Règlement32025R0299
Règlement délégué (UE) 2025/299 de la Commission du 31 octobre 2024 complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil sur les marchés de crypto-actifs par des normes techniques de réglementation sur la continuité et la régularité des prestations de services sur crypto-actifs
| CELEX | 32025R0299 |
| Type | Règlement |
| Date | jeudi 31 octobre 2024 |
Résumé IA
Ce règlement délégué précise les exigences opérationnelles pour les prestataires de services sur crypto-actifs (PSA) en matière de continuité et de régularité des activités. Il détaille les obligations de résilience des systèmes, de gestion des risques opérationnels et de planification de la continuité des affaires, conformément au cadre MiCA. Pour un professionnel du droit français, ce texte impose des standards techniques contraignants pour sécuriser l'offre de services et protéger les clients, notamment en cas de défaillance ou d'incident.
Texte intégral
 | Journal officiel | FR Série L |
| 2025/299 | 13.2.2025 |
RÈGLEMENT DÉLÉGUÉ (UE) 2025/299 DE LA COMMISSION
du 31 octobre 2024
complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil sur les marchés de crypto-actifs par des normes techniques de réglementation sur la continuité et la régularité des prestations de services sur crypto-actifs
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (1), et notamment son article 68, paragraphe 10, troisième alinéa,
considérant ce qui suit:
| (1) | Les articles 11 et 12 du règlement (UE) 2022/2554 du Parlement européen et du Conseil (2) prévoient des exigences relatives à la réponse et au rétablissement, aux politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement concernant les systèmes de TIC des entités financières, y compris les prestataires de services sur crypto-actifs. Le règlement délégué (UE) 2024/1774 de la Commission (3) précise davantage les composantes de la politique de continuité des activités de TIC, les tests des plans de continuité des activités de TIC, les composantes des plans de réponse et de rétablissement des TIC des entités financières, y compris les prestataires de services sur crypto-actifs. Le présent règlement complète ces dispositions du règlement (UE) 2022/2554 et du règlement délégué (UE) 2024/1774 en ce qui concerne la continuité et la régularité des prestations de services sur crypto-actifs. |
| (2) | Pour fournir leurs services, les prestataires de services sur crypto-actifs peuvent utiliser un registre distribué sur lequel ils n’exercent aucun contrôle, y compris un registre distribué sans permission. Dans ce cas, ils peuvent ne pas être en mesure d’assurer la régularité et la continuité de leurs services lorsque des perturbations sont engendrées par des problèmes inhérents au fonctionnement de ces registres distribués. Afin de réduire la volatilité du marché, susceptible d’avoir une incidence négative sur les clients touchés par ces perturbations, les prestataires de services sur crypto-actifs devraient inclure dans leur politique de continuité des activités des mesures visant à communiquer en temps utile avec les clients et les autres parties prenantes externes. Cette communication devrait inclure des informations essentielles fournies en temps utile aux clients sur ces perturbations, y compris les mises à jour en cours de la situation, jusqu’à ce que la perturbation soit résolue et que les services reprennent. Lorsque le prestataire de services sur crypto-actifs ne dispose pas facilement d’informations sur le statut du registre distribué sans permission qui est à l’origine d’une perturbation des services, il devrait communiquer les mises à jour aux clients et aux autres parties prenantes, y compris aux autorités compétentes, en veillant, autant que faire se peut, à ce que les clients et les parties prenantes disposent d’informations aussi complètes que possible sur ces perturbations. |
| (3) | Afin de ne pas soumettre les petites et moyennes entreprises et les start-ups à une charge administrative disproportionnée, les prestataires de services sur crypto-actifs devraient tenir compte, dans leur politique de continuité des activités, de l’ampleur, de la nature et de l’éventail des services qu’ils fournissent. Cela signifie que les prestataires de services sur crypto-actifs devraient déterminer leurs exigences spécifiques en matière de continuité des activités sur la base d’une autoévaluation solide, fondée sur plusieurs critères qui leur permettraient de mettre en œuvre une politique de continuité des activités qui soit proportionnée à l’incidence de leurs services sur le marché. L’autoévaluation devrait également tenir compte d’autres circonstances que celles énumérées à l’annexe et qui peuvent avoir une incidence sur le prestataire de services sur crypto-actifs. |
| (4) | Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis par l’Autorité européenne des marchés financiers à la Commission. |
| (5) | L’Autorité européenne des marchés financiers a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe des parties intéressées au secteur financier institué par l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil (4), |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Définitions
Aux fins du présent règlement, on entend par:
| a) | «fonction critique ou importante»: une fonction critique ou importante au sens de l’article 3, point 22), du règlement (UE) 2022/2554; |
| b) | «registre distribué sans permission»: un type spécifique de registre distribué dans lequel aucune entité ne contrôle le registre distribué et dans lequel les nœuds de réseau DLT peuvent être mis en place par toute personne respectant les exigences techniques et les protocoles de ce registre distribué. |
Article 2
Dispositifs organisationnels de la continuité des activités
1. La politique de continuité des activités visée à l’article 68, paragraphe 7, du règlement (UE) 2023/1114 comprend des plans, des procédures et des mesures.
2. Dans l’exercice de ses fonctions visées à l’article 68, paragraphe 6, du règlement (UE) 2023/1114, l’organe de direction des prestataires de services sur crypto-actifs établit et approuve les plans, procédures et mesures qui comprennent la politique de continuité des activités. L’organe de direction du prestataire de services sur crypto-actifs est responsable de la mise en œuvre de la politique de continuité des activités et du réexamen de son efficacité au moins une fois par an.
3. Les prestataires de services sur crypto-actifs veillent à ce que toute modification de la politique de continuité des activités soit transmise à tous les membres du personnel interne concernés au moyen de canaux de communication efficaces.
Article 3
Politique de continuité des activités
1. La politique de continuité des activités visée à l’article 68, paragraphe 7, du règlement (UE) 2023/1114 garantit que les prestataires de services sur crypto-actifs remédient de manière appropriée aux incidents perturbateurs ou aux problèmes de performance liés aux systèmes critiques pour l’exercice de leurs fonctions commerciales et doit être arrêtée sur un support durable.
2. Les prestataires de services sur crypto-actifs incluent dans la politique de continuité des activités tous les éléments suivants:
| a) | une spécification du champ d’application de la politique de continuité des activités, y compris ses limitations et exclusions, qui doit être couvert par les plans, procédures et mesures de continuité des activités; |
| b) | une description des critères d’activation des plans de continuité des activités, y compris les procédures de remontée jusqu’au niveau de l’organe de direction; |
| c) | des dispositions relatives à la gouvernance et à l’organisation du prestataire de services sur crypto-actifs, y compris les rôles et responsabilités du personnel, garantissant la disponibilité de ressources suffisantes pour la mise en œuvre effective de la politique; |
| d) | des dispositions qui garantissent une cohérence entre les plans de continuité des activités et les plans de continuité des activités de TIC, ainsi que les plans de réponse et de rétablissement des TIC visés aux articles 24 et 26 du règlement délégué (UE) 2024/1774. |
Article 4
Plans de continuité des activités
1. Lorsqu’ils mettent en œuvre la politique de continuité des activités visée à l’article 68, paragraphe 7, du règlement (UE) 2023/1114, les prestataires de services sur crypto-actifs établissent des plans de continuité des activités. Les plans de continuité des activités définissent les procédures nécessaires pour protéger et, si nécessaire, rétablir:
| a) | la confidentialité, l’intégrité et la disponibilité des données des clients; |
| b) | la disponibilité des fonctions «métiers», des processus de soutien et des actifs informationnels des prestataires de services sur crypto-actifs. |
2. Les plans de continuité des activités contiennent les éléments suivants:
| a) | un éventail de scénarios défavorables possibles concernant le fonctionnement des fonctions critiques ou importantes, parmi lesquels l’indisponibilité des fonctions «métiers», du personnel, du lieu de travail, des fournisseurs externes ou des centres de données ou la perte ou altération de données et documents critiques; |
| b) | les procédures et les politiques à suivre en cas d’incident perturbateur, notamment:
|
| c) | les procédures et les politiques de relocalisation des fonctions «métiers» utilisées pour fournir des services sur crypto-actifs vers un site de secours; |
| d) | la sauvegarde des données commerciales critiques, y compris des informations actualisées sur les contacts nécessaires pour assurer la communication au sein du prestataire de services sur crypto-actifs, et entre le prestataire de services sur crypto-actifs et ses clients; |
| e) | les procédures de communication en temps utile avec les clients et les autres parties prenantes externes, y compris les autorités compétentes. |
3. En cas de perturbation impliquant un registre distribué sans permission utilisé par le prestataire de services sur crypto-actifs dans la fourniture de ses services, les communications visées au paragraphe 2, point e), comprennent les informations suivantes:
| a) | le délai estimé de reprise des services; |
| b) | les causes et les effets de l’incident perturbateur; |
| c) | tout risque concernant les fonds et crypto-actifs de clients détenus pour leur compte; |
| d) | les mesures que le prestataire de services sur crypto-actifs entend prendre en réponse à la perturbation d’un registre distribué sans permission. |
Lorsque le prestataire de services sur crypto-actifs ne dispose pas facilement de ces informations, il communique, dans la mesure du possible, les mises à jour des informations visées au premier alinéa aux clients et aux parties prenantes, y compris aux autorités compétentes.
4. Les plans de continuité des activités contiennent des procédures pour remédier à toute perturbation des fonctions critiques ou importantes externalisées, notamment lorsque ces fonctions critiques ou importantes deviennent indisponibles.
Article 5
Tests périodiques des plans de continuité des activités
1. Les prestataires de services sur crypto-actifs testent le fonctionnement des plans de continuité des activités visés à l’article 4 sur la base de scénarios réalistes. Ces tests visent à vérifier la capacité du prestataire de services sur crypto-actifs à se rétablir à la suite d’incidents perturbateurs et à reprendre les services conformément à l’article 4, paragraphe 2, point b).
2. Les prestataires de services sur crypto-actifs testent chaque année les plans de continuité des activités en tenant compte:
| a) | des résultats des tests visés au paragraphe 1; |
| b) | des renseignements les plus récents sur les menaces; |
| c) | des enseignements tirés d’événements antérieurs; |
| d) | le cas échéant, de toute modification des objectifs de rétablissement, y compris les objectifs en matière de délai de rétablissement et de point de rétablissement visés à l’article 4, paragraphe 2, point b); |
| e) | des changements dans les fonctions «métiers». |
3. Les prestataires de services sur crypto-actifs consignent par écrit les résultats de l’activité de test et les soumettent à leur organe de direction et aux unités opérationnelles participant à l’élaboration des plans de continuité des activités.
4. Les prestataires de services sur crypto-actifs veillent à ce que les tests des plans de continuité des activités n’interfèrent pas avec la conduite normale de leurs services.
Article 6
Complexité et considérations de risque
1. Lorsqu’ils établissent la politique de continuité des activités, y compris les plans, procédures et mesures, les prestataires de services sur crypto-actifs tiennent compte de facteurs de complexité ou de risque accrus, notamment:
| a) | le type et l’éventail des services sur crypto-actifs proposés; |
| b) | la mesure dans laquelle les services du prestataire de services sur crypto-actifs reposent sur un registre distribué sans permission; |
| c) | l’incidence potentielle de toute perturbation sur la continuité des activités du prestataire de services sur crypto-actifs et la disponibilité de ses services. |
2. Aux fins du paragraphe 1, les prestataires de services sur crypto-actifs procèdent chaque année à une autoévaluation de l’ampleur, de la nature et de l’éventail de leurs services. Les prestataires de services sur crypto-actifs fondent cette autoévaluation sur les critères énoncés à l’annexe et sur tout autre critère qu’ils jugent pertinent.
Article 7
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
(2) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(3) Règlement délégué (UE) 2024/1774 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC (JO L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).
(4) Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
ANNEXE
CRITÈRES D’AUTOÉVALUATION DES PRESTATAIRES DE SERVICES SUR CRYPTO-ACTIFS
| a) | La nature du prestataire de services sur crypto-actifs, sur la base des éléments suivants:
|
| b) | L’ampleur, en évaluant l’incidence du prestataire de services sur crypto-actifs sur le bon fonctionnement des marchés sur la base des éléments suivants, le cas échéant:
|
| c) | La complexité, en évaluant les éléments suivants, le cas échéant:
|
Aux fins des points b) iii) à viii), le prestataire de services sur crypto-actifs utilise, pour l’autoévaluation, la moyenne journalière sur une période de référence d’un an.
ELI: http://data.europa.eu/eli/reg_del/2025/299/oj
ISSN 1977-0693 (electronic edition)
Documents similaires
Règlement32023R2745R(01)
Rectificatif au règlement d’exécution (UE) 2023/2745 de la Commission du 8 décembre 2023 portant modalités d’application du règlement (UE) 2022/2379 du Parlement européen et du Conseil en ce qui concerne les statistiques sur la production animale (JO L, 2023/90838, 11.12.2023)
31/12/2024
Règlement32023R0137R(04)
Règlement (UE) 2023/137
31/12/2024
Règlement32024R2733R(01)
Règlement (UE) 2024/2733
27/12/2024
Règlement32022R1092R(01)
Règlement (UE) 2022/1092
23/12/2024