DeFi : peut-on et doit-on réguler la finance décentralisée ?

jeu 09 Déc 2021 ▪ 10h00 ▪ 12 min de lecture - par Thibault Verbiest

Article co-écrit avec Jérémy Fluxman, avocat, Metalaw

La finance décentralisée, connue sous le nom de DeFi (Decentralized Finance), est une nouvelle utilisation de la technologie de la blockchain qui connaît une forte croissance, avec plus de 100 milliards de dollars de valeur bloquée dans des projets DeFi en décembre 2021. Les régulateurs ont conscience de ce phénomène et commencent à agir pour le règlementer.

Dans cet article, nous rappelons brièvement les fondamentaux et les risques de la DeFi avant d’en présenter le contexte réglementaire.

Les fondamentaux de la DeFi

La DeFi regroupe l’ensemble des systèmes financiers alternatifs basés sur la blockchain qui permettent de réaliser des opérations financières plus avancées que le simple transfert de valeur, comme le change entre deux monnaies, le prêt ou l’emprunt, et ce de manière décentralisée, c’est-à-dire directement entre pairs, sans passer par un intermédiaire financier (un exchange centralisé par exemple).

Schématiquement, un protocole, qu’on appelle DApp (pour Decentralized Application), tel que Uniswap ou Aave, est développé en code open source sur une blockchain publique telle qu’Ethereum.

Ce protocole est alimenté en smart contracts, c’est-à-dire des contrats qui s’exécutent automatiquement lorsque certaines conditions sont remplies.

Par exemple, sur la DApp de Uniswap, il est possible de faire le change entre deux cryptomonnaies de l’écosystème Ethereum, grâce aux smart contracts conçus pour réaliser automatiquement cette opération.

Les utilisateurs sont incités à apporter de la liquidité, car ils perçoivent une partie des frais de transaction.

Pour ce qui est du prêt et de l’emprunt, des smart contracts permettent à ceux qui veulent prêter leurs fonds de les mettre à disposition d’emprunteurs et aux emprunteurs d’emprunter directement les sommes mises à disposition en garantissant l’emprunt par un collatéral (ou non). Les taux de change et d’intérêt sont déterminés par l’offre et la demande et arbitrés entre les DApp.

La grande particularité des protocoles DeFi est qu’il n’y a pas d’institution centralisée ayant la charge de vérifier et de réaliser les transactions. Toutes les transactions sont réalisées sur la blockchain et elles sont irréversibles. Les smart contracts remplacent le rôle d’intermédiaire des institutions financières centralisées. Le code des applications DeFi est open source, ce qui permet aux utilisateurs de vérifier les protocoles, de construire sur ceux-ci et d’en faire des copies.

Les risques de la DeFi

La blockchain confère plus de pouvoir à l’individu. Mais davantage de pouvoir entraîne davantage de responsabilités.

Les risques de la DeFi sont de plusieurs ordres.

D’abord, des risques d’ordre technologique existent. Les protocoles DeFi sont dépendants des blockchains sur lesquels ils sont construits et les blockchains peuvent connaître des attaques (dites « attaques des 51 % »), des bugs, des problèmes de congestion du réseau ralentissant les transactions, les rendant plus coûteuses, voire impossibles.

Les protocoles DeFi eux-mêmes sont également la cible de cyberattaques, comme l’exploitation d’un bug propre au protocole.

Certaines attaques se situent au croisement de la technologie et de la finance. Il s’agit des attaques réalisées grâce aux « prêts éclairs » (flash loans). Il s’agit de prêts de tokens sans collatéral qui peuvent permettre ensuite d’influencer le prix des tokens et de réaliser un profit, avant de rembourser le prêt rapidement.

Ensuite, des risques d’ordre financier existent. Le marché des cryptomonnaies est très volatil et une chute rapide des cours peut se produire. La liquidité peut venir à manquer si tout le monde retire ses cryptomonnaies des pools de liquidité au même moment (scénario de type « bank run »). Certains développeurs de protocoles DeFi malintentionnés se réservent des « backdoors » qui leur permettent de s’approprier les tokens bloqués dans les smart contracts et ainsi de voler les utilisateurs (ce phénomène est appelé « rug-pull »).

Enfin, des risques réglementaires existent, et ce même si le code source de la DApp est ouvert au public et qu’il est exécuté automatiquement par les smart contracts. Les risques réglementaires sont d’autant plus importants que la portée de la DeFi est mondiale, que les transactions de pair-à-pair sont en général anonymes et qu’il n’y a pas d’intermédiaires identifiés (le plus souvent).

Comme nous allons le voir ci-après, deux sujets sont particulièrement importants pour le régulateur : la lutte contre le blanchiment de capitaux et le financement du terrorisme d’une part, et la protection des consommateurs d’autre part.

Le « test » du GAFI : vraiment décentralisé ?

Le caractère décentralisé de la DeFi est un challenge pour le régulateur qui, souvent, ne sait pas à qui s’adresser pour réglementer ces applications.

En date du 28 octobre 2021, le Groupe d’action financière (GAFI) a publié ses dernières orientations sur les actifs numériques. Cette organisation internationale a cherché à définir des règles permettant d’identifier les acteurs responsables dans les projets DeFi en proposant un test pour déterminer si les opérateurs DeFi devaient être ou non soumis au régime des prestataires de services sur actifs numériques ou « PSAN » (« DASP » en anglais). Ce régime impose notamment des obligations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

Le GAFI avait initialement considéré, en mars dernier, que si l’application décentralisée (la DApp) n’est pas un PSAN, les entités « impliquées » dans l’application peuvent l’être, ce qui est le cas lorsque « les entités s’engagent en tant qu’entreprise à faciliter ou à mener les activités » sur les DApp.

Les nouvelles orientations du GAFI abandonnent le terme « faciliter » et adoptent à la place un critère plus fonctionnel de « propriétaire/exploitant », selon lequel « les créateurs, propriétaires et exploitants […] qui conservent le contrôle ou l’influence » sur la DApp peuvent être des PSAN même si le projet peut sembler décentralisé.

Le GAFI, dans le cadre du nouveau test du « propriétaire/opérateur », affirme que les indices de contrôle comprennent le fait d’exercer un contrôle sur le projet ou de maintenir une relation continue avec les utilisateurs. Voici le test :

  • Une personne ou une entité exerce-t-elle un contrôle sur les actifs ou sur le protocole lui-même ?
  • Une personne ou une entité a-t-elle « une relation commerciale entre elle et les clients, même si elle est exercée par le biais d’un contrat intelligent » ?
  • Une personne ou une entité profite-t-elle du service offert aux clients ?
  • Existe-t-il d’autres indices d’un propriétaire/opérateur ?

Le GAFI indique clairement qu’un État doit interpréter le test de manière large. Il ajoute que « les propriétaires/exploitants devraient entreprendre des évaluations des risques de blanchiment de capitaux et de financement du terrorisme avant le lancement ou l’utilisation du logiciel ou de la plateforme et prendre les mesures appropriées pour gérer et atténuer ces risques de manière continue et prospective ».

Le GAFI affirme même que, s’il n’y a pas de « propriétaire/opérateur », les États peuvent exiger qu’un PSAN réglementé soit « impliqué » dans les activités liées au projet DeFi…

Ce n’est que si un projet DeFi est complètement décentralisé en fait, autrement dit entièrement automatisé et en dehors de tout contrôle d’un propriétaire/opérateur, qu’il n’est pas un PSAN au regard des dernières orientations du GAFI.

On peut regretter ici qu’il n’ait pas été érigé un principe de neutralité des réseaux blockchain à l’image du principe de neutralité des réseaux et des intermédiaires techniques de l’Internet (instaurée par la directive européenne sur le commerce électronique il y a plus de vingt ans).

En effet, les développeurs purement techniques des solutions DeFi n’ont souvent pas la possibilité matérielle de procéder aux vérifications imposées par les procédures LCB-FT dans la conception des DApp actuelles. Les nouvelles orientations du GAFI imposeront sans doute aux développeurs de DApp de mettre des portails KYC avant que les utilisateurs ne puissent utiliser les DApp.

Application du droit financier ?

L’on connaît ce débat juridique devenu classique lorsqu’il convient de qualifier un token : s’agit-il d’un jeton d’usage (utility token), soumis désormais à la réglementation des actifs numériques (ICO et PSAN) ou s’agit-il d’un jeton d’investissement (security token) susceptible d’être régi par le droit financier ?

L’on sait que l’approche est très différente aux États-Unis où la Securities Exchange Commission (en appliquant le fameux « Howey Test ») qualifie de securities des tokens qui seraient vus comme des actifs numériques en Europe. Leur approche est donc plus sévère, et cela se traduira certainement par davantage de poursuites de « propriétaires » de plateformes DeFi aux États-Unis qu’en Europe.

Ainsi, si les services DeFi ne concernent pas des actifs numériques, mais des titres financiers tokenisés tels que définis par la directive européenne MiFID, les règles des prestataires de services en investissement (PSI) devront être appliquées.

En Europe, ce cas sera rare, car il faudrait que les tokens échangés soient réellement des titres financiers (actions de sociétés, dettes ou unités de fonds d’investissement).

Toutefois, des réglementations nationales sont susceptibles de s’appliquer. Par exemple, en France, il s’agira de déterminer si la réglementation sur les intermédiaires en biens divers (article L551-1 du Code monétaire et suivants) s’applique ou non aux pools de liquidités.

En effet, les pools permettent à des clients d’acquérir des droits sur des biens immatériels et mettent en avant un rendement financier. Théoriquement, il ne serait plus exclu que l’Autorité des marchés financiers (AMF) décide d’appliquer ce régime.

Conséquence : un document d’information devra être approuvé par l’AMF avant toute commercialisation.

Or, en pratique, il n’y a pas une personne qui propose l’investissement, mais une multitude d’utilisateurs de la DApp qui apportent leur liquidité dans un smart contract codé en open source.

L’on en revient donc au test proposé par le GAFI : y a-t-il un « propriétaire » de la plateforme qui peut être rendu redevable du respect de la réglementation ?

Le projet MiCA

Le 24 novembre, le Conseil européen a arrêté sa position sur le « règlement sur les marchés de cryptoactifs » (MiCA), avant de le soumettre au Parlement européen.

On s’attend à une adoption de ce texte fondamental pour la cryptosphère d’ici fin 2022 (si tout va bien…).

Le projet de règlement de l’Union européenne repose sur une approche centralisée en identifiant pour chaque service un prestataire responsable des opérations, ce qui fonctionne bien dans le cas d’une plateforme d’échange centralisée ou de l’émetteur centralisé d’un stablecoin. Mais l’on reste évidemment sur sa faim lorsqu’il s’agit d’une plateforme d’échange décentralisée (à l’image de Uniswap), ou de l’émission d’un stablecoin décentralisé.

Il conviendrait de réfléchir à un système juridique intégrant la nature automatisée et décentralisée des systèmes reposant sur la blockchain pour ne pas imposer des obligations à des opérateurs qui n’ont pas la possibilité matérielle de les respecter ou qui courent le risque d’entraver l’innovation en retirant la raison du progrès : la décentralisation.

L’Europe s’est déjà montrée capable d’arbitrage subtil dans des questions de régulation technologique, si l’on se réfère notamment à la proposition de règlement de l’Union européenne sur l’intelligence artificielle. La démarche pourrait nous servir de source d’inspiration.

Quelle que soit la balance choisie par le régulateur, les investisseurs doivent s’informer au maximum et faire attention aux risques technologiques, financiers et de conformité avant d’entreprendre une opération sur la DeFi.

Quant aux développeurs d’application DeFi et aux prestataires de services dans ce domaine, ils doivent rester attentifs aux développements réglementaires et cultiver une culture de transparence de leurs opérations afin d’anticiper au maximum le risque réglementaire.

A
A
Thibault Verbiest

Thibault Verbiest, avocat à Paris et Bruxelles depuis 1993, est associé au sein du cabinet Metalaw, où il dirige le département dédié aux fintechs, à la banque digitale et à la crypto finance. Il est le coauteur de plusieurs ouvrages, dont le premier livre sur la blockchain en français. Il intervient en tant qu'expert auprès de divers gouvernements et auprès de la Banque mondiale. Thibault est également un entrepreneur, puisqu'il a cofondé DA Value Group et Payfoot.com. En 2020, il est devenu président de la Fondation IOUR, une fondation d'utilité publique visant à promouvoir l'adoption d'un nouvel internet, fusionnant TCP/IP et blockchain.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.

Cours & Indices

BITCOIN (BTCUSD) 36 049,66 $ -2.12%
ETHEREUM (ETHUSD) Ξ 2 405,48 $ -2.37%
DEFI (DEFIPERP) 6 152,40 $ -2.79%
MARKETS (ACWI) 97,87 $ -0.5%
GOLD (XAUUSD) 1 812,21 $ -0.37%
TECH (NDX) 14 172,76 $ 0.17%
CURRENCIES (EURUSD) 1,12 $ -0.37%
CURRENCIES (EURGBP) 0,834550 £ -0.03%
CRUDEOIL (USOIL) 87,25 $ 0.11%
IMM. US (REIT) 2 652,50 $ -1.53%
Le pourcentage exprime l’évolution depuis 24h Acheter des cryptos sans risques
Newsletter

Recevez le meilleur de l’actualité Crypto dans votre boite email