vendredi 28 Sep 2018

De Amandine Uffer

En 2013, un projet nommé « The Mastercoin projekt » a vu le jour. Il est aujourd’hui considéré comme étant la première Initial Coin Offering (ICO)[1]. Ce n’est cependant qu’en 2016, que le terme ICO commence à être connu du grand public et que le nombre d’ICOs commence à augmenter rapidement.

Selon le site CoinSchedule[2], cette année-là, 43 ICOs voient le jour et lèvent environ 95 millions de dollars. Dès lors, le nombre d’ICOs qui apparaissent suit une courbe presque exponentielle : en 2017, le site internet recense 369 ICOs qui auraient levé des fonds pour plus de 6 milliards de dollars. En août 2018, le nombre de ces levées de fonds a déjà dépassé la barre des 700 et les fonds obtenus ont atteint les 18 milliards de dollars.

Avec une telle vitesse de prolifération, cette méthode de financement, qui s’appuie sur les crypto-monnaies, a largement pris de court les autorités tant nationales qu’internationales. A ce jour, aucune législation internationale n’a encore vu le jour pour réguler les ICOs. En mars dernier, lors du G20 en Argentine, les dirigeants économiques ont demandé, notamment au FSB (Financial Stability Board) et au GAFI (Groupe d’action financière), des propositions de réglementation en matière de « crypto-assets » pour juillet 2018[3]. En Suisse, c’est au début de l’année 2018 que l’Autorité fédérale de surveillance des marchés financiers (FINMA) a publié un premier guide pratique sur le sujet. C’est un début, cependant ce guide couvre les questions liées à l’assujettissement ou non à la FINMA des différents types d’ICOs[4]et beaucoup de questions quant aux réglementations concernant ces levées de fonds restent sans réponse.

Ces vides réglementaires pourraient notamment empêcher la Suisse de se positionner en leader sur le marché des ICOs, ceci en raison de la lenteur du système législatif suisse. En effet, jusqu’à aujourd’hui encore, les banques suisses sont relativement frileuses à l’idée d’entrer en relation avec une ICO.

Pourquoi ? Parce que les différents règlements et les multiples lois qui encadrent les principes de diligence, lors de l’entrée en relation d’une banque suisse avec un client, sont difficilement applicables lorsque ce client est une ICO.

Prenons l’article 7 de l’Ordonnance de la FINMA sur la lutte contre le blanchiment d’argent et le financement du terrorisme (OBA-FINMA). Ce dernier impose à l’intermédiaire financier de ne pas accepter de fonds provenant d’un crime. Par ailleurs, l’alinéa 2 de cet article ajoute que la négligence dans ce cadre-là, « peut remettre en question la garantie d’une activité irréprochable exigée de l’intermédiaire financier » (art. 7 al. 2 OBA-FINMA). Ainsi, l’intermédiaire financier doit entreprendre des démarches afin de s’assurer que les fonds ne proviennent pas d’un crime, ce qui implique d’établir l’origine des fonds. Il en ressort qu’un intermédiaire financier qui accepte les fonds d’une ICO devrait connaître et vérifier l’identité de toutes les personnes ayant participé à la levée de fonds.

Cependant, dans le cadre des ICOs, le nombre de contributeurs peut être très élevés. Une telle levée de fonds peut compter plusieurs centaines ou plusieurs milliers de contributeurs. C’est le cas notamment de l’ICO « Proxeus » qui a rassemblé 795 contributeurs en 48 heures et a ainsi levé environ 25 millions de dollars[5]. « Envion », une autre ICO, a, elle, rassemblé environ 100 millions de dollars grâce à 30’000 contributeurs[6].

Il semble évident, dans ces conditions, qu’identifier tous les contributeurs des ICOs est, en pratique, non réalisable. D’une part, en raison du nombre élevé de contributeurs, mais également car ces derniers ont peut-être participé à la levée de fonds en utilisant une plateforme qui ne demande pas à ses utilisateurs de s’identifier formellement lorsqu’ils créent un portefeuille électronique.

A noter que l’article 7a de la loi sur le blanchiment d’argent (LBA) précise que « l’intermédiaire financier n’est pas tenu de respecter les obligations en matière de diligence (art. 3 à 7) si la relation d’affaires porte uniquement sur des valeurs patrimoniales de faible valeur et qu’il n’y a pas d’indices de blanchiment d’argent ou de financement du terrorisme » (art. 7a LBA). Ainsi, et même si l’article 7 de l’OBA-FINMA ne fait pas partie des articles 3 à 7 de la LBA mentionné explicitement ci-dessus, il serait peut-être envisageable d’établir un seuil au-dessous duquel le fait d’établir l’origine des fonds ne serait pas nécessaire dans le cadre des ICOs.

Il n’en reste pas moins qu’à l’heure actuelle, en raison du flou juridique entourant les ICOs, la plupart des banques suisses refusent d’entrer en relation avec des « sociétés de la Blockchain », les sociétés créés suite à une levée de fonds en crypto-monnaie. Cela a des conséquences d’une part pour ces sociétés qui ont du mal à payer leur employés, d’autre part pour la Suisse qui risque de voir ces sociétés déménager à l’étranger[7].

Ainsi, il y a un risque que la lenteur du système législatif suisse empêche à terme le pays de se positionner comme leader dans le domaine, au profit de pays comme Liechtenstein par exemple. Affaire à suivre…

 

[1]Who was the first to offer tokensales? ICO history and its prospects in 2018. Switzerland.bc.events[en ligne]. Publié le 05.02.2018. [Consulté le 19.08.2018]. Disponible à l’adresse :https://switzerland.bc.events/en/article/who-was-the-first-to-offer-tokensales-ico-history-and-its-prospects-in-2018-83587

[2] Cryptocurrency ICO stats. CoinSchedule [Consulté le 19.08.2018]. Disponible à l’adresse : https://www.coinschedule.com/stats.html?year=2016

[3]Communiqué de presse. G20, 19-20 mars 2018, Buenos Aires, Argentina.[Consulté le 19.08.2018]. Disponible à l’adresse : https://g20.org/sites/default/files/media/communique_-_fmcbg_march_2018.pdf

[4]FINMA, 2018. Guide pratique pour les questions d’assujettissement concernant les initial coin offerings (ICO).Edition du 16.02.2018.

[5]Ghislaine Bloch. En deux jours, Proxeus lève 25 millions de dollars.Le Temps. Publié le 12 février 2018. [Consulté le 26 août 2018]. Disponible à l’adresse : https://www.letemps.ch/economie/deux-jours-proxeus-leve-25-millions-dollars

[6]Mathilde Farine. La FINMA enquête sur une ICO à 100 millions de francs. Publié le 26 juillet 2018. Mis à jour le 26 juillet 2018. [Consulté le 26 août 2018]. Disponible à l’adresse : https://www.letemps.ch/economie/finma-enquete-une-ico-100-millions-francs

[7]Erich Bürgler. Krypto-Firmen verlieren die Geduld mit der Schweiz. Sonntagszeitung.Publié le 19 août 2018. [Consulté le 19 août 2018]. Disponible à l’adresse :https://www.tagesanzeiger.ch/sonntagszeitung/kryptofirmen-verlieren-die-geduld-mit-der-schweiz/story/12065276

 

 

 

jeudi 20 Sep 2018

De Lamia Rossier, Compliance Officer chez Piguet Galland & Cie

Selon la société américaine de cybersécurité Carbon Black, un peu moins d’un milliard de dollars en cryptomonnaies ont été volées rien qu’au premier semestre 2018. Si le nombre de vols de « cryptocurrencies » semblent avoir explosé en ce début d’année, ces derniers semblent rester au rang des faits divers – En octobre 2016, Yapizon (site d’échange de cryptomonnaies) déclare un vol de 5 millions de dollars en Bitcoins ; en septembre 2017, Fireye (société de sécurité américaine) a révèlé une attaque de la Corée du Nord visant plusieurs sites en Corée du Sud et dérobant ainsi plusieurs millions de cryptomonnaies (en Ether, Bitcoins et Bithumbs) ; en janvier 2018, la plateforme de change Coincheck au Japon a fait l’objet d’un vol massif d’environ 430 millions de dollars en NEM la plus grande somme volée à ce jour de « cryptocurrencies ». Dernièrement, en juin, un demi-million en Zen a été volé à la blockchain Zencash. Tous ces exemples ne sont qu’un aperçu des « crypto-hack » répertoriés.

Il est faux de croire que ces vols sont le fruit de groupes de hackers expérimentés, car la réalité est toute autre. Il est en effet aisé d’acquérir, différents logiciels malveillants ou virus sur le Dark Net^[1] pour une centaine de dollars qui permettent à n’importe quel amateur d’obtenir illégalement ces monnaies cryptographiques. A titre d’exemple, en novembre 2017 la société russe de sécurité Kaspersky Labsa annoncé la découverte d’un virus (Cryptos shuffler) pénétrant les ordinateurs et permettant de dérober des Bitcoins. Déjà en octobre de cette même année, Carbon Black a, dans son rapport « The Ransomeware Economy», relevé un accroissement de l’offre en matière de logiciels malveillants. Force est de constater que ce marché est devenu très lucratif.

Quelle protection pour les utilisateurs ?

A l’aune de ces événements se pose la question de la mise en place de normes de sécurités : qui doit prendre les mesures de protection entre le dépositaire^[2] et l’utilisateur ? Simultanément, à qui incomberait juridiquement en Suisse la responsabilité en cas de « crypto-hacking » ?

Malgré le peu de clarté en la matière, certains points nécessitent d’être pris en compte :

En premier lieu, il s’agit de déterminer d’une part de quelles manières sont détenues d’une part les cryptomonnaies et, d’autre part, la clé privée. La protection de l’utilisateur dépend en effet principalement de la manière dont est conservée la clé privée^[3] car le détenteur de la clé a accès aux cryptomonnaies. De manière générale, il existe à cet effet différents modes de détention qui dépendent de l’adresse (assimilée à un numéro de compte) et de l’accès à la clé privée :

• Le « compte collectif » pour lequel le détenteur de l’adresse^[4] est le seul à détenir la clé privée.
• Le « Wallet »^[5] fourni par un dépositaire avec un logiciel de portefeuille^[6]. Le Wallet conserve les clés privées et le dépositaire a la possibilité de les protéger de diverses manières (un mot de passe, 3D-Secure etc.). L’utilisateur et le dépositaire ont tous deux accès aux clés privées.
• Le « Private Wallet » permet à l’utilisateur d’être le seul à avoir accès aux clés privées. Ceci suppose d’enregistrer les clés sur un support physique (ordinateur ou clé USB, etc.)
• Le « compte direct » signifie que l’utilisateur installe directement sur son ordinateur un « Desktop Wallet » permettant à la machine d’être partie du réseau peer-to-peer. Il n’y a ici dès lors pas de dépositaire. Les clés privées peuvent aussi être enregistrées sur un support physique comme par exemple un disque dur.

Seuls les 3 premiers cas sont des modes de détention sur une plateforme ou autre institut financier. Dès lors, pour le « compte collectif » et le « Wallet », le dépositaire a accès aux clés privées et donc aux cryptomonnaies, avec pour conséquence une potentielle responsabilité directe du dépositaire en cas de vol des clés. En effet, dans ces cas de figure le dépositaire est chargé de stocker les clés privées en lieu sûr. En d’autres termes, il devrait s’assurer de prendre les mesures de précaution et de sécurité suffisantes concernant le lieu de conservation.  A l’inverse, concernant le « Private Wallet » et le « Compte directe », les clés privées sont conservées uniquement par l’utilisateur et non par un tiers. Dans ce dernier cas, il est de la responsabilité de l’utilisateur de prendre les mesures de sécurité suffisantes pour éviter un vol (seule sa responsabilité serait engagée).

En second lieu, le fait de déterminer le statut juridique de la plateforme (intermédiaire financier, dépositaire professionnel ou encore négociant de valeurs mobilières) et de qualifier la nature de la relation contractuelle avec cette dernière, sont des prérequis nécessaires pour comprendre la couverture dont l’utilisateur pourrait bénéficier (une protection légale indirecte ou contractuelle).

Bien qu’en Suisse les cryptomonnaies ne soient régies par aucune disposition légale particulière à l’heure actuelle, il n’en demeure pas moins que selon le modèle d’affaires choisi, la société faisant commerce de ces dernières peut être soumise à autorisation ainsi qu’à la surveillance de la FINMA à condition que cette dernière soit considérée comme un dépositaire professionnel ou un intermédiaire financier ayant une activité bancaire au sens de la Loi sur les Banques (ci-après « LB »).

Dans cette hypothèse, Il est envisageable de considérer que la plateforme pourrait être tenue responsable au même titre qu’un établissement bancaire qui verrait les fonds de ses clients détournés par un tiers.

Tout comme les banques, les plateformes^[7] se doivent de respecter un certain nombre de mesures de sécurité au sens de la Circulaire FINMA 2008/21 « Risques opérationnels des banques » et donc une responsabilité en cas de faille doit pouvoir être invoquée par l’utilisateur.

Cependant, les établissements bancaires ont pris l’habitude d’inclure systématiquement une clause d’exclusion de garantie dans les conditions générales ou dans le contrat e-banking faisant assumer les risques au client, sauf faute grave de la banque. Ici l’évaluation de la faute et la responsabilité s’étudie au cas par cas.

Sous réserve du cas de figure ci-avant, force est de constater que la réglementation suisse dans ce domaine est encore au stade embryonnaire. Des réflexions s’imposent dès lors que les normes actuelles apparaissent comme insuffisantes et que la protection de l’utilisateur quasi inexistante.

Relevons encore qu’il est indispensable de bien comprendre qui de l’utilisateur ou du dépositaire est tenu responsable d’un éventuel vol de la clé privée. Seule la lecture attentive par le client-utilisateur du contrat et/ou des conditions générales lors de l’ouverture d’un « Wallet » sur une plateforme ou autre institution financière répondra à cette question.

En conclusion

Si le mode de détention du « Wallet » et des clés privées est primordial dans les éléments constitutifs de la responsabilité à prendre suite à un « crypto-hack », des actions préventives apparaissent comme indispensables pour l’utilisateur. Notamment en privilégiant des « Hardwares Wallets », en s’informant sur la manière la plus sure d’effectuer des transactions en cryptomonnaies, etc. A cet égard, les conseils de sécurité en la matière fleurissent sur internet. De plus, aux vues des différentes réglementations et absence de celles-ci dans les divers pays où se trouvent les plateformes de change, une uniformité de la protection des investisseurs sur le plan international semble pour l’heure irréalisable, les différents Etats non seulement ayant leur propre qualification des crytommonaies, mais aussi arborant l’impérialisme d’autres Etats.

A cela s’ajoute la responsabilité de la plateforme qui doit prendre les mesures nécessaires en termes de sécurité, de système de contrôle, de garantie, etc. Pour preuve aux Etats-Unis, parmi les motifs invoqués par la SEC (Securities and Exchange Commission) suite à son refus pour le moment d’octroyer une licence pour des ETF^[8]Bitcoin sur sol américain, il y a le manque d’un cadre légal pour les cryptomonnaies et les « Exchanges » ainsi que l’insuffisance de sécurité et d’assurance pour les investisseurs (hacking et perte des clés privées). Cela a pour conséquence que certaines plateformes prennent les devants comme CDBOE (Chicago Board Options Exchange) en déposant leur candidature auprès de la SEC. Cette démarche a pour but d’assurer que les responsabilités pour la détention des fonds des investisseurs, la perte ou le vol des Bitcoins incombe aux plateformes concernées. A voir si ces promesses vont se concrétiser et si d’autres plateformes et autorités suivront le mouvement.

 

[1]Un darknet est un réseau superposé (ou réseau overlay) qui utilise des protocoles spécifiques intégrant des fonctions d’anonymisation. Certains darknets se limitent à l’échange de fichiers, d’autres permettent la construction d’un écosystème anonyme complet (web, blog, mail, irc) comme Freenet.

[2]On entend ici par dépositaire une plateforme, institut financier ou tout autre société où le portefeuille électronique « Wallet » est déposé ; sans lien avec la qualification juridique du modèle d’affaire au sens du droit suisse.

[3]Cette clé permet en signant les transactions de prouver à l’ensemble des pairs d’un réseau que l’on est bien propriétaire des cryptomonnaies envoyées.

[4]Dans ce cas le détenteur de l’adresse peut être directement la plateforme de change ou un intermédiaire financier (ex. Swissquote) ou autre, mais pas l’utilisateur.

[5]En matière de cryptomonnaies il s’agit d’un procédé de stockage physique ou numérique intégrant deux éléments : une clé publique correspondant à une adresse bitcoin ou autre cryptomonnaie, et une clé privée connu du seul propriétaire des cryptos.

[6]Ce programme qu’on appelle le client permet de se connecter au réseau peer-to-peer et de diffuser ses transactions.

[7]Les plateformes entrant dans le champ d’application de la LB au sens de l’art. 2LB.

[8]Fonds indiciels cotés et négociés en bourse comme une action.