Quels documents sont nécessaires pour demander une licence MiCA ?

Le règlement de l’UE sur les marchés des crypto-actifs (MiCA, Règlement (UE) 2023/1114) a établi des exigences uniformes pour les prestataires de services de crypto-actifs (CASP) dans toute l’Union européenne. Pour obtenir une licence, il est nécessaire de préparer un ensemble détaillé de documents permettant aux autorités compétentes de réaliser une évaluation complète du demandeur, de sa gouvernance d’entreprise, de sa fiabilité, de sa conformité aux exigences prudentielles et de sa capacité à assurer la protection des clients ainsi que la stabilité des services fournis. Nous avons compilé ci-dessous une liste des documents requis pour postuler à une licence MiCA dans l’UE.

Documents d’entreprise et informations sur le demandeur
Une étape clé consiste à soumettre les documents constitutifs : statuts, acte constitutif, extrait du registre du commerce et identifiant d’entité juridique (LEI). Si le demandeur prévoit d’exploiter une plateforme de trading, le nom commercial utilisé doit être indiqué. Le dossier doit inclure des informations sur les actionnaires et participants détenant des participations qualifiées, leur réputation et l’origine des fonds, ainsi que des données sur les membres du conseil d’administration et les cadres clés confirmant leurs qualifications, l’absence de casier judiciaire et de conflits d’intérêts.

Programme d’activité et plan d’affaires
Conformément à l’article 62(2) de MiCA, le demandeur doit fournir un programme d’activité décrivant :

• la structure organisationnelle de l’entreprise,
• la stratégie de prestation de services et le public cible,
• les capacités opérationnelles pour les trois prochaines années,
• les canaux marketing (sites web, applications mobiles, publicité en ligne, collaboration avec des influenceurs, sponsoring, événements, formations),
• les prévisions financières et le plan d’utilisation du capital.

Le régulateur attend également une analyse de scénarios et des tests de résistance simulant des conditions de marché défavorables mais plausibles afin d’évaluer la résilience de l’entreprise face aux chocs externes.

Mécanismes de gestion et contrôle interne
Le demandeur doit décrire le système de gouvernance d’entreprise, la répartition des fonctions, les mécanismes de contrôle interne et les processus décisionnels. Cela inclut les procédures de gestion des risques opérationnels, juridiques, cyber et réputationnels, ainsi qu’une description des plans pour assurer la continuité des activités, minimiser les interruptions et récupérer des incidents, y compris les cyberattaques et les cas de force majeure.

Mesures AML/KYC et protection des clients
Une attention particulière est accordée aux mécanismes de lutte contre le blanchiment d’argent et le financement du terrorisme (conformément à la AMLD5 et au Règlement (UE) 2023/1113). Les procédures internes de KYC, la surveillance des transactions et le reporting doivent être présentés. De plus, la demande doit inclure une description des mesures de ségrégation des actifs des clients afin de les protéger contre les risques de perte ou d’utilisation abusive.

Infrastructure informatique et cybersécurité
Le dossier doit inclure une description des systèmes ICT, des protocoles de sécurité de l’information, des ressources humaines affectées à la gestion des risques cyber, ainsi que des plans visant à prévenir les fuites de données et protéger contre les pertes financières.

Règles de fonctionnement des plateformes de trading (pour les CASP gérant des plateformes)
Si le demandeur prévoit d’exploiter une plateforme de trading, il doit fournir les règles d’admission des crypto-actifs à la négociation, la procédure de vérification de leur conformité aux exigences, une description des types de crypto-actifs non admis et les raisons de ces restrictions. De plus, les règles relatives à la conduite des transactions, à l’exécution et à l’annulation des ordres, à la transparence et à la tenue des registres, ainsi que la procédure de règlement des transactions, y compris l’utilisation de la technologie de registre distribué (DLT), doivent être communiquées.

Données financières et comptables
Les autorités compétentes doivent vérifier que des fonds propres suffisants sont disponibles pour garantir le respect des exigences prudentielles (article 67 MiCA). Le demandeur doit fournir les états financiers (si disponibles), une description des politiques comptables et la preuve du montant de capital requis (50 000 €/125 000 €/150 000 € selon la classe de licence).

Preuve de l’intégrité de la direction et des actionnaires
Des déclarations attestant l’absence de condamnations pénales, des informations sur toute enquête ou procédure administrative en cours et des documents permettant au régulateur de réaliser un test de compétence et d’honorabilité doivent être jointes.

Exigences supplémentaires pour les classes 2 et 3
Pour les licences de niveau supérieur, une description des procédures de prévention et de divulgation des conflits d’intérêts, des règles de surveillance des abus de marché et des mesures de cybersécurité renforcées doivent être jointes.

Informations détaillées sur le projet crypto à fournir dans la demande de licence MiCA

Une entreprise demandant une licence de prestataire de services de crypto-actifs (CASP) conformément à l’article 62 du règlement (UE) 2023/1114 doit inclure dans sa demande les informations et documents suivants :

• le nom légal officiel de l’entreprise, son numéro de téléphone et son adresse e-mail ;
• le nom commercial utilisé ou prévu ;
• l’identifiant d’entité juridique (LEI) ;
• nom complet, fonction, numéro de téléphone et adresse e-mail de la personne de contact désignée responsable de l’interaction avec le régulateur ;
• la forme juridique de l’entreprise (indiquant si elle est une personne morale ou autre type d’entreprise), le numéro d’identification national et confirmation de l’inscription au registre national des entreprises ;
• date de constitution de l’entreprise et État membre de l’UE dans lequel elle est enregistrée ;
• les documents fondateurs et les statuts, ainsi que le règlement intérieur (le cas échéant) ;
• l’adresse du siège social et, si différente, celle du bureau enregistré ;
• informations sur les succursales opérant dans d’autres États membres, y compris leurs LEI, le cas échéant ;
• noms de domaine des sites web utilisés pour fournir des services, ainsi que les liens vers les comptes officiels des réseaux sociaux de l’entreprise ;
• si le demandeur n’a pas le statut de personne morale, documents confirmant :
  • un niveau de protection juridique des clients et des tiers équivalent à celui fourni par une personne morale, y compris en cas de faillite ;
  • la conformité à une supervision prudentielle adaptée à sa forme organisationnelle et juridique ;
• si l’entreprise prévoit d’exploiter une plateforme de trading pour crypto-actifs :
  • adresse physique, numéro de téléphone et adresse e-mail de la plateforme ;
  • nom commercial sous lequel la plateforme opérera.

Ces informations permettent au régulateur d’identifier le demandeur, d’évaluer son statut juridique, sa structure et sa préparation à fournir des services, et de vérifier la conformité aux exigences de base de MiCA avant de passer à l’évaluation du modèle commercial et des processus internes.

Un tel programme permet au régulateur d’évaluer la stratégie de l’entreprise, la durabilité de son modèle économique, ses ressources et sa capacité à se conformer aux exigences réglementaires pendant toute la durée de son activité.

3) Exigences prudentielles

Une entreprise demandant une licence CASP doit préparer et soumettre au régulateur un ensemble complet d’informations confirmant le respect des exigences prudentielles prévues à l’article 67 du règlement (UE) 2023/1114.

La demande doit préciser :

• Description des garanties prudentielles :
  • le montant des fonds propres (capital) à la date de la demande et la méthodologie de calcul utilisée ;
  • le montant des garanties prudentielles couvertes par les fonds propres (le cas échéant) ;
  • le montant des garanties couvertes par une police d’assurance ou une garantie financière comparable (le cas échéant).
• Prévisions et plans :
  • prévisions de capital et de garanties prudentielles pour les trois premières années d’activité après obtention de la licence ;
  • hypothèses clés utilisées dans la planification, y compris les scénarios de stress ;
  • nombre attendu de clients, volume des ordres et transactions, et volume de crypto-actifs détenus en conservation.
• États financiers (si l’entreprise est déjà en activité) :
  • états financiers approuvés pour les trois dernières années ;
  • si les rapports n’ont pas été audités, confirmation du montant des fonds propres par l’autorité nationale de supervision.
• Planification et suivi du capital :
  • description du système de contrôle interne et de suivi des garanties prudentielles.
• Preuves de conformité aux exigences prudentielles :
  • documents confirmant le calcul des fonds propres conformément à MiCA ;
  • pour les entreprises nouvellement créées, un relevé bancaire confirmant le transfert du capital autorisé sur le compte ;
  • si une police d’assurance ou une garantie comparable est utilisée :
    • informations sur la compagnie d’assurance (nom, date et pays d’enregistrement, adresse du siège social et bureau enregistré, coordonnées) ;
    • copie de la police ou du contrat d’assurance signé conformément aux articles 67(5) et 67(6) de MiCA.

Ce dossier confirme la stabilité financière de l’entreprise, la suffisance de son capital pour couvrir les risques opérationnels et de marché, ainsi que sa capacité à protéger les clients en cas d’événements imprévus.

4) Mécanismes de gouvernance, contrôle interne et politique sur les conflits d’intérêts

La demande doit décrire la structure organisationnelle, y compris le groupe d’entreprises (si le demandeur en fait partie), la répartition des fonctions et des pouvoirs, les lignes d’autorité et les mécanismes de contrôle interne existants. Il est important d’identifier les responsables des fonctions internes clés, de fournir leur biographie avec description de leur formation, qualifications et expérience professionnelle, et de confirmer qu’ils possèdent les connaissances et compétences nécessaires pour remplir leurs fonctions.

Le régulateur exige une description des politiques et procédures internes garantissant la conformité à MiCA, ainsi que des mécanismes de communication de ces procédures aux employés. Une attention particulière est portée à l’existence d’un système interne de signalement (whistleblowing) permettant aux employés d’informer la direction des non-conformités aux exigences réglementaires. Le demandeur doit décrire la procédure de tenue des registres et de conservation des documents conformément aux normes techniques établies par la Commission européenne, ainsi que démontrer l’existence d’un système de suivi et de révision régulière de l’efficacité des politiques et procédures mises en œuvre.

L’organe de direction de l’entreprise doit pouvoir recevoir des rapports réguliers des fonctions de contrôle interne, confirmant l’indépendance de ces fonctions et leur droit de rapporter directement, notamment lorsqu’un risque significatif de non-conformité aux exigences réglementaires est identifié. La demande doit décrire les systèmes ICT, outils de contrôle et solutions de sauvegarde garantissant la stabilité des processus, ainsi que les mesures visant à prévenir les abus de marché si le demandeur exerce des activités exposées à ces risques.

Il est également nécessaire d’indiquer si un auditeur externe a été nommé, de fournir ses coordonnées et de décrire les politiques comptables et les périodes de reporting appliquées.

La gestion des conflits d’intérêts est particulièrement importante. La demande doit inclure une copie de la politique pertinente décrivant comment l’entreprise identifie, prévient et divulgue les conflits d’intérêts conformément à l’article 72 de MiCA. Le document doit tenir compte de l’ampleur et de la nature des activités du demandeur et garantir que le système de rémunération ne crée pas de conflits entre les intérêts de l’entreprise et ceux de ses clients. Le demandeur doit également décrire les systèmes de contrôle permettant de surveiller l’efficacité de la politique, d’enregistrer chaque cas de conflit d’intérêts, d’en consigner la résolution et de confirmer que l’information a été divulguée au client.

Ces informations complètes permettent à l’autorité compétente de vérifier que le demandeur a mis en place un système de gouvernance solide, dispose de fonctions de contrôle interne indépendantes et applique des mesures efficaces pour prévenir et résoudre les conflits d’intérêts, condition préalable à l’octroi d’une licence MiCA.

5) Plan de continuité des activités

Ce plan constitue une partie obligatoire de la demande et démontre que l’entreprise est capable de maintenir ses opérations régulières même en cas de perturbation des systèmes ou infrastructures clés.

La description doit confirmer que le plan respecte les exigences du règlement (UE) 2023/1114, qu’il est régulièrement mis à jour et testé en pratique. Le document doit exposer les actions que l’entreprise prendra pour maintenir ses opérations en cas d’événements imprévus, y compris des défaillances des systèmes informatiques, des circonstances de force majeure ou des incidents de cybersécurité.

Si des fonctions critiques sont externalisées auprès de prestataires tiers, le document doit préciser comment la continuité des activités sera assurée en cas de forte dégradation de la qualité de leurs services ou d’interruption de leur prestation. Il est également nécessaire de décrire le plan d’action en cas de perte d’un employé ou décideur clé et, si nécessaire, d’évaluer les risques politiques dans la juridiction où se trouvent les principaux prestataires de services.

La soumission d’un tel plan permet au régulateur de vérifier que l’entreprise est préparée aux situations de crise potentielles et peut minimiser l’impact des perturbations tout en maintenant la confiance des clients et la stabilité des activités.

6) Mesures de lutte contre le blanchiment d’argent et le financement du terrorisme (AML/CFT)

Une entreprise demandant une licence MiCA doit confirmer qu’elle dispose d’un système efficace de lutte contre le blanchiment d’argent et le financement du terrorisme (AML/CFT) conforme à la directive (UE) 2015/849 et au règlement (UE) 2023/1113.

La demande doit décrire l’approche de gestion des risques AML/CFT, en commençant par leur identification et leur évaluation. L’entreprise doit fournir une analyse des risques inhérents et résiduels liés à la nature de sa clientèle, aux types de services fournis, aux canaux de distribution utilisés et aux zones géographiques dans lesquelles elle opère.

Il est important que le régulateur constate les mesures concrètes déjà mises en place ou prévues pour prévenir les risques identifiés : procédures d’évaluation des risques, règles relatives au KYC et à la diligence raisonnable des clients, procédures d’identification des transactions suspectes et de signalement aux autorités compétentes en temps utile. Il faut démontrer que les politiques et procédures internes sont proportionnées à l’ampleur de l’activité, à la complexité du modèle, à la gamme de services fournis et au niveau de risque inhérent.

Le demandeur doit désigner une personne responsable de la conformité aux exigences AML/CFT et confirmer ses qualifications et son expérience. Les ressources humaines et financières allouées à la mise en œuvre de ces procédures doivent également être décrites, et il doit être confirmé que le personnel reçoit une formation régulière sur la lutte contre le blanchiment d’argent, y compris sur les risques spécifiques liés aux crypto-actifs.

La demande doit être accompagnée de copies de toutes les politiques, procédures et systèmes internes AML/CFT, ainsi que d’informations sur la fréquence des contrôles de leur efficacité et sur les fonctions chargées de réaliser ces évaluations.

Ce dossier permet au régulateur de vérifier que l’entreprise respecte ses obligations de lutte contre le blanchiment d’argent et le financement du terrorisme, minimise les risques d’abus et est prête à se conformer à la législation européenne lorsqu’elle fournit des services liés aux crypto-actifs.

7) Identification, vérification de la réputation et évaluation des qualifications des membres de l’organe de direction de l’entreprise

Le demandeur doit fournir des informations détaillées sur chaque membre de son organe de direction, confirmant son identité, sa réputation professionnelle, ses qualifications et sa disponibilité à consacrer suffisamment de temps à ses fonctions.

La demande doit inclure toutes les informations personnelles de chaque membre, notamment nom, lieu et date de naissance, adresses actuelles et précédentes des dix dernières années, nationalité, numéro d’identification national et copie de la pièce d’identité. De plus, le poste occupé ou prévu doit être décrit, en précisant sa nature (exécutive ou non exécutive), la date de début du mandat et les responsabilités principales.

L’entreprise doit fournir un CV pour chaque membre de l’organe de direction, détaillant sa formation, son parcours professionnel et son expérience des dix dernières années, en indiquant toutes les organisations, postes, la nature des fonctions exercées, ainsi que l’expérience dans les domaines des services financiers, crypto-actifs, technologies numériques, cybersécurité et innovation. Des lettres de recommandation et les coordonnées de personnes référentes doivent être jointes, ainsi que des documents officiels confirmant une réputation irréprochable.

Une partie importante du dossier concerne les informations sur l’absence de casier judiciaire, les enquêtes pénales ou administratives en cours, les mesures disciplinaires, les procédures de faillite, les révocations ou refus de licence, les exclusions d’organisations professionnelles, ainsi que les informations relatives aux évaluations de réputation réalisées par les autorités gouvernementales ou réglementaires.

Le demandeur doit divulguer tout intérêt financier ou non financier des membres de la direction et de leurs proches pouvant entraîner un conflit d’intérêts, y compris la participation au capital du groupe, l’existence de prêts, de garanties fournies ou de litiges. Si un conflit d’intérêts significatif est identifié, il doit décrire les mesures prises pour l’éliminer ou l’atténuer, en se référant à la politique interne sur les conflits d’intérêts.

Le régulateur doit recevoir des informations sur le temps estimé que chaque membre de la direction consacrera au travail de l’entreprise : le nombre minimum d’heures par mois et par an, une liste de toutes les autres fonctions (exécutives et non exécutives) qu’ils occupent, avec une description de la taille des entreprises concernées, le volume des actifs et le nombre d’employés, ainsi qu’une liste des responsabilités supplémentaires, telles que la participation à des comités ou la présidence.

La demande doit être accompagnée des résultats d’une évaluation individuelle de l’aptitude de chaque membre de l’organe de direction, ainsi que d’une évaluation de l’aptitude collective du conseil d’administration, y compris un rapport ou des documents confirmant que la composition de l’organe de direction respecte les exigences de MiCA. Tous les documents officiels et certificats confirmant les informations sur la réputation et l’absence d’empêchements à exercer leurs fonctions doivent dater de moins de trois mois avant le dépôt de la demande.

La fourniture de ces informations permet au régulateur de vérifier que la direction de l’entreprise possède les connaissances, l’expérience et la réputation nécessaires et est capable de gérer efficacement un prestataire de services de crypto-actifs conformément aux exigences du règlement (UE) 2023/1114.

8) Informations sur les actionnaires et participants détenant des participations significatives

La demande de licence MiCA doit divulguer toutes les informations sur les actionnaires ou participants détenant des participations significatives afin que le régulateur puisse évaluer leur intégrité, leur solidité financière et leur influence sur la gestion de l’entreprise.

Le demandeur doit soumettre un organigramme détaillé de sa structure d’entreprise et de holding, indiquant la répartition du capital et des droits de vote. L’organigramme doit identifier tous les actionnaires et participants détenant des participations qualifiantes et fournir leurs informations d’identification.

Pour chaque propriétaire d’une participation directe ou indirecte significative, les documents et informations spécifiés aux articles 1 à 4 du règlement délégué (UE) 2025/414 de la Commission doivent être fournis. Il est également nécessaire d’indiquer les membres de l’organe de direction qui seront nommés par ces actionnaires ou sur leur recommandation et qui participeront à la gestion des activités de l’entreprise.

La demande doit préciser le nombre et le type d’actions souscrites par chaque actionnaire, leur valeur nominale, les primes versées ou à verser, ainsi que toutes charges, nantissements et autres sûretés, en indiquant les bénéficiaires de ces droits.

De plus, les informations prévues à l’article 6 (points b, d, e) et à l’article 8 du règlement délégué (UE) 2025/414 doivent être fournies, y compris les documents confirmant la réputation, l’origine des fonds et la transparence financière des actionnaires.

Ce dossier permet à l’autorité compétente de vérifier que les propriétaires de l’entreprise respectent les exigences de MiCA, ne présentent pas de risques pour une gestion saine et sont capables de soutenir la stabilité financière du demandeur.

9) Systèmes TIC et mesures de cybersécurité

Une entreprise demandant une licence MiCA doit confirmer qu’elle dispose d’une infrastructure informatique fiable et d’un système de cybersécurité conforme aux exigences du règlement (UE) 2022/2554 (DORA) et du règlement (UE) 2016/679 (RGPD). La demande doit inclure la documentation technique sur les systèmes TIC et, le cas échéant, l’infrastructure DLT, ainsi qu’une description des mesures de sécurité garantissant la résilience, l’intégrité et la confidentialité des données.

Le régulateur doit recevoir une description de l’architecture de gestion des risques TIC dans le cadre du système global de gestion des risques de l’entreprise, en indiquant les systèmes, protocoles et outils utilisés. La demande doit expliquer comment les politiques et procédures de l’entreprise garantissent la protection, la disponibilité et l’authenticité des données, ainsi que le respect de DORA et du RGPD.

Tous les services TIC critiques pris en charge au sein de l’entreprise, ainsi que les services fournis par des prestataires externes, doivent être listés. L’identification et la localisation des prestataires, la description des relations d’externalisation et des copies des contrats confirmant la conformité à l’article 73 de MiCA et au chapitre V de DORA doivent être fournies.

Une partie importante concerne la description des procédures de gestion des incidents, des mesures de cybersécurité, des plans de réponse aux attaques et des plans de reprise après sinistre. Si des audits externes ou des tests de pénétration ont été réalisés, le demandeur doit en joindre les résultats ou les rapports de cybersécurité. Il est utile pour le régulateur de constater que l’audit a couvert la sécurité organisationnelle et physique, le cycle de développement logiciel, l’analyse des vulnérabilités, l’évaluation des configurations des actifs TIC critiques, et les tests en boîte noire, grise et blanche pour vérifier différents niveaux d’accès.

Si l’entreprise utilise ou développe des contrats intelligents, un aperçu de leur code source du point de vue de la cybersécurité doit être joint. De plus, des informations sur les audits précédents des systèmes TIC, y compris l’infrastructure DLT et les mesures de sécurité mises en œuvre, doivent être fournies.

Enfin, le demandeur doit fournir une brève description de toutes ces mesures dans un langage non technique afin que le régulateur puisse obtenir une vue d’ensemble du système de cybersécurité et de la fiabilité de l’infrastructure TIC sans avoir à analyser les documents techniques originaux.

10) Ségrégation et stockage sécurisé des crypto-actifs et des fonds des clients

Une entreprise souhaitant fournir des services de stockage de crypto-actifs ou de fonds clients (à l’exception des jetons de monnaie électronique) doit soumettre une description détaillée de ses procédures de ségrégation et de protection des actifs des clients dans sa demande de licence MiCA.

Le document doit expliquer comment l’organisation s’assure que les fonds et crypto-actifs des clients ne sont pas utilisés à des fins propres à l’entreprise. Il doit confirmer que les portefeuilles dans lesquels les actifs des clients sont stockés sont séparés des portefeuilles corporatifs du demandeur et que les fonds de chaque client peuvent être identifiés, même en utilisant des comptes omnibus contenant les actifs de plusieurs clients.

Une attention particulière est accordée au système de gestion et de protection des clés cryptographiques, y compris une description des procédures de création et de stockage des clés, l’utilisation de signatures multiples et les mesures garantissant leur confidentialité et leur résistance à la compromission.

Le demandeur doit décrire la procédure de traitement des fonds des clients : les fonds doivent être crédités sur un compte auprès d’une banque centrale ou d’un établissement de crédit au plus tard à la fin du jour ouvrable suivant leur réception et doivent être conservés séparément des fonds propres de l’entreprise. Si aucun dépôt auprès d’une banque centrale n’est prévu, les critères de sélection des établissements de crédit, la politique de diversification et la fréquence de révision de ces décisions doivent être divulgués.

Une partie importante de la demande consiste à décrire comment les clients sont informés des mécanismes de protection de leurs actifs, y compris une explication des principes de ségrégation, de la politique de stockage des fonds et des procédures de sécurité de manière simple et compréhensible, en excluant les termes techniques inutiles.

Ces informations confirment que le demandeur respecte l’article 70 de MiCA, protège les droits de propriété des clients et minimise le risque de pertes, même en cas de difficultés financières ou de faillite de l’entreprise.

11) Procédures de traitement des plaintes

L’entreprise doit confirmer qu’elle dispose d’un système transparent et efficace pour traiter les plaintes des clients. La demande doit décrire les ressources, tant humaines que techniques, allouées au traitement des plaintes et identifier la personne responsable de ce processus. Le régulateur attend un résumé de la formation, de la formation professionnelle et de l’expérience de cet employé, démontrant sa capacité à remplir les fonctions assignées.

Le demandeur doit démontrer que ses procédures sont conformes aux normes techniques établies par la Commission européenne sur la base de l’article 71(5) de MiCA et que les clients ont la possibilité de soumettre une plainte gratuitement. Il est important de décrire comment l’organisation informe les clients de cette possibilité, y compris la mise en ligne de l’information sur le site web ou d’autres canaux numériques par lesquels les services sont fournis.

Il est nécessaire d’expliquer la procédure d’enregistrement des plaintes, les délais de traitement, d’enquête et de réponse au client, ainsi que les mécanismes d’information des clients sur les recours disponibles. La demande décrit les principales étapes procédurales dans l’examen d’une plainte, y compris la méthode et la forme de communication de la décision au client ou potentiel client ayant déposé la plainte.

Une telle description démontre au régulateur que le demandeur assure une protection adéquate des droits des clients, opère de manière transparente et dispose de mécanismes pour la résolution rapide des conflits, élément clé de la confiance envers un prestataire de services de crypto-actifs.

12) Politique de conservation et d’administration

La politique de conservation et d’administration des crypto-actifs est un élément obligatoire du dossier fourni par le demandeur en vertu de l’article 62(2)(m) du règlement (UE) 2023/1114. Les entreprises prévoyant de fournir des services de conservation et d’administration de crypto-actifs pour le compte de clients doivent soumettre à l’autorité de contrôle une description complète des solutions de conservation proposées, y compris les types de conservation, une copie du contrat de service standard et un résumé de la politique de conservation communiqué aux clients conformément aux articles 75(1) et 75(3) du règlement.

Le demandeur doit soumettre une politique interne de stockage et d’administration, qui doit identifier les risques opérationnels et TIC liés au stockage et à la gestion des crypto-actifs ou des moyens d’y accéder. La politique doit contenir une description des procédures et mesures pour respecter les exigences de l’article 75(8) du règlement, une description des systèmes de contrôle interne et de gestion des risques, y compris les dispositions sur l’externalisation des fonctions de stockage, les règles et procédures garantissant l’exercice des droits des clients, et les procédures assurant le retour des crypto-actifs ou des moyens d’accès.

En outre, il est nécessaire de décrire les mécanismes d’identification des crypto-actifs et des moyens d’y accéder, ainsi que les mesures visant à minimiser le risque de leur perte. Lorsque les services de stockage et d’administration sont externalisés à un tiers, le demandeur doit fournir des informations sur l’identité de l’externaliseur, son statut conformément aux articles 59 et 60 du règlement, une description des fonctions déléguées, une liste des délégués et sous-délégués, ainsi que les conflits d’intérêts potentiels liés à cette délégation. Une description du système de contrôle et de suivi de la performance des fonctions déléguées est également requise.

Cette approche permet au régulateur d’évaluer la capacité du demandeur à assurer un haut niveau de protection des droits et intérêts des clients, une organisation adéquate des processus de stockage, la gestion des risques opérationnels et technologiques, et la conformité aux exigences réglementaires européennes.

13) Règles de fonctionnement de la plateforme de trading et détection des abus de marché

Les candidats prévoyant d’exploiter une plateforme de trading pour crypto-actifs doivent, conformément à l’article 62(2)(n) du règlement (UE) 2023/1114, fournir à l’autorité de contrôle une description complète des règles de fonctionnement de la plateforme et des mécanismes de prévention des abus de marché. Les documents soumis doivent inclure une description des règles d’admission des crypto-actifs au trading et la procédure de leur approbation, y compris la vérification des clients conformément à la directive (UE) 2015/849, ainsi qu’une liste des catégories de crypto-actifs exclues du trading, en indiquant les raisons de cette exclusion. Les politiques, procédures et frais liés à l’admission au trading doivent être divulgués, ainsi qu’une description des conditions d’adhésion, des réductions et dispositions associées.

Le demandeur doit exposer les règles d’exécution des ordres, la procédure d’annulation et le mécanisme de notification aux participants du marché des transactions annulées. Les procédures et méthodes utilisées pour évaluer l’adéquation des crypto-actifs au trading, ainsi que les systèmes et dispositifs assurant la conformité à l’article 76 du règlement, doivent être décrits. Les documents doivent divulguer la procédure de publication des prix acheteurs et vendeurs, des données de profondeur de marché, ainsi que les prix, volumes et horaires des transactions conclues pour garantir la transparence du processus de trading.

Une justification de la structure tarifaire et la confirmation de sa conformité à l’article 76(13) du règlement sont également requises, ainsi qu’une description des systèmes et procédures de stockage des données sur tous les ordres passés et des mécanismes permettant à l’autorité de contrôle d’accéder au carnet d’ordres et aux autres informations de trading. Concernant le règlement des transactions, le demandeur doit indiquer si le règlement final est effectué dans un registre distribué ou en dehors, le délai de début et de fin du règlement, les méthodes de vérification de la disponibilité des fonds et des crypto-actifs, la procédure de confirmation des données de transaction et le moment où le règlement devient définitif.

Une attention particulière doit être portée à la description des politiques, procédures et systèmes techniques utilisés pour détecter, prévenir et signaler les abus de marché. En plus de la partie descriptive, le demandeur doit fournir à l’autorité de contrôle une copie du règlement interne de la plateforme de trading et des procédures internes visant à prévenir la manipulation et autres violations de l’intégrité du marché.

14) Échange de crypto-actifs contre des espèces ou d’autres crypto-actifs

Les candidats prévoyant d’échanger des crypto-actifs contre des espèces ou d’autres crypto-actifs doivent, conformément à l’article 62(2)(o) du règlement (UE) 2023/1114, fournir à l’autorité de contrôle une description complète de leur politique commerciale développée conformément à l’article 77(1) du règlement. De plus, la méthodologie de détermination du prix des crypto-actifs à échanger doit être divulguée, expliquant comment le volume du marché et la volatilité des actifs concernés sont pris en compte dans les calculs. Cette divulgation permet au régulateur d’évaluer la transparence des prix, la protection des intérêts des clients et la conformité du demandeur aux exigences de bonnes pratiques commerciales dans le domaine de l’échange de crypto-actifs.

15) Politique d’exécution

Les entreprises qui ont l’intention d’exécuter des ordres de crypto-actifs pour le compte de clients doivent, conformément à l’article 62(2)(p) du règlement (UE) 2023/1114, soumettre à l’autorité de contrôle leur propre politique d’exécution reflétant les principes et procédures clés pour organiser ce processus. La politique doit contenir des dispositions confirmant que le client a accepté les conditions d’exécution avant que l’ordre ne soit passé ou exécuté. Une liste des plateformes de trading de crypto-actifs sur lesquelles le demandeur s’appuiera pour exécuter les ordres doit être fournie, ainsi que les critères de sélection des lieux d’exécution, établis conformément à l’article 78(6) du règlement.

La documentation précise les plateformes utilisées pour chaque type de crypto-actif et confirme que le demandeur ne bénéficie d’aucun avantage financier ou non financier pour l’envoi d’ordres à une plateforme particulière. Le demandeur doit décrire comment le prix, les coûts, la rapidité et la probabilité d’exécution et de règlement, la taille et la nature de l’ordre, les conditions de stockage des crypto-actifs et d’autres facteurs sont pris en compte afin d’obtenir le meilleur résultat possible pour le client.

La procédure d’information des clients sur l’intention d’exécuter leurs ordres en dehors de la plateforme de trading et le mécanisme d’obtention de leur consentement préalable doivent être divulgués, et une explication doit être fournie sur la manière dont le client est informé que ses instructions spécifiques peuvent limiter la capacité du demandeur à atteindre le meilleur résultat possible. La politique d’exécution décrit les procédures de sélection des lieux de trading, les stratégies d’exécution utilisées, les méthodes d’analyse de la qualité d’exécution et les mécanismes de contrôle interne garantissant la conformité aux résultats pouvant être considérés comme optimaux pour les clients.

Le demandeur doit présenter les mesures visant à empêcher l’utilisation abusive des informations sur les ordres des clients par les employés, la procédure de divulgation de la politique d’exécution aux clients et de notification de tout changement significatif, et décrire comment l’organisation est prête à confirmer la conformité aux exigences de l’article 78 du règlement à la demande de l’autorité de contrôle.

16) Conseil en crypto-actifs ou gestion de portefeuilles de crypto-actifs

Les candidats prévoyant de fournir des conseils en crypto-actifs ou de gérer un portefeuille de crypto-actifs doivent, conformément à l’article 62(2)(q) du règlement (UE) 2023/1114, fournir à l’autorité de contrôle une description détaillée des mesures prises pour garantir la conformité à l’article 81(7) du règlement. Les documents soumis doivent divulguer les mécanismes de suivi, d’évaluation et de maintien des connaissances et compétences du personnel impliqué dans la fourniture de conseils ou la gestion de portefeuilles, ainsi que les mesures garantissant que ce personnel connaît, comprend et applique les politiques et procédures internes du demandeur conçues pour respecter les exigences du règlement (UE) 2023/1114 et de la directive (UE) 2015/849.

En outre, le demandeur doit spécifier les ressources humaines et financières prévues annuellement pour le développement professionnel et la formation du personnel impliqué dans la fourniture de conseils ou la gestion de portefeuilles de crypto-actifs. La documentation doit décrire les mécanismes de suivi et d’évaluation des compétences des employés pour garantir que les personnes fournissant des conseils au nom du demandeur disposent des connaissances et qualifications nécessaires conformément aux critères nationaux et sont capables d’évaluer l’adéquation des clients selon l’article 81(1) du règlement.

Ces informations permettent au régulateur de vérifier que l’organisation dispose de procédures suffisantes pour maintenir un haut niveau de professionnalisme et de conformité aux exigences de protection des clients lors de la fourniture de conseils et de la gestion des crypto-actifs.

17) Services de transfert

Les candidats prévoyant de fournir des services de transfert de crypto-actifs pour le compte de clients doivent, conformément à l’article 62(2)(r) du règlement (UE) 2023/1114, fournir à l’autorité de contrôle des informations sur les types de crypto-actifs pour lesquels ces services seront fournis, ainsi qu’une description détaillée des mesures garantissant la conformité à l’article 82 du règlement. Les informations fournies doivent divulguer les procédures et ressources, tant techniques qu’humaines, visant à éliminer rapidement et efficacement les risques dans l’exécution des transferts, y compris les mécanismes de réponse aux éventuelles défaillances opérationnelles et aux cybermenaces.

Si une police d’assurance est en place, le demandeur doit en décrire le contenu, en précisant l’étendue de la couverture pour les dommages aux crypto-actifs des clients pouvant résulter d’incidents de cybersécurité. En outre, il est nécessaire d’expliquer comment les clients sont informés des politiques, procédures et accords internes appliqués lors de la fourniture de services de transfert de crypto-actifs afin de garantir la transparence et la compréhension des risques par les utilisateurs.

Examen de la demande MiCA

La demande de licence en vertu du règlement (UE) 2023/1114 (MiCA) est une procédure formalisée visant à garantir des normes uniformes pour les entreprises fournissant des services de crypto-actifs dans l’Union européenne. Le règlement (UE) 2025/306 établit des formulaires et procédures uniformes pour la soumission des documents, ainsi que les modalités d’interaction entre le demandeur et l’autorité compétente. Après le dépôt de la demande, l’autorité compétente doit en confirmer la réception et commencer à vérifier l’exhaustivité des informations fournies. Conformément à l’article 63(2) du règlement MiCA, le délai de cette vérification ne peut excéder 25 jours ouvrables à compter de la date de réception de la demande et du paiement des frais administratifs. En cas de lacunes ou d’informations obligatoires manquantes, le régulateur notifie au demandeur la nécessité de les corriger. Les données corrigées ou complétées doivent être soumises dans les délais impartis, et la période d’examen recommence à compter de la date de réception.

Une attention particulière est portée à la langue des documents soumis. Selon la partie 1 de l’article 16 du code de procédure civile de l’État dans lequel la demande est déposée, tous les documents doivent être rédigés dans la langue officielle de la juridiction concernée. Cette règle s’applique tant au texte de la demande qu’aux documents annexes, y compris les programmes d’activité, les politiques internes, les rapports financiers et autres informations. Ainsi, la soumission réussie d’une demande de licence MiCA nécessite le respect des procédures formelles, le paiement ponctuel des frais, la préparation correcte des documents et leur conformité aux exigences linguistiques. La préparation d’une demande en tenant compte de ces conditions assure un processus d’interaction avec le régulateur plus prévisible et minimise le risque de retards lors de la vérification de l’exhaustivité des informations.