-10-2 et L54-10-3 du Code monétaire financier (CMF) et à la loi « DDADUE » :
- Enregistrement obligatoire : Il concerne les prestataires de services sur actifs numériques qui proposent les services suivants :
- Service de Conservation pour le Compte de Tiers : Il s’agit de la détention, du stockage, et du transfert d’actifs numériques pour le compte de tiers, y compris sous forme de clés cryptographiques privées.
- Service d’Achat ou de Vente d’Actifs Numériques en Monnaie Légale : Ce service englobe les transactions d’actifs numériques en échange de monnaie ayant cours légal.
- Service d’Échange d’Actifs Numériques : Il concerne les opérations d’échange entre différents types d’actifs numériques.
- Exploitation d’une Plateforme de Négociation d’Actifs Numériques : Cela englobe l’exploitation de plateformes où se déroulent les négociations d’actifs numériques.
- Enregistrement “renforcé” obligatoire : Il est imposé par la loi « DDADUE » à partir du 1er janvier 2024. Ce nouveau régime d’enregistrement renforcé est plus strict que le régime d’enregistrement obligatoire initial. Les PSAN souhaitant proposer leurs services aux Français ont dû se conformer à ces nouvelles exigences dès le 1er juillet 2023. Les nouvelles exigences incluent notamment la mise en place d’un dispositif de sécurité et de contrôle interne adéquat, d’un système de gestion des conflits d’intérêts, et d’un système informatique résilient et sécurisé. Les PSAN doivent également communiquer des informations claires, exactes et non trompeuses à leurs clients, publier leur politique tarifaire, et mettre en place une politique de traitement de leurs réclamations.
Ce qui change avec l’enregistrement renforcé
Exigences pour tous les PSAN
1. Exigences de cybersécurité
En tant que PSAN, vous êtes désormais tenus de respecter des obligations en matière de cybersécurité, comprenant plusieurs aspects cruciaux.
En premier lieu, les PSAN doivent mettre en œuvre un dispositif de sécurité et de contrôle interne adéquat afin de garantir la protection des actifs numériques de leurs clients. Ce dispositif vise à assurer la sécurité des transactions et la confidentialité des données, offrant ainsi une protection robuste contre les menaces potentielles.
Un autre élément essentiel de ces obligations concerne la mise en place d’un système de gestion des conflits d’intérêts. Les PSAN doivent établir des mécanismes efficaces pour prévenir et résoudre les situations de conflit d’intérêts, assurant ainsi la transparence et l’équité dans leurs opérations.
Sur le plan de la sécurité informatique, les PSAN doivent instaurer un système informatique résilient et sécurisé. Ceci vise à protéger de manière proactive les actifs numériques des clients contre les cyberattaques, garantissant une infrastructure informatique solide et capable de résister aux menaces potentielles.
La communication joue également un rôle crucial dans ces obligations. Les PSAN doivent fournir à leurs clients des informations claires, exactes et non trompeuses concernant les services qu’ils proposent. Cette transparence renforce la confiance des clients et contribue à une relation clientèle solide et durable.
En parallèle, les PSAN sont tenus d’avertir leurs clients sur les risques associés aux actifs numériques. Cette démarche vise à informer pleinement les clients des éventualités et à promouvoir une prise de décision éclairée en matière d’investissement dans le domaine des actifs numériques.
Enfin, la publication des politiques tarifaires constitue une exigence supplémentaire. Les PSAN doivent rendre publiques leurs politiques tarifaires, offrant ainsi une transparence totale sur les coûts et les frais associés à leurs services. Cette mesure favorise une relation commerciale ouverte et honnête avec les clients, renforçant ainsi la confiance et la crédibilité des PSAN.
Les PSAN doivent rédiger un rapport d’audit de cybersécurité rédigé par un prestataire certifié par l’ANSSI dans le cadre de la cybersécurité. Ce rapport est essentiel lors de la demande initiale d’inscription et lors de chaque renouvellement, mettant l’accent sur l’importance de la sécurité des actifs numériques.
Il est également nécessaire de mettre en place des politiques certifiées par un prestataire de services agréé par l’ANSSI afin de garantir la sécurité des actifs numériques des clients. Les mesures de sécurité doivent être conformes aux exigences strictes établies par l’ANSSI, ce qui renforcera les mesures de sécurité.
2. Autres exigences
Pour garantir la transparence, la sécurité et la conformité de leurs services, les PSAN sont tenus de respecter un certain nombre d’obligations en commençant par créer et mettre en œuvre une politique de gestion des réclamations des clients. Pour garantir une amélioration constante, cette politique, clairement définie et communiquée aux clients, doit être actualisée régulièrement en fonction des commentaires des clients.
La loi « DDADUE » a ajouté de nouvelles exigences aux PSAN, qui nécessitent un enregistrement renforcé afin de maintenir leur statut. Les exigences spécifiques à cet enregistrement renforcé, qui couvrent tous les services sur actifs numériques, y compris celles liées à la conservation d’actifs numériques, sont détaillées.
Enfin, tout traitement de données personnelles nécessite une analyse de l’impact RGPD. Pour permettre aux PSAN de mettre en place des mesures d’atténuation conformément aux normes RGPD, cette analyse vise à identifier les risques pour les droits et libertés des personnes concernées.
Exigences spécifiques aux PSAN fournisseurs de services de conservation d’actifs numériques
En tant que PSAN fournisseurs de services de conservation d’actifs numériques sont tenus de respecter plusieurs obligations cruciales pour assurer la sécurité et la transparence des services offerts.
- Tout d’abord, ils doivent établir une convention détaillée définissant les missions et les responsabilités avec les clients, qui doit être clairement communiquée et régulièrement mise à jour en fonction des retours des clients.
- De même, la création d’une politique de conservation est indispensable, et cette politique doit être clairement définie, communiquée aux clients et régulièrement améliorée en fonction des commentaires clients.
Une garantie fondamentale exigée est la ségrégation stricte des actifs clients de ceux de l’entreprise. Les PSAN doivent assurer que les actifs clients sont conservés séparément, et en cas de problème imputable au conservateur, la restitution rapide des actifs numériques est impérative, réalisée dans les meilleurs délais. L’utilisation de portefeuilles ségrégués est une autre mesure essentielle pour détenir distinctement les actifs numériques des clients de ceux de l’entreprise, renforçant ainsi la garantie de ségrégation des actifs clients.
Une interdiction claire est imposée quant à l’utilisation des actifs clients sans le consentement préalable exprès des clients. Cette mesure est cruciale pour garantir la sécurité et la confiance des clients dans la protection de leurs actifs numériques. Dans l’ensemble, ces obligations démontrent l’engagement des PSAN envers des pratiques sûres et transparentes, renforçant la confiance des clients dans l’utilisation de leurs services de conservation d’actifs numériques.
Apport de l’enregistrement renforcé
Le renforcement de la procédure d’enregistrement des PSAN a plusieurs avantages :
- Tout d’abord, il permet aux acteurs opérant en France de se rapprocher des exigences du règlement européen sur les marchés de crypto-actifs (MiCA).
- Cela permet aux PSAN de mieux se conformer aux exigences réglementaires européennes. Ensuite, l’enregistrement renforcé est un gage de crédibilité et de sérieux pour les PSAN établis en France.
- Cela permet aux PSAN de renforcer leur image de marque et de rassurer les clients quant à la sécurité de leurs actifs numériques. Enfin, l’enregistrement renforcé peut offrir un avantage compétitif potentiel aux PSAN sur le marché européen. Les PSAN établis en France peuvent se conformer aux exigences réglementaires européennes plus facilement que les PSAN établis dans d’autres pays.
Les PSAN fournisseurs de services de conservation d’actifs numériques ont également des obligations spécifiques à respecter. Ils doivent établir une convention définissant les missions et les responsabilités avec les clients. Cette convention doit être clairement définie et communiquée aux clients. Ils doivent également établir une politique de conservation, garantir la ségrégation des actifs clients de ceux de l’entreprise, restituer rapidement les actifs numériques en cas de problème imputable au conservateur, utiliser des portefeuilles ségrégués pour détenir distinctement les actifs numériques de leurs clients de ceux qu’ils détiennent en propre, et sont interdits d’utiliser les actifs clients sans consentement préalable exprès des clients.
Les PSAN ont également d’autres obligations, telles que l’établissement et la mise en œuvre d’une politique de gestion des réclamations des clients, le respect des nouvelles obligations introduites par la loi « DDADUE », l’élaboration d’un rapport d’audit de cybersécurité, la mise en place de politiques de sécurité de l’information réalisées par un prestataire de services certifié par l’ANSSI, et la réalisation d’une analyse d’impact RGPD.
Elargissement des pouvoirs de l’AMF
L’AMF a élargi ses pouvoirs pour mieux encadrer les PSAN. Elle est désormais habilitée à vérifier la cybersécurité des PSAN enregistrés et solliciter à cette fin l’avis de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information0. Elle peut désormais suspendre l’enregistrement des PSAN menaçant gravement la stabilité du marché des actifs numériques.
L’AMF réfléchit également à un éventuel agrément MiCA facilité (« fast-track ») entre le statut de PSAN agréé et le statut de prestataires de services sur crypto-actifs (PSCA), visant à faciliter la transition des PSAN agréés vers le Règlement MiCA. Enfin, l’AMF accompagne les acteurs en fournissant des conseils et du soutien pour l’obtention de l’agrément et la conformité aux nouvelles exigences réglementaires.
Le cabinet Alcees vous accompagne dans le cadre de l’intégration de la cybersécurité et de la protection des données à caractère personnel dans vos projets informatiques/data/IA.
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Partager cette publication à un collègue ou une connaissance
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.