Prestataires de services sur crypto-actifs : le guide complet

Étape décisive dans la régulation des crypto-monnaies, le règlement MiCA (Markets in Crypto-Assets) harmonise et encadre au niveau européen les prestataires de services sur crypto-actifs (PSCA).
Décryptage complet de ce statut plus exigeant en matière de sécurité, de transparence et de protection des utilisateurs.

Le règlement MiCA introduit un passeport réglementaire valable dans les 27 États membres de l’Union européenne : une fois agréé en tant que PSCA dans un État membre, un opérateur peut fournir ses services dans les autres pays de l’UE via un mécanisme de notification, sans devoir solliciter un nouvel agrément local.

Par exemple, une fois agréé en France, un opérateur peut notifier son intention de servir des clients allemands, italiens ou espagnols. L’autorité française transmet l’information aux autorités des États d’accueil, sans nouvel examen de fond. Ce mécanisme simplifie considérablement l’expansion européenne des acteurs crypto.

Les entités agréées PSCA endossent une responsabilité essentielle : mettre en place des dispositifs destinés à renforcer la protection des clients et la sécurité opérationnelle des actifs. L’AMF vérifie la solidité financière des candidats, l’honorabilité de leurs dirigeants et la robustesse de leurs processus opérationnels avant de délivrer l’agrément, véritable gage de confiance.

MiCA soumet à autorisation les catégories de prestations suivantes :

• La conservation et l’administration de crypto-actifs pour le compte de clients.
• L’exploitation d’une plateforme de négociation de crypto-actifs.
• L’échange de crypto-actifs contre des monnaies ayant cours légal ou contre d’autres crypto-actifs.
• L’exécution d’ordres sur crypto-actifs pour le compte de clients.
• Le placement de crypto-actifs.
• La réception et la transmission d’ordres sur crypto-actifs pour le compte de clients.
• La fourniture de conseils en crypto-actifs.
• La gestion de portefeuille de crypto-actifs sous mandat.
• Le transfert de crypto-actifs pour le compte de clients.

Le régime PSAN constituait une initiative française pionnière mais limitée au territoire national. L’introduction de PSCA sous MiCA harmonise et dynamise le marché européen :

• Passeport permettant d’opérer dans toute l’Europe via notification.
• Standards de gouvernance et de sécurité renforcés.
• Protection client renforcée.

Ce nouveau cadre harmonisé réduit les disparités entre pays membres et facilite le développement d’acteurs à l’échelle européenne.

MiCA établit un standard exigeant pour l’ensemble des acteurs. Les opérateurs agréés PSCA sont soumis aux mêmes principes déontologiques que les prestataires de services financiers traditionnels : loyauté, transparence et primauté de l’intérêt client.

Depuis décembre 2024, fournir des services sur crypto-actifs dans l’Union européenne sans agrément PSCA est illégal. Cette obligation vise un double objectif : assainir le marché en écartant les opérateurs peu scrupuleux et instaurer des règles communes pour faciliter la concurrence loyale entre acteurs établis.

La transparence documentaire devient la règle. Les opérateurs PSCA doivent fournir une information compréhensible et non trompeuse, et expliquer clairement les risques liés aux crypto-actifs.

Pour les services de conseil et de gestion, une phase de qualification s’impose. L’opérateur doit comprendre la situation personnelle de chaque client avant de recommander une stratégie d’investissement.

La cybersécurité occupe une place centrale. Les protocoles de protection doivent respecter les standards DORA et RGPD. Isolation des fonds clients, authentification renforcée, surveillance continue pour prévenir toute intrusion ou vol d’actifs.

La lutte contre le financement illicite structure l’ensemble du dispositif réglementaire. L’ACPR supervise spécifiquement ce volet lors de l’instruction des demandes d’agrément. Les opérateurs doivent vérifier l’identité de leurs utilisateurs (KYC pour les personnes physiques ou KYB pour les entités juridiques), analyser en continu les flux de transactions et signaler immédiatement toute opération suspecte aux autorités compétentes.

Les systèmes de filtrage automatisé deviennent obligatoires. Intelligence artificielle, analyse comportementale, scoring de risque : les technologies de pointe permettent d’identifier les schémas transactionnels anormaux. Les clients présentant un profil à risque élevé font l’objet d’une vigilance approfondie avec des vérifications documentaires complémentaires.

Face à une alerte sérieuse, les opérateurs doivent agir sans délai. Suspension immédiate des transferts, gel temporaire des positions, enquête interne approfondie. Chaque action doit être documentée et signalée aux autorités compétentes.

Les opérateurs doivent garantir une transparence totale vis-à-vis des clients : grille tarifaire détaillée, informations complètes sur les projets soutenus (white papers) et délais de rétractation de 14 jours. La communication doit être claire et compréhensible. Les analyses d’impact environnemental constituent une bonne pratique supplémentaire pour renforcer la confiance des utilisateurs.

La procédure d’agrément PSCA est exigeante et s’inscrit dans un calendrier encadré. Le délai d’obtention peut varier significativement, pouvant aller jusqu’à neuf mois selon la complexité du dossier et les échanges avec le régulateur.

La demande d’agrément PSCA implique plusieurs phases successives et des échanges réguliers avec l’autorité de supervision.

Avant de constituer et de déposer le dossier, tout commence par une analyse approfondie. L’entreprise doit qualifier juridiquement ses activités au regard du référentiel MiCA, anticiper les obstacles réglementaires potentiels et dimensionner les ressources nécessaires. Cette cartographie préliminaire permet d’identifier d’emblée si l’agrément s’avère pertinent.

Un échange informel avec l’AMF peut s’avérer précieux à ce stade. Les équipes du régulateur peuvent clarifier certains points d’interprétation et éviter des erreurs d’orientation coûteuses en temps.

Le dossier de candidature combine plusieurs volets :

• Le business plan expose la stratégie commerciale, les sources de revenus anticipés et les projections financières.
• La gouvernance détaille la répartition des responsabilités, les lignes hiérarchiques et les fonctions de contrôle.
• Les procédures décrivent les dispositifs mis en place pour les contrôles internes et les aspects opérationnels, notamment : cybersécurité, détection des abus de marché, comptabilité, gestion des réclamations, prévention des conflits d’intérêts.
• Sur le plan financier, deux critères conditionnent l’éligibilité : disposer d’un capital permanent minimum dont le montant varie selon les services proposés (voir tableau ci-dessous), ou justifier de fonds propres représentant 25% des charges annuelles. Une police d’assurance adaptée peut remplacer tout ou partie de cette exigence capitalistique.

La gouvernance doit inspirer confiance :

• Dirigeants expérimentés dans la finance.
• Responsable conformité dédié.
• Comité d’audit indépendant.

L’organigramme reflète la maturité de l’organisation.

L’AMF centralise l’instruction, en coordination avec l’ACPR pour les aspects LCB-FT.

Les équipes d’analyse instruisent le dossier, vérifient la cohérence des informations et peuvent convoquer les dirigeants pour une audition. Ces entretiens permettent d’évaluer leur compréhension des enjeux réglementaires et leur capacité à piloter une structure complexe.

À l’issue de l’instruction, le collège de l’AMF statue sur l’octroi de l’agrément PSCA. Trois décisions sont possibles :

• Agrément sans réserve.
• Agrément assorti de conditions à satisfaire dans un délai donné.
• Refus motivé, susceptible de recours devant les juridictions administratives.

Face aux délais de la procédure initiale pour obtenir l’agrément, certains acteurs privilégient le rachat d’une structure déjà agréée. Cette opération présente des avantages tactiques mais reste soumise au contrôle du régulateur, notamment en cas de changement d’actionnariat ou de gouvernance.

Racheter un PSCA opérationnel peut permettre de réduire significativement le délai d’accès au marché. L’acquéreur hérite d’une infrastructure conforme, de procédures validées par le régulateur, et souvent d’une base clientèle existante. Les équipes en place maîtrisent les subtilités réglementaires et peuvent assurer la continuité d’exploitation. Sur le plan financier, cette option évite les coûts de constitution initiale : honoraires de conseil, développement informatique, recrutements spécialisés.

Au-delà de l’agrément lui-même, l’acquisition peut donner accès à des technologies propriétaires, des partenariats bancaires déjà établis et un savoir-faire opérationnel précieux.

Toute prise de participation significative dans un PSCA fait l’objet d’un contrôle par l’AMF. L’acquéreur doit notifier l’opération au régulateur qui procède à une analyse approfondie des éléments suivants :

• Profil des nouveaux actionnaires (honorabilité des repreneurs, capacité à diriger une entité réglementée).
• Origine des fonds.
• Validité et périmètre exact de l’agrément.
• Conformité effective aux obligations LCB-FT.
• Historique des échanges avec le régulateur.
• Solidité des systèmes informatiques.

Sur le plan fiscal, l’acquéreur doit s’assurer de l’absence de redressement en cours et de la correcte qualification fiscale des services fournis (notamment en matière de TVA).

Racheter un PSCA ne répond pas à toutes les situations. En effet, l’agrément reste attaché au périmètre d’activité initial. Toute évolution substantielle du modèle d’affaires peut nécessiter une modification d’agrément ou une autorisation complémentaire, impliquant un nouvel examen par le régulateur. Par exemple, un prestataire agréé pour la simple garde d’actifs ne peut pas lancer un service d’échange de crypto-monnaies sans autorisation complémentaire.

Le risque de passif caché représente l’autre écueil majeur. Amendes non provisionnées, litiges clients non déclarés, failles de sécurité non détectées, insuffisances du dispositif de contrôle interne : l’acquéreur peut hériter de risques susceptibles de se matérialiser après la transaction. Les garanties d’actif et de passif prévues dans l’acte de cession constituent un premier niveau de protection. Elles peuvent être complétées par des clauses spécifiques liées aux risques réglementaires.

MiCA constitue un socle harmonisé pour les prestataires de services sur crypto-actifs au niveau européen. Toutefois, son application pratique continue d’être précisée par les normes techniques (RTS et ITS), les orientations des autorités européennes et les questions-réponses publiées par les superviseurs.

Les prestataires doivent maintenir une veille réglementaire active, adapter leurs processus aux évolutions d’interprétation et investir dans la formation continue de leurs équipes.

Les technologies évoluent aussi : finance décentralisée, tokens non fongibles, stablecoins algorithmiques soulèvent des questions inédites que l’encadrement réglementaire devra progressivement clarifier au niveau européen.