Vous avez l'entité. Vous avez l'adresse. Vous avez même le capital. Alors pourquoi le régulateur n'est-il toujours pas satisfait ? Parce que, selon MiCA, la substance est un test empirique pour déterminer si votre entreprise opère véritablement au sein de l'UE, et la plupart des demandeurs sous-estiment ce que cela exige réellement.
MiCA Decoded est une série hebdomadaire de 12 articles pour Bitcoin.com News, co-écrite par les cofondateurs et directeurs généraux de LegalBison : Aaron Glauberman, Viktor Juskin et Sabir Alijev. LegalBison conseille les entreprises crypto et FinTech sur les licences MiCA, les demandes CASP et VASP, ainsi que la structuration réglementaire en Europe et au-delà.
Cette semaine, l’article a été rédigé par Krystian Lapka, avocat chez LegalBison. Krystian se spécialise dans les transactions corporatives et commerciales transfrontalières, ainsi que dans la gestion stratégique des risques à l’intersection du droit civil et du common law.
La plupart des fondateurs qui soumettent leur première demande CASP comprennent, du moins abstraitement, que le MiCA exige une présence réelle dans l'UE. Ce qu'ils sous-estiment, c'est la manière dont le régulateur définit « réelle ».
La configuration typique en phase précoce semble cohérente sur le papier : un siège social enregistré dans une juridiction de l’UE favorable, un administrateur désigné dans les documents de gouvernance, des systèmes ICT hébergés dans le cloud ou gérés à partir de l’infrastructure mondiale du groupe, et un capital versé déposé sur un compte bancaire nouvellement ouvert.
De l'intérieur, cela ressemble à une entreprise de l'UE. Du point de vue d'une autorité nationale compétente, cela peut ressembler à une boîte postale avec un directeur attaché.
Cet article décrit les exigences réelles de MiCA en matière de personnel, de technologie et de résilience financière, et explique pourquoi les régulateurs traitent chaque catégorie comme un test fonctionnel plutôt qu'un exercice de documentation.
La préoccupation qui sous-tend tout cela est la même : empêcher les sociétés boîtes aux lettres, des entités qui existent uniquement sur papier dans une juridiction favorable mais qui ne possèdent aucune activité économique significative, aucun capital humain ni capacité opérationnelle réelle au sein de celle-ci.
Le mythe : La présence égale la substance
La logique réglementaire ici est plus ancienne que MiCA. Dans l'arrêt fondateur Cadbury Schweppes (affaire C-196/04), la Cour de justice de l'Union européenne a établi que la liberté d'établissement ne peut être utilisée pour créer des « dispositions entièrement artificielles » dépourvues d'activité économique réelle. MiCA codifie ce principe directement dans la réglementation des actifs cryptographiques.
Article 59(2) du MiCA stipule que les CASP autorisés doivent avoir leur siège social dans un État membre où ils exercent au moins une partie de leurs services d'actifs crypto, avoir leur siège de gestion effective au sein de l'Union, et disposer d'au moins un administrateur résidant dans l'Union. La disposition est brève. Ce qui se cache derrière est considérablement plus exigeant.
Le briefing de supervision de l'ESMA sur l'autorisation des CASP, bien qu'non contraignant, indique clairement comment les ANCs sont censées interpréter ces exigences dans la pratique.
L'écart entre le texte réglementaire et les attentes de supervision est la source de nombreuses difficultés rencontrées par les applications.
Personnel : Qui gère réellement cette entité
Le seuil minimal selon le MiCA est un administrateur résident de l'UE. Les orientations de supervision élèvent ce seuil.
Le briefing de l'ESMA anticipe qu'au moins deux cadres supérieurs supervisent conjointement les opérations quotidiennes. Le raisonnement est simple : un seul cadre crée un risque de concentration et élimine les contrôles internes requis par une structure de gouvernance fonctionnelle. Deux cadres avec des responsabilités définies et chevauchantes constituent la base attendue.
La résidence ne suffit pas en soi. Les orientations indiquent que, si un membre de l'organe de gestion n'est pas résident dans la juridiction de l'ANC, cette personne doit être en mesure de participer aux réunions en personne à la demande de l'autorité dans les deux jours ouvrables.
Pour les juridictions où la proximité physique avec le superviseur est un facteur opérationnel, il s'agit d'une contrainte pratique sur la distance par rapport à la juridiction d'origine à laquelle un administrateur peut être efficacement situé.
L'engagement temporel est traité avec la même sérieux. La position de l'ESMA, telle qu'articulée dans son Supervisory Briefing on Authorization of CASPs, est que les membres du conseil de direction exécutif devraient généralement consacrer 100 % de leur temps professionnel au rôle de CASP. Le cumul de fonctions, où la même personne occupe un poste exécutif dans plusieurs entités, n'est autorisé que dans des circonstances restreintes. Un dirigeant qui répartit son attention entre le CASP et une autre société du groupe risque de faire l'objet d'une attention particulière lors de l'évaluation de l'aptitude et de la probité.
Les chaînes de commandement sont aussi importantes que les profils individuels. L'organe de gestion doit démontrer que le contrôle stratégique et opérationnel réside au sein de l'entité de l'UE, et non chez une société mère située dans un pays tiers qui prend les décisions réelles et émet des instructions vers le bas.
Une filiale de l'UE dont les dirigeants agissent comme agents de mise en œuvre pour un siège non européen n'est pas, au sens de la supervision, une entité dotée d'une gestion véritablement européenne.
La dimension LCR renforce cela. La personne chargée de déposer les rapports d’activités suspectes (le MLRO) doit être physiquement présente, détenir un véritable pouvoir au sein de l’entité et être en mesure d’interagir directement avec l’unité locale de renseignement financier. Cette exigence reflète une tendance mondiale plus large : le Crypto-Asset Reporting Framework (CARF) du GAFI et de l’OCDE repose sur le même principe, en étendant les exigences de substance et de transparence au-delà de l’UE.
Les exigences en personnel de MiCA et le CARF ne sont pas des développements indépendants ; ils reflètent une norme internationale convergente sur ce que doit être, en interne, une entité crypto réglementée.
La norme de compétence collective prévue à l’article 68(1) exige que l’organe de gestion possède, individuellement et collectivement, les connaissances, compétences et expériences appropriées. Comme abordé dans le précédent épisode de cette série, cette norme couvre la réglementation des marchés financiers traditionnels, l’infrastructure DLT et la cybersécurité, ainsi que la gouvernance organisationnelle. Chacun de ces domaines doit être représenté dans la salle.
Une équipe entièrement composée de professionnels issus du monde cryptographique, sans expérience dans les services financiers réglementés, ou une équipe avec une vaste expérience dans le TradFi mais incapable d'évaluer les risques sur chaîne, présente des lacunes structurelles que le processus d'évaluation mettra en lumière.
Technologie : Contrôle, pas seulement l'hébergement
DORA (règlement (UE) 2022/2554) s'applique directement aux CASP et établit le cadre des exigences en matière de résilience TIC. La question que les régulateurs posent sur la technologie n'est pas quelle infrastructure une entreprise utilise. La question est qui la contrôle.
L’infrastructure cloud hébergée par AWS, Azure ou des fournisseurs similaires est acceptable selon les pratiques de supervision actuelles. Le problème survient lorsque l’entité autorisée dans l’UE ne dispose pas d’un contrôle administratif significatif sur les systèmes dont elle dépend.
Si la gestion des clés de chiffrement est confiée à l'équipe informatique mondiale de la société mère, si les droits d'accès aux données des clients sont administrés depuis l'extérieur de l'UE, ou si le plan de reprise après sinistre dépend d'approbations provenant du siège d'un pays tiers, l'entité de l'UE ne peut démontrer une indépendance opérationnelle réelle.
La position de l’ESMA, telle qu’exprimée dans ses documents de consultation, est que l’équipe de gestion de l’UE doit exercer un contrôle réel sur l’infrastructure TIC concernant les activités du CASP. La politique de continuité des activités et les plans de reprise après sinistre requis aux termes de l’article 68(7) doivent être détenus et exécutables par l’entité de l’UE, et non dépendants d’une fonction mondiale qui pourrait ou non réagir en cas de crise.
Le test pratique est clair : si l'équipe informatique mondiale de la société mère devenait inaccessible du jour au lendemain, l'entité UE pourrait-elle continuer à fonctionner, accéder aux fonds des clients et restituer les actifs aux clients ? Si la réponse est non, ou pas sans une escalade significative vers du personnel hors UE, la question de la substance n'a pas été résolue.
La conformité au RGPD et les exigences de gouvernance des données s'ajoutent au cadre DORA. Les accords de traitement des données, les relations entre responsable et sous-traitant, ainsi que les considérations de localisation des données font toutes partie de l'architecture technique que les régulateurs examineront.
Financier : Un capital qui fonctionne vraiment
Article 67 fixe les garanties prudencielle minimales. Les tranches de capital sont définies par classe de service :
| Classification CASP | Services autorisés sur actifs cryptographiques | Capital initial minimum |
| Classe 1 | Réception et transmission des ordres ; Conseils en investissement ; Gestion de portefeuille. | 50 000 EUR |
| Classe 2 | Services de classe 1 plus : Échange de crypto-actifs contre une monnaie fiduciaire ou d'autres crypto-actifs ; Exécution des ordres ; Placement de crypto-actifs. | 125 000 EUR |
| Classe 3 | Services de classe 1 et 2 plus : Exploitation d'une plateforme de trading ; Garde et administration d'actifs cryptographiques au nom des clients. | 150 000 EUR |
Le montant minimal de capital est un point de départ, pas un plafond. Les garanties prudencielle doivent égaler le plus élevé entre le capital minimal permanent ou un quart des charges fixes de l'année précédente.
À mesure qu'une CASP se développe et que ses charges fixes augmentent, ce deuxième volet devient la contrainte déterminante. Lorsque les charges dépassent quatre fois le capital initial versé, l'entreprise doit passer au cadre basé sur les charges. Ce point de bascule arrive plus rapidement que beaucoup d'opérateurs ne le prévoient, et les régulateurs attendent une surveillance proactive plutôt qu'un ajustement réactif.
Un point structurel à noter : le capital doit être versé sur un compte détenu auprès d'une institution de crédit formelle.
Un compte EMI ou fournisseur de services de paiement ne satisfait pas cette exigence. Établir une relation bancaire en tant qu'entreprise crypto prend du temps et n'est pas garanti. Commencer ce processus tôt, avant le dépôt formel de la demande, n'est pas facultatif. C'est une contrainte de séquence qui affecte l'ensemble du calendrier d'autorisation.
La exigence selon laquelle les états financiers utilisés dans le calcul des charges fixes soient dûment vérifiés ou validés par les autorités réglementaires nationales ajoute une dimension administrative supplémentaire. Les entités nouvellement constituées qui projettent leurs premiers douze mois de charges doivent inclure ces projections dans leur demande d’autorisation, avec une méthodologie clairement documentée.
Externalisation et le seuil de substance
Article 73 permet aux CASP de sous-traiter des fonctions opérationnelles à des tiers. La contrainte est que la sous-traitance ne peut pas vider l'entité autorisée de son contenu. La responsabilité reste avec le CASP ; la délégation de validateurs ne transfère pas la responsabilité.
Le Point d'information de surveillance de l'ESMA sur l'autorisation des CASP identifie le pourcentage des coûts totaux imputables aux fonctions situées en dehors de l'UE comme un indicateur pratique permettant de déterminer si le sous-traitance est allée trop loin. Un CASP dont la majorité des dépenses opérationnelles est transférée à des fournisseurs de services non européens, même bien gérés et réputés, peut faire l'objet de questions quant à la capacité interne suffisante de l'entité européenne pour être qualifiée de véritable prestataire de services et non pas de simple intermédiaire.
La distinction établie par le régulateur est entre les CASP qui externalisent des fonctions spécifiques tout en conservant le contrôle et les CASP qui externalisent l'ensemble des éléments essentiels tout en ne conservant que la forme juridique. Ce dernier est une coquille vide, quel que soit le libellé utilisé dans la demande.
Variation juridique : Même loi, pratique différente
MiCA s'applique directement dans tous les États membres de l'UE. Les exigences substantielles sont uniformes. La pratique de supervision ne l'est pas.
Chypre, par le biais de la CySEC, a explicitement exigé que la majorité des membres du conseil d'administration d'un CASP soient des résidents physiques de Chypre. Pour un conseil composé de deux administrateurs exécutifs et deux non-exécutifs, cela signifie un minimum de trois administrateurs résidents de Chypre. Cela va au-delà de ce que prévoit le texte du MiCA et reflète les directives nationales anti-blanchiment superposées au cadre harmonisé de l'UE.
Estonie présente une dynamique différente. Sous le précédent régime d’enregistrement des VASP géré par l’Unité de renseignement financier, l’Estonie est devenue l’une des juridictions d’obtention de licence les plus accessibles en Europe. La transition vers MiCA a transféré la responsabilité de supervision à l’Autorité estonienne de supervision et de résolution financière, ce qui introduit une approche institutionnelle différente pour l’examen et la surveillance continue.
La situation législative en Pologne, abordée dans les épisodes précédents de cette série, a créé un vide structurel puisque la loi nationale d’application de MiCA n’a pas encore été adoptée, laissant la KNF sans désignation formelle en tant qu’autorité compétente et les détenteurs de VASP sans voie viable pour déposer une demande nationale de CASP.
Ces variations ne sont pas des failles ou des particularités administratives. Elles reflètent la réalité selon laquelle un cadre juridique harmonisé fonctionne toujours à travers des cultures de supervision nationales, des contraintes en matière de ressources humaines et des histoires institutionnelles. Choisir une juridiction pour l'autorisation d'un CASP signifie choisir un organisme de régulation, avec toutes les implications pratiques que cela implique.
Ce que nécessite réellement une « établissement authentique »
Pris ensemble, les exigences de fond prévues par MiCA reflètent une philosophie de supervision plutôt qu'une liste de vérification. Le régulateur souhaite être assuré qu'en cas de problème, il dispose d'un recours significatif.
Cela signifie que la direction exécutive est physiquement accessible et légalement responsable en vertu du droit de l'UE. Cela signifie que les systèmes ICT sont contrôlables par l'entité de l'UE sans dépendre de chaînes d'autorisation hors UE. Cela signifie un capital véritablement disponible et adapté au risque opérationnel réel.
Et cela signifie une gouvernance où l'entité de l'UE prend de véritables décisions plutôt que d'appliquer des instructions émises d'ailleurs.
Les entreprises qui abordent cela comme un exercice de documentation trouvent généralement le processus plus difficile qu'attendu. Les entreprises qui construisent d'abord le fond et documentent ensuite ce qu'elles ont créé trouvent cela plus simple. L'application ne crée pas l'organisation. Elle la décrit, et celle-ci devrait déjà exister dans une large mesure.
Sources :
- Séance d'information de supervision de l'ESMA sur l'autorisation des CASP
- Document de consultation de l'ESMA sur le MiCA, deuxième paquet
- MFSA MiCA Rulebook
Cet article est basé sur une étude menée par LegalBison en mai 2026. Le contenu est fourni à titre informatif uniquement et ne constitue pas un conseil juridique.