Dossier: #Blockchain, quelle régulation en France? par @ThibVerbiest / De Gaulle Fleurance & Associés

0
2685
THIBAULT VERBIEST, AVOCAT ASSOCIÉ DU CABINET DE GAULLE, FLEURANCE, ET ASSOCIÉS. PHOTOGRAPHIE PRISE DANS LES LOCAUX DU CABINET D'AVOCATS DE GAULLE, FLEURANCE ET ASSOCIÉS, SIS, À PARIS 8e,

En juin dernier, un groupe de sept grandes banques, dont UBS, Santander et UniCredit, a effectué ses premiers paiements transfrontaliers en utilisant la technologie Blockchain.

C’est donc parti. Le monde bancaire vient de passer de la théorie à la pratique, dans une volonté de s’approprier la technologie blockchain plutôt que de se laisser dépasser, voire ubériser… 

Thibault VERBIEST , Partner du cabinet d’avocats De Gaulle Fleurance & Associés nous éclaire sur ce revirement de situation. Il fait un focus sur les enjeux de la régulation qui accompagnera cette transition en France.

Pour les banques, les applications concrètes de la Blockchain sont multiples : moins d’intermédiaires dans les transactions, donc moins de coûts de fonctionnement, des échanges plus rapides et plus sécurisés.

Caractérisé par une philosophie extrêmement disruptive des échanges sur un réseau distribué et ouvert comme l’est Internet, le bitcoin et son protocole associé la Blockchain (chaîne de blocs en français) considèrent qu’une autorité centrale supervisée par des humains, chargée de surveiller des transactions à caractère financier, représente une faiblesse parce que le système humain est corruptible et donc potentiellement défaillant.[1]

Le grand livre au cœur du protocole Blockchain permet d’automatiser les processus d’enregistrement de toutes sortes de transactions de manière sûre et en totale transparence.

L’objectif est de créer une nouvelle infrastructure de confiance décentralisée, anonyme, sûre et destinée à remplacer des infrastructures s’appuyant sur des tiers de confiance réputés coûteux et moins fiables.

Parmi ces tiers de confiance traditionnels, nous trouvons l’État dans son rôle régalien, qui tient de nombreux registres publics, soit directement soit par délégation (monnaie, état civil, sécurité sociale, impôts, propriété industrielle etc.), mais aussi les banques en première ligne sur les opérations de paiement, les assureurs, les notaires qui gèrent les contrats simples et complexes (achats immobiliers, héritages…), sans oublier les nombreux autres tiers de confiance du commerce sous toutes leurs formes qui se développent sur Internet. Les tiers de confiance de l’économie collaborative peuvent aussi être visés par les applications de la Blockchain (Uber, Airbnb, eBay…).

L’une des questions centrales est celle de la régulation. D’elle dépendra l’émergence ou non de cette nouvelle technologie très prometteuse.

Tour d‘horizon.

Les premières réactions des régulateurs : contrôler les plateformes d’échange et lutter contre le blanchiment

Force est de constater aujourd’hui une grande hétérogénéité d’approche des pays qui se posant des questions similaires y apportent des réponses divergentes. Il en est ainsi de la qualification juridique des monnaies virtuelles, des régimes fiscaux, de la régulation…

Point de définition commune, aucune définition certaine et donc pas d’autorités européennes ou nationales exerçant avec certitude des responsabilités de supervision et de sanctions.

Une chose est certaine : les monnaies virtuelles, comme le bitcoin, ne sont pas considérées en France et en Europe comme une monnaie au sens juridique, selon cette tautologie bien connue :

Article L. 111-1 (Code monétaire et financier) : « La monnaie de la France est l’euro. Un euro est divisé en cent centimes ».

La monnaie virtuelle, comme le bitcoin, n’est pas non plus en droit français et européen une monnaie électronique, telle que définie par la directive n° 2009/110/CE[2]  :

« …une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement […] et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique ».

La monnaie virtuelle n’est enfin pas une monnaie locale complémentaire au sens de la loi n° 2014-856 du 31 juillet 2014 relative à l’économie sociale et solidaire.

En revanche, l’Autorité de contrôle prudentiel et de régulation (ACPR), par une position adoptée le 29 janvier 2014[3], a considéré que l’achat et la vente de bitcoin contre de la monnaie légale devaient être qualifiés de fourniture de service de paiement. Dès lors l’établissement, la plate-forme qui convertit ainsi la monnaie virtuelle en monnaie réelle, doit disposer d’un agrément de prestataire de services de paiement et respecter les obligations prudentielles et règles de lutte contre le blanchiment et les activités criminelles.

Cette réaction était prévisible car aux yeux des États et des régulateurs financiers, la priorité à court terme est la lutte contre le blanchiment de capitaux et le financement du terrorisme[4].

Ainsi, le 4 juillet 2016, la Commission européenne a réitéré son intention d’inclure les plates-formes de change de monnaies virtuelles dans le champ d’application de la directive anti-blanchiment, afin de contraindre ces plates-formes à appliquer des mesures de vigilance à l’égard de la clientèle lors de l’échange de monnaies virtuelles contre des monnaies réelles[5].

Il est en effet relativement facile de contrôler les passerelles entre le monde anonyme des cryptomonnaies et celui du système financier traditionnel. Plus difficile est de réguler l’éco-système bitcoin lui-même dès lors qu’il pourrait se passer de l’ancien (ce qui n’est pas le cas aujourd’hui).

 

Reconnaître une valeur légale aux opérations inscrites sur la blockchain

Fondamentalement, la blockchain offre deux fonctions : une fonction de registre authentifiant et une fonction d’automatisation décentralisée (ce qu’on appelle les « smart contracts »).

Les smarts contracts sont des codes informatiques « reliés » à la blockchain et qui permettent d’exécuter de manière automatique tout ou partie d’un contrat préexistant (celui-ci pouvant être tacite ou écrit, le cas échéant inscrit sur la blockchain à titre de preuve).

La question de leur reconnaissance légale est régie par le Code civil et son régime de la preuve [6]. En (très) résumé, rien ne s’oppose à la reconnaissance d’un « contrat intelligent », à condition que les parties puissent être identifiées, et sauf les contrats authentiques (voir infra).

La question centrale est donc celle de l’identification, sur un réseau qui garantit normalement l’anonymat des parties : celles-ci ne sont « représentées » que par une clé publique.

Cette clé n’est pas reliée à une personne physique or morale pour assurer l’identification de l’auteur de l’acte, comme dans le régime légal de la signature électronique. En effet, pour qu’une signature électronique ait force probante, elle doit bénéficier d’une présomption de fiabilité, laquelle résulte de l’usage d’un procédé d’identification établi grâce à un dispositif sécurisé de création de signature électronique et permettant la vérification de cette signature par l’utilisation d’un certificat électronique délivré par un prestataire qualifié[7].

En d’autres termes, pour qu’un contrat conclu via la blockchain soit valable, il faudrait une identification des parties, assurée soit, de manière certaine, par une signature électronique « légale » (qui suppose l’intervention d’un tiers de confiance), soit par un autre procédé laissé à l’appréciation du juge.

Il est à noter qu’en pratique, aujourd’hui, l’identification existe sur la plupart des plateformes d’échange, selon des procédures KYC en ligne validées par les autorités de contrôle compétentes (voir supra).

Le second obstacle juridique à la reconnaissance de la technologie blockchain est relatif à sa fonction primordiale de registre authentifiant.

Déjà, des projets de cadastre sont annoncés dans des pays où la propriété foncière est sujette à corruption et manipulation (Honduras, Géorgie, Ghana).

La technologie est souvent présentée comme une solution à l’enregistrement et cession de titres non côtés, et les actes notariés pourraient aussi être administrés via une technologie de registre distribué.

Ici, pour être opposables juridiquement, une intervention législative est à chaque fois nécessaire.

C’est la raison pour laquelle le gouvernement français a adopté une ordonnance relative aux bons de caisse (28 avril 2016).

Selon cette ordonnance, ces bons de caisse (minibons) peuvent être inscrits dans un registre tenu par l’émetteur mais « l’émission et la cession de minibons peuvent également être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d’Etat ».

Le régime ne sera donc opérationnel qu’après adoption d’un décret, mais, en attendant, nous avons enfin une première définition légale de la blockchain …

Plus audacieux encore, dans le cadre de l’examen du projet de loi Sapin 2, le Gouvernement a proposé d’étendre l’approche adoptée pour les minibons aux titres financiers ne circulant pas par l’intermédiaire d’un dépositaire central, c’est-à-dire les actions ou obligations non cotées ainsi que les parts ou actions d’organismes de placement collectif.

Le cadre réglementaire européen ne réglemente pas les modalités d’enregistrement et de circulation de ces instruments financiers, contrairement aux instruments financiers cotés, laissant au droit national la possibilité de développer un cadre réglementaire ad hoc.

L’Assemblée nationale  a dès lors  adopté un amendement autorisant le Gouvernement à adapter le droit applicable afin de permettre la représentation et la transmission au moyen d’un dispositif d’enregistrement électronique partagé des titres financiers non côtés.

A cet égard, notons que la blockchain pourrait déjà théoriquement être utilisée par les participants de marché en tant qu’outil informatique pour moderniser les systèmes des acteurs existants de la chaine de transaction des titres (plates-formes de négociation, chambres de compensation et dépositaires centraux de titres). Mais des obstacles réglementaires importants devront être levés pour ce faire (voir à ce propos la consultation de l’ESMA[8]).

 

La prochaine étape : réguler la technologie blockchain ?

En juin, des doutes sur les vulnérabilités de la technologie blockchain ont ressurgi après que des pirates informatiques ont dérobé l’équivalent de plus de 50 millions de dollars de monnaie numérique au fonds d’investissement décentralisé « TheDAO » qui avait collecté l’argent en ether, une crypto-monnaie concurrente du bitcoin. La plateforme qui détenait 9,2 millions d’ether (environ 134 millions de dollars), a été la cible d’une attaque qui exploitait une vulnérabilité dans le code des « smart contracts », siphonnant ainsi des dizaines de millions d’ether.

Fait remarquable, une personne (gardant l’anonymat) a revendiqué l’attaque, en menaçant de procès tous ceux qui tenteraient de récupérer les ethers dérobés !

L’intéressé ne souffre pas de maladie mentale, il s’est contenté d’invoquer un principe qui fait fureur dans la communauté blockchain (au point de convaincre certains juristes) : « the Code is law », le code (informatique) ferait loi.

Dans l’univers purement cryptographique des blockchains, les relations  humaines et sociales ne seraient régies que par des algorithmes, remplaçant totalement les tiers de confiance, les Etats, les avocats, les juges, les droits nationaux.

En conséquence, notre Arsène Lupin version crypto n’aurait fait qu’utilisier une faille, un oubli, dans la programmation du DAO (qui est une forme de smart contract, voir infra)  de la Blockchain, ce qui serait «légal » selon le principe précité.

Remettons l’église au milieu du village. Dans notre mode de civilisation actuel, toutes les relations juridiques sont basées sur des droits nationaux ou supranationaux (ce qui revient au même, les Etats étant toujours maîtres du jeu). Il n’existe pas un lieu, sur terre, mer ou dans l’espace qui ne soit régi par une règle de droit d’origine étatique ou supra-étatique. La Cour de cassation l’a explicitement rappelé à propos des contrats, qui doivent obligatoirement être rattachés au système juridique d’un Etat.

La seule question à se poser est celle de la loi applicable (et du juge compétent). Et pour cela il existe un corpus de règles de rattachement applicable mondialement. C’est ce qu’on appelle le droit international privé.

La seule difficulté, à nouveau, est celle de l’identification des parties impliquées (dans un contrat, un accident, une activité illicite etc.). Cette difficulté n’est pas nouvelle, elle était déjà omniprésente dès l’émergence du cyber-espace. Or, comme déjà évoqué, les utilisateurs de blockchain peuvent rester anonymes, mais l’identification est possible et se généralise même avec l’apparition des plateformes d’échange (nouveaux tiers de confiance dans un sens…).

A terme, l’identification deviendra probablement la norme pour les blockchains légalement reconnues. Cette question vaut surtout pour les blockchains publiques, comme bitcoin. Nous y reviendrons.

Ce débat du « The Code is law » pose fondamentalement la question de la régulation de la blockchain, qui suppose au moins deux sous-questions.

D’abord, faut-il (et peut-on) contrôler l’intégrité du code informatique au cœur du système ? Ensuite, faut-il (et peut-on) fixer des règles contraignantes de nature à garantir une saine gouvernance de la blockchain (publique) ?

Le constat est simple : les protocoles cryptographiques et les « règles du jeu » sont créés ab initio par des individus (qui plus est parfois anonymes), sans aucun contrôle de l’intégrité du système ainsi créé. Celui-ci est dès lors soumis aux aléas d’une modification unilatérale, non transparente, voire frauduleuse. Dans certains cas, comme pour le bitcoin, le système repose sur une communauté d’agents anonymes (les « mineurs ») qui en assurent l’intégrité et qui pourraient être « compromis »[9].

Programmer le code d’une blockchain c’est fixer les règles de jeu, peut-être d’un écosystème entier. C’est d’une certaine manière un acte politique.

Et ces règles doivent pouvoir évoluer, et même être contestées, selon des critères transparents et garantissant les droits des personnes.

L’on retrouve tout simplement les principes que nos sociétés ont élaboré au cours des siècles derniers pour vivre ensemble, se réunir, s’associer, se désunir, se protéger contre des comportements abusifs etc.

Cela porte un autre nom, très à la mode, celui de gouvernance.

Quelle est la gouvernance de la blockchain bitcoin, par exemple ? Elle existe de fait, mais est illisible pour les non-initiés, entre les mineurs, les programmeurs, la Fondation Bitcoin, les rumeurs de pools chinois etc.

Entendons-nous bien, il ne s’agit de réguler à tout prix pour rassurer les Etats. Il s’agit d’être réaliste. Il existera toujours des réseaux clandestins, pour de bonnes et/ou mauvaises raisons, sous la forme de blockchain ou autrement.

Mais si l’on veut donner une chance à cette technologie de prendre toute sa place dans notre société et d’apporter les bienfaits que nous pressentons (plus de transparence, moins de concentration de pouvoirs, plus d’initiatives privées dans un cadre protégé etc.), il faudra créer un environnement régulatoire pour des blockchains qui bénéficieront d’une reconnaissance légale (parce qu’elles permettent l’identification des utilisateurs dans certains cas et moyennant le respect de leur vie privée, parce qu’elles permettent de respecter les droits des consommateurs, parce qu’elles rendent possible le respect de statuts réglementés dans certaines situations etc.).

Les régulateurs n’en sont qu’au début de leur réflexion à cet égard et c’est bien normal. Il faut laisser du temps à la technologie pour s’incarner dans des usages.

C’est le message lancé récemment par le Parlement européen[10].

Dans un rapport de juin 2014[11], l’Autorité bancaire européenne (ABE) a proposé qu’une monnaie virtuelle se dote d’un schéma de gouvernance approuvé par le régulateur financier, ce qui ne serait pas incompatible avec le caractère décentralisé de certains systèmes. Des règles de connaissance client (« Know Your Customer » ou KYC), un enregistrement dans un État membre de l’Union européenne, un contrôle des systèmes d’information, une ségrégation des comptes clients, et un capital minimum font aussi partie de la quinzaine de pistes évoquées.

Selon l’Autorité, la pierre angulaire d’une régulation globale serait l’instauration obligatoire d’une entité non gouvernementale qui établirait et assurerait le contrôle des règles de fonctionnement de la monnaie virtuelle (scheme governance authority). Cette entité serait la condition sine qua non de l’octroi d’un agrément par les autorités compétentes, permettant d’interagir avec le système financier « officiel ».

Pareille « coupole » ne serait pas incompatible avec le caractère décentralisé du système car il n’impliquera nullement que les unités de monnaie virtuelle soient émises de manière centralisée. Il appartiendrait seulement aux fondateurs et participants au réseau de s’entendre sur un mode de gouvernance transparent, mis en œuvre par une entité légale qui sera ensuite autorisée et régulée par une autorité de supervision étatique.

Nul doute que ce préalable de régulation fera sursauter nombre de partisans de la première heure des crypto-monnaies, précisément conçues pour échapper à un système de contrôle centralisé qui a montré ses limites.

Toutefois, en termes de régulation, la question centrale est bien là…

La France se dotera bientôt d’une législation sur l’émission de titres non côtés via blockchain et devra fixer les premières régles du jeu à cet égard, en déterminant quelle technologie mérite la reconnaissance de la loi. L’exercice sera important car il aura valeur d’exemple…

 

Le respect de la réglementation sur les données personnelles

Dans ce vaste débat de la reconnaissance des blockchains publiques, une problématique ne pourra être ignorée : le respect de la vie privée.

La technologie blockchain est paradoxale à cet égard.

D’un côté, elle est un casse-tête pour ceux qui voudraient lui conférer statut légal car étant un registre mondial partagé, les données personnelles qui y seraient gravées seraient dupliquées partout sur la planète, y compris dans des Etats n’assurant pas un niveau de protection jugé adéquat du point de vue européen.

Se poserait alors la fameuse question de la licéité du transfert  de ces données à l’international.

D’un autre côté, la technologie permet de mettre en oeuvre assez facilement les principes du règlement européen (en particulier le principe du privacy by design) en généralisant le recours à la pseudonymisation[12] et en  offrant aux individus un contrôle direct sur l’utilisation de leurs données personnelles sans possibilité pour des tiers d’y avoir accès (par exemple en stockant des fragments de données personnelles sur différents nœuds du réseau, rendant impossible leur reconstitution par des tiers).

 

Blockchains privées et responsabilité

Les réflexions qui précèdent ont surtout trait au phénomène des blockchains publiques (Bitcoin, Ethereum etc.).

En ce qui concerne les blockchains privées (par exemple celles expérimentées par certaines banques), les problématiques juridiques sont moins critiques pour une raison simple : en principe toutes les parties impliquées sont identifiées et sont liées par contrat préalable définissant la gouvernance de la blockchain (qui peut participer, avec quels droits etc.).

Toutefois, le futur  marché de ces blockchains pourrait nous réserver des surprises. Ainsi, que se passerait-il si certaines blockchains privées devenaient des sortes de « app store », loués à des développeurs et entrepreneurs tiers ?

La blockchain deviendrait alors une place de marché, comme Amazon, et se poserait la question de la responsabilité de ses promoteurs en cas d’activités illicites liées à certaines applications.

Nous serions confrontés à une problématique bien connue, celle de la responsabilité des intermédiaires selon le régime de la directive européenne sur le commerce électronique (transposée par la LCEN en France). Elle serait également éclairée par les travaux actuels de la Commission européenne sur la loyauté des plateformes dans le cadre du Digital Single Market.

Notes :

[1] Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ?, Didier Geiben, Olivier Jean-Marie, Jean-François Vilotte et Thibault Verbiest, RB Editions, 2016,  http://www.revue-banque.fr/ouvrage/bitcoin-blockchain-vers-un-nouveau-paradigme-confi

Ouvrage 01/07/2016

[2].       http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:267:0007:0017:FR:PDF.

[3].       https://acpr.banque-france.fr/fileadmin/user_upload/acp/Communication/Communiques%20de%20presse/20140129-Communique-ACPR-position-bitcoin.pdf.

[4].       GAFI, Monnaies virtuelles : Définitions clés et risques potentiels en matière de LBC/FT, juin 2014, http://www.fatf-gafi.org/.

[5] https://bitcoin.fr/monnaies-virtuelles-communique-de-presse-de-la-commission-europeenne/

[6] Articles 1365 et suivants du Code Civil – article 1316  selon la numérotation en vigueur jusqu’au 1er octobre 2016.

[7] Décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique ; voir aussi le Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, qui est entré en vigueur le 1er juillet 2016.

[8] https://www.esma.europa.eu/press-news/esma-news/esma-assesses-usefulness-distributed-ledger-technologies . Voir le projet Overstock, approuvé par la SEC aux Etats-Unis : http://www.wired.com/2015/12/sec-approves-plan-to-issue-company-stock-via-the-bitcoin-blockchain/

[9].       En juin 2014, un pool de minage intitulé GHash aurait détenu 51 % de la puissance de calcul totale du réseau Bitcoin, lui permettant de déterminer quelles transactions doivent intégrer la Blockchain et quels mineurs doivent recevoir leur récompense. http://www.01net.com/actualites/bitcoin-sous-la-menace-d-une-prise-de-controle-monopolistique-621990.html. Une communauté de mineurs (pool) qui dispose de plus de la moitié de la puissance de calcul du réseau peut imposer l’inscription d’une transaction dans la Blockchain, même si elle n’a pas eu lieu. Inversement, elle peut rejeter une inscription qui a eu lieu. Une telle opération frauduleuse est appelée « attaque de 51 % ».

[10] http://www.usine-digitale.fr/article/le-parlement-europeen-va-se-pencher-sur-la-blockchain.N394257

[11] https://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf

[12] Par exemple en recourant à des signatures électroniques sous pseudonymes, ce que le réglement européen e-idas permet. La personne signe avec un pseudonyme et son identité réelle est connue du seul prestataire de service de certification.

AUCUN COMMENTAIRE

LAISSER UN COMMENTAIRE