Attrape-moi si tu peux : la conformité poursuit la crypto

Un comité d'experts débat des conflits entre les régulations cryptographiques et les préoccupations du monde réel.

Le 7 mars, le processeur de paiement Worldpay de FIS et son nouveau partenaire en conformité blockchain annoncé Shyft Network ont organisé leur Passez au Printemps de la Conformité FATF au The Shard à Londres.

La discussion, animée par Nabil Manji, responsable Crypto et Entreprises Emergentes chez Worldpay, a exploré l'impact du nouveau Groupe d'action financière (GAFI) directives concernant les prestataires de services d’actifs virtuels (PSAV). Un PSAV est, de manière générale, toute personne ou entreprise qui échange des actifs virtuels contre des devises fiduciaires ou d’autres actifs virtuels, qui s’occupe de la garde ou de l’administration des actifs virtuels, ou qui participe à la fourniture de services financiers liés à une offre ou une vente d’actifs virtuels émise par un émetteur (comme un administrateur ou un garant). Le GAFI est reconnu comme étant « le chien de garde mondial du blanchiment d’argent et du financement du terrorisme ». Ses membres comprennent 37 nations, l’Union européenne et le Conseil de coopération du Golfe.

L'application d'une réglementation couramment appelée était au centre de l'attentionla règle du voyage, qui exige que toutes les institutions financières transmettent certaines informations client à l’institution financière suivante dans la chaîne de transfert. Tous les pays du G7 disposent d’une version étroitement harmonisée de la règle de voyage, qui précède de loin les cryptomonnaies. Les entreprises financières domiciliées dans tout pays s’appuyant sur les membres du G7 pour le capital – soit pratiquement le monde entier – adoptent les dispositions de la règle de voyage à leurs propres rythmes individuels. Dans de nombreux cas, ces rythmes se sont accélérés au cours des dernières semaines.

« L’essence même de la règle de voyage est d’identifier les actifs cryptographiques lors de leur transfert ou échange », a expliqué Sophie Lessar, panéliste et associée chez DLA Piper. « L’exigence est que l’expéditeur et le bénéficiaire d’un actif échangé ou négocié soient identifiables, et que cette identification accompagne cet actif tout au long de son parcours. »

Règle de voyage du GAFI : Nous « la voyons maintenant, en direct »

À la suite de son invasion de l'Ukraine, la Russie est confrontée à une multiplication des sanctions économiques de la part d'un monde presque unanime dans sa condamnation de l'action, mais réticent à s'engager dans le conflit. Les sanctions, cependant, ne sont exécutoires que si leurs violations peuvent être retracées. Ce réalignement soudain des priorités pourrait avoir donné de nouvelles incitations aux VASP réticents à se conformer à la règle de voyage ainsi qu'aux pays lents à l'appliquer. Cela a conduit à une ruée pour adopter et embrasser la réglementation parmi les parties qui n'avaient pas fait beaucoup de progrès à ce jour. Cette ruée a engendré une grande incertitude.

« Nous le voyons maintenant, en direct. Nous ne savons pas à quoi nous attendre. Nous avons non seulement des institutions financières, mais aussi des entreprises cryptographiques qui essaient de comprendre tout cela au fur et à mesure que nous avançons et voyons ce que les régulateurs publient », a déclaré Liz Eber, conseillère principale en réglementation crypto chez Worldpay. « Nous n’avons jamais été aussi alignés au niveau mondial en ce qui concerne les sanctions. » Qualifiant le GAFI de « l’organisme mondial le plus influent dont vous n’avez jamais entendu parler », David Lewis a expliqué comment cette organisation ne propose ni n’applique de lois. Elle fait plutôt des recommandations aux gouvernements souverains sur les politiques générales qu’ils devraient mettre en œuvre. Avec le soutien de toutes les nations les plus riches du monde, cependant, ses recommandations ont un poids immense. C’est au niveau supranational que le GAFI fait connaître ses évaluations, et il appartient ensuite à chaque régulateur bancaire national d’en assurer la conformité.

« Ceux [pays] qui performent très mal seront nommés et discrédités. Cela peut avoir un impact négatif sur les flux de capitaux pour des pays entiers, que le [Fonds Monétaire International] évalue à environ 7-8 % du PIB », selon Lewis qui, ces dernières semaines, est passé de son poste d’ancien secrétaire exécutif du GAFI à un nouveau rôle chez cabinet de conseil Kroll.

L’« appel à l’action » – nom interne du GAFI pour sa liste noire – n’a pas été mis à jour depuis avant la pandémie de COVID-19. Depuis deux ans, elle est figée à deux noms : la Corée du Nord et l’Iran. Vingt-trois autres pays sont surveillés sur une « liste grise », dont la Russie (un membre du GAFI) ne faisait pas partie. Dans une déclaration publiée la semaine précédant l’événement Worldpay-Shyft, le GAFI a exprimé « une profonde tristesse » et une « grave préoccupation », notant qu’il « revoit le rôle de la Russie au sein du GAFI et examinera les mesures futures nécessaires pour défendre [ses] valeurs fondamentales. »

Une question de temps et de lieu

Parce que la règle de voyage a été rédigée pour les institutions financières traditionnelles, il existe certaines considérations pratiques lors de son application aux VASP. Un document produit par le GAFI la semaine précédant le panel énumère 40 recommandations distinctes plus 75 pages de notes interprétatives, tout en réussissant néanmoins à rester délibérément vague, selon le consensus des intervenants. Pour commencer, la règle ne s'applique qu'aux prestataires de services qui sont notamment des intermédiaires. Toutefois, les plateformes d'échange ne sont pas les seules entreprises qui pourraient être considérées comme des VASP. Tous, des fournisseurs de portefeuilles aux créateurs de NFT, pourraient entrer dans cette catégorie, en fonction de l'interprétation, pour ne pas dire de la rédaction, des lois propres à chaque pays.

En fin de compte, chaque pays détermine sa propre voie vers la conformité aux normes du GAFI ainsi que la formulation précise de sa version de la règle de voyage. « Le Canada est déjà en vigueur ; la Corée du Sud sera en pleine mise en œuvre à la fin du mois de mars. D’autres ne verront cela qu’au bout d’un an ou plus », selon Joseph Weinberg, cofondateur de Shyft. « Vous avez besoin de systèmes capables d’éliminer le ‘problème du lever de soleil’ de sorte qu’il importe peu où vous vous trouvez, vous puissiez vous conformer aujourd’hui, demain, mais aussi simultanément dans le passé. » Il souligne que les blockchains et les contrats intelligents sont des outils prometteurs pour garantir la réconciliation rétroactive. Pourtant, concilier les préoccupations des régulateurs avec celles de la population au caractère plus libertaire de l’espace cryptographique reste une pratique semée à la fois de risques de conformité et de risques liés à la fidélisation des clients. « Il y aura toujours des frictions », a reconnu Joe Anzures, responsable de Crypto.com Amérique du Nord. « Nous écoutons beaucoup nos clients. Je pense qu’ils comprennent ce que nous demandons. »

Nabil Manji a demandé, « Parce que vous procédez par ordre, vous serez hors conformité pendant un certain temps dans certaines juridictions de moindre priorité ou de plus petite taille. Est-ce une réalité potentielle ? » Sameer Dubey, directeur des opérations de la plateforme d’échange de cryptomonnaies Bitstamp a répondu : « Certains régulateurs pourraient être plus enclins à ce que vous adoptiez une approche progressive, auquel cas vous pouvez démontrer que vos autres politiques sont suffisamment efficaces pour atteindre les mêmes résultats. C’est une réalité à laquelle vous devrez faire face avec une priorisation appropriée et des compromis entre les résultats pour les clients et ceux pour la régulation. »

Lorsque les politiques s'affrontent …

Le panel a abordé un autre problème lié à la règle de voyage : son conflit avec les lois sur la confidentialité. Les mêmes données ne peuvent pas être à la fois privées par la loi – comme l'exige le Règlement Général sur la Protection des Données (RGPD) – et un sujet de registre public par la loi – comme l'exige la règle de voyage. Bien que le RGPD ait force de loi uniquement au sein de l'UE, il est devenu de facto une norme internationale, tout comme la règle de voyage. Ce n'était sans doute qu'une question de temps avant que ce conflit ne devienne un enjeu majeur, mais avec l'essor des cryptomonnaies et l'appel aux sanctions contre la Russie, le moment est arrivé.

La Grande-Bretagne, qui a récemment fait sécession de l'UE, possède une expérience unique dans l'harmonisation de ses lois avec celles de son voisin et principal partenaire commercial. « Je peux témoigner de la manière dont la version proposée de la [règle de voyage] au Royaume-Uni tente de gérer certaines de ces tensions », déclare Arvin Abraham, associé du cabinet d'avocats McDermott Will & Emery. « En tant que VASP, vous devez conserver ces données pendant cinq ans, puis, après ces cinq ans – en partie en raison du RGPD – vous devez les supprimer. »

Le fait demeure que les données existent. La crypto n’a jamais été aussi anonyme que ses premiers défenseurs l’espéraient, et les outils de suivi des régulateurs s’améliorent. Lewis en tire de l’espoir. « La régulation stimule la croissance des entreprises », a déclaré le consultant de Kroll. « Elle ne freine pas. »