Comment la DeFi devrait-elle être réglementée ? Une approche européenne de la décentralisation

La finance décentralisée, connue sous le nom de DeFi, est une nouvelle utilisation de la technologie blockchain qui est croissance rapidement, avec plus de 237 milliards de dollars de valeur enfermés dans des projets DeFi en janvier 2022. Les régulateurs sont conscients de ce phénomène et commencent à agir pour le réglementer. Dans cet article, nous passons brièvement en revue les fondamentaux et les risques de la DeFi avant de présenter le contexte réglementaire.

Les fondamentaux de la DeFi

Le DeFi est un ensemble de systèmes financiers alternatifs basés sur la blockchain qui permet des opérations financières plus avancées que le simple transfert de valeur, comme le change de devises, le prêt ou l’emprunt, de manière décentralisée, c’est-à-dire directement entre pairs, sans passer par un intermédiaire financier (une bourse centralisée, par exemple).

Schématiquement, un protocole appelé DApp (pour application décentralisée), comme Uniswap ou Aave, est développé en code open source sur une blockchain publique comme Ethereum. Ce protocole est alimenté par des contrats intelligents, c’est-à-dire des contrats qui sont exécutés automatiquement lorsque certaines conditions sont remplies. Par exemple, sur la DApp Uniswap, il est possible d’échanger de l’argent entre deux crypto-monnaies de l’écosystème Ethereum, grâce aux contrats intelligents conçus pour effectuer cette opération automatiquement.

Les utilisateurs sont incités à apporter des liquidités, car ils reçoivent une partie des frais de transaction. En ce qui concerne les prêts et les emprunts, les contrats intelligents permettent à ceux qui veulent prêter leurs fonds de les mettre à la disposition des emprunteurs et les emprunteurs d’emprunter directement l’argent mis à disposition en garantissant le prêt avec une garantie (ou non). Les taux de change et d’intérêt sont déterminés par l’offre et la demande et arbitrés entre les DApps.

La grande particularité des protocoles DeFi est qu’il n’y a pas d’institution centralisée chargée de vérifier et d’effectuer les transactions. Toutes les transactions sont effectuées sur la blockchain et sont irréversibles. Les contrats intelligents remplacent le rôle d’intermédiaire des institutions financières centralisées. Le code des applications DeFi est open source, ce qui permet aux utilisateurs de vérifier les protocoles, de les développer et d’en faire des copies.

Les risques de DeFi

La blockchain donne plus de pouvoir à l’individu. Mais avec plus de pouvoir vient plus de responsabilités. Les risques DeFi sont de plusieurs natures :

Risques technologiques. Les protocoles DeFi sont dépendants des blockchains sur lesquelles ils sont construits, et les blockchains peuvent subir des attaques (appelées « attaques à 51 % »), des bugs et des problèmes de congestion du réseau qui ralentissent les transactions, les rendant plus coûteuses voire impossibles. Les protocoles DeFi, eux-mêmes, sont également la cible de cyberattaques, comme l’exploitation d’un bogue spécifique au protocole. Certaines attaques se situent à l’intersection de la technologie et de la finance. Ces attaques sont menées par le biais de « prêts flash ». Ce sont des prêts de jetons sans garantie qui peuvent ensuite être utilisés pour influencer le prix des jetons et réaliser un profit, avant de rembourser rapidement le prêt.

Risques financiers. Le marché des crypto-monnaies est très volatil et une chute rapide des prix peut survenir. La liquidité peut s’épuiser si tout le monde retire ses crypto-monnaies des pools de liquidités en même temps (scénario « bank run »). Certains développeurs malveillants de protocoles DeFi ont des « portes dérobées » qui leur permettent de s’approprier les jetons verrouillés dans les contrats intelligents et ainsi voler les utilisateurs (ce phénomène est appelé « rug-pull »).

Risques réglementaires. Les risques réglementaires sont encore plus grands car la portée de DeFi est mondiale, les transactions entre pairs sont généralement anonymes et il n’y a pas d’intermédiaires identifiés (le plus souvent). Comme nous le verrons plus loin, deux sujets sont particulièrement importants pour le régulateur : la lutte contre le blanchiment d’argent et le financement du terrorisme, d’une part, et la protection des consommateurs, d’autre part.

Le « test » du GAFI : Vraiment décentralisé ?

Le 28 octobre 2021, le Groupe d’action financière (GAFI) a publié ses dernières directives sur les actifs numériques. Cette organisation internationale a cherché à définir des règles d’identification des acteurs responsables dans les projets DeFi en proposant un test pour déterminer si les opérateurs DeFi devaient être soumis au régime Virtual Asset Service Provider ou « VASP ». Ce régime impose, entre autres, des obligations de lutte contre le blanchiment d’argent (LBC) et contre le financement du terrorisme (CFT).

Le GAFI avait initialement considéré, en mars dernier, que si l’application décentralisée (la DApp) n’est pas un PSAV, les entités « impliquées » dans l’application peuvent l’être, ce qui est le cas lorsque « les entités s’engagent en tant qu’entreprise pour faciliter ou conduire activités » sur la DApp.

Les nouvelles directives du GAFI abandonnent le terme « faciliter » et adoptent à la place un critère plus fonctionnel de « propriétaire/opérateur », selon lequel « les créateurs, les propriétaires et les opérateurs… qui conservent le contrôle ou l’influence » sur le DApp peuvent être des VASP même si le projet peut sembler décentralisé.

En rapport: Orientations du GAFI sur les actifs virtuels : les NFT gagnent, la DeFi perd, le reste reste inchangé

Le GAFI, selon le nouveau test « propriétaire/exploitant », stipule que les indices de contrôle comprennent l’exercice d’un contrôle sur le projet ou le maintien d’une relation continue avec les utilisateurs.

L’épreuve est celle-ci :

• Une personne ou une entité contrôle-t-elle les actifs ou le protocole lui-même ?
• Une personne ou une entité a-t-elle « une relation commerciale entre elle et des clients, même si elle s’exerce par le biais d’un contrat intelligent » ?
• Une personne ou une entité profite-t-elle du service fourni aux clients ?
• Y a-t-il d’autres indications d’un propriétaire/exploitant ?

Le GAFI indique clairement qu’un État doit interpréter le test au sens large. Ce ajoute:

« Les propriétaires/exploitants doivent entreprendre des activités de BC/FT [money laundering and terrorist financing] évaluations des risques avant le lancement ou l’utilisation du logiciel ou de la plate-forme et prendre les mesures appropriées pour gérer et atténuer ces risques de manière continue et prospective.

Le GAFI précise même que, s’il n’y a pas de « propriétaire/exploitant », les États peuvent exiger qu’un VASP réglementé soit « impliqué » dans les activités liées au projet DeFi… Seulement si un projet DeFi est complètement décentralisé, c’est-à-dire entièrement automatisé et en dehors du sous le contrôle d’un propriétaire/opérateur, n’est-ce pas un VASP selon les dernières directives du GAFI.

Il est regrettable qu’un principe de neutralité des réseaux blockchain n’ait pas été établi, similaire au principe de neutralité des réseaux et des intermédiaires techniques de l’internet (établi par la directive européenne sur le commerce électronique il y a plus de 20 ans).

En effet, les développeurs purement techniques de solutions DeFi n’ont souvent pas la possibilité physique d’effectuer les contrôles imposés par les procédures LBC/FT dans la conception des DApps actuelles. Les nouvelles directives du GAFI obligeront probablement les développeurs de DApp à mettre en place des portails Know Your Customer (KYC) avant que les utilisateurs puissent utiliser les DApp.

Application du droit de la sécurité ?

Nous connaissons tous le débat juridique devenu classique lorsqu’il s’agit de qualifier un token : est-ce un utility token, désormais soumis à la réglementation des actifs numériques (ICO et VASP), ou est-ce un security token susceptible de être régi par le droit financier ?

On sait que l’approche est très différente aux Etats-Unis où la Securities Exchange Commission (en appliquant le fameux « Howey Test ») qualifie les tokens de titres qui seraient vus comme des actifs numériques en Europe. Leur approche est donc plus sévère, et cela entraînera certainement plus de poursuites contre les « propriétaires » de plateformes DeFi aux États-Unis qu’en Europe.

Ainsi, si les services DeFi n’impliquent pas d’actifs numériques, mais des titres financiers tokenisés tels que définis par la directive européenne sur les marchés d’instruments financiers (directive MiFID), les règles pour les fournisseurs de services d’investissement (ISP) devront être appliquées. En Europe, ce sera un cas rare car les jetons échangés devront être de véritables titres financiers (actions de sociétés, dettes ou parts de fonds d’investissement).

En rapport: Dommages collatéraux : la bombe à retardement de DeFi

Cependant, les réglementations nationales sont susceptibles de s’appliquer. Par exemple, en France, il faudra déterminer si la réglementation sur les intermédiaires en biens divers (article L551-1 du code monétaire et suivants) s’applique aux pools de liquidité.

En effet, les pools permettent aux clients d’acquérir des droits sur des actifs incorporels et de proposer un rendement financier. Théoriquement, il ne serait plus exclu que l’Autorité des marchés financiers (AMF) décide d’appliquer ce régime. En conséquence, un document d’information devra être visé par l’AMF avant toute commercialisation.

Cependant, en pratique, ce n’est pas une personne qui propose l’investissement, mais une multitude d’utilisateurs de la DApp qui apportent leur liquidité dans un smart contract codé en open source. Cela nous ramène au test proposé par le GAFI : Existe-t-il un « propriétaire » de la plateforme qui peut être tenu responsable du respect de la réglementation ?

Le règlement MiCA

Le 24 novembre, le Conseil européen décidé sa position sur le « Règlement sur les marchés de cryptoactifs » (MiCA), avant de la soumettre au Parlement européen. Il est prévu que ce texte fondamental pour la cryptosphère soit adopté d’ici fin 2022 (si tout se passe bien…).

Le projet de règlement de l’UE est basé sur une approche centralisée en identifiant un fournisseur responsable des opérations pour chaque service, ce qui ne fonctionne pas pour une plateforme d’échange décentralisée (comme Uniswap) ou un stablecoin décentralisé.

En rapport: L’Europe attend la mise en place d’un cadre réglementaire pour les actifs cryptographiques

Nous devrions réfléchir à un système juridique qui tienne compte du caractère automatisé et décentralisé des systèmes basés sur la blockchain, afin de ne pas imposer d’obligations aux opérateurs qui n’ont pas la possibilité matérielle de les respecter ou qui risquent de freiner l’innovation en supprimant la raison du progrès : la décentralisation.

L’Europe s’est déjà montrée capable d’arbitrages subtils en matière de régulation technologique si l’on référer notamment à la proposition de règlement de l’Union européenne sur l’intelligence artificielle. Cette approche pourrait servir de source d’inspiration.

Quel que soit l’équilibre choisi par le régulateur, les investisseurs doivent s’informer le plus possible et prêter attention aux risques technologiques, financiers et de conformité avant d’entreprendre une transaction DeFi.

Quant aux développeurs d’applications DeFi et aux fournisseurs de services dans ce domaine, ils doivent rester attentifs aux évolutions réglementaires et cultiver une culture de transparence dans leurs opérations pour anticiper au maximum le risque réglementaire.

Cet article a été co-écrit par Thibault Verbiest et Jérémy Fluxman.

Cet article ne contient pas de conseils ou de recommandations d’investissement. Chaque mouvement d’investissement et de trading comporte des risques, et les lecteurs doivent mener leurs propres recherches lorsqu’ils prennent une décision.

Les points de vue, pensées et opinions exprimés ici sont ceux des seuls auteurs et ne reflètent pas ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.