Règlement32025R0305

Règlement délégué (UE) 2025/305 de la Commission du 31 octobre 2024 complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les informations à inclure dans une demande d’agrément en tant que prestataire de services sur crypto-actifs

CELEX	32025R0305
Type	Règlement
Date	jeudi 31 octobre 2024

Résumé IA

Ce règlement délégué précise les informations détaillées que les prestataires de services sur crypto-actifs (PSAN) doivent fournir dans leur demande d'agrément, en application du règlement MiCA (UE) 2023/1114. Il harmonise ainsi les exigences documentaires au niveau européen, couvrant notamment le programme d'activités, la gouvernance, les dispositifs de conservation des crypto-actifs et les procédures de gestion des conflits d'intérêts. Pour un professionnel du droit français, ce texte est essentiel pour conseiller les clients souhaitant obtenir l'agrément PSAN auprès de l'AMF, en définissant le contenu obligatoire du dossier de demande.

Texte intégral

Journal officiel
de l'Union européenne

Série L

2025/305

31.3.2025

RÈGLEMENT DÉLÉGUÉ (UE) 2025/305 DE LA COMMISSION

du 31 octobre 2024

complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les informations à inclure dans une demande d’agrément en tant que prestataire de services sur crypto-actifs

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (1), et notamment son article 62, paragraphe 5, troisième alinéa,

considérant ce qui suit:

Afin de permettre aux autorités compétentes d’évaluer si les personnes morales ou autres entreprises sollicitant un agrément en tant que prestataire de services sur crypto-actifs en vertu de l’article 62 du règlement (UE) 2023/1114 (ci-après les «demandeurs») satisfont aux exigences applicables énoncées au titre V et, le cas échéant, au titre VI dudit règlement, les informations à fournir dans une demande d’agrément en tant que prestataire de services sur crypto-actifs présentée en vertu de l’article 62, paragraphe 1, dudit règlement (ci-après la «demande d’agrément») doivent être suffisamment détaillées et complètes, sans toutefois imposer de charge excessive.

La demande d’agrément devrait contenir des données sur l’identité du demandeur, son dispositif de gouvernance et ses mécanismes de contrôle interne, l’aptitude des membres de son organe de direction et l’honorabilité suffisante de ses actionnaires ou associés détenteurs d’une participation qualifiée. Conformément au principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679 du Parlement européen et du Conseil (2), ces informations devraient être suffisantes pour permettre aux autorités compétentes de procéder à une évaluation complète du demandeur et de sa capacité à se conformer aux exigences pertinentes du règlement (UE) 2023/1114. En outre, ces informations devraient suffire pour permettre aux autorités compétentes de vérifier qu’il n’existe aucune des raisons objectives et démontrables de refus de l’agrément visées à l’article 63, paragraphe 10, points a) à d), dudit règlement.

Afin de garantir que l’évaluation des autorités compétentes repose sur des informations exactes, les demandeurs devraient fournir des copies de leurs documents d’entreprise, incluant leur identifiant d’entité juridique, leurs statuts, une copie de leur inscription au registre national des sociétés et, lorsqu’ils ont l’intention d’exploiter une plate-forme de négociation, la dénomination commerciale utilisée.

Conformément à l’article 62, paragraphe 2, point d), du règlement (UE) 2023/1114, une demande d’agrément doit contenir un programme d’activité. Ce programme doit préciser la structure organisationnelle du demandeur, sa stratégie de fourniture de services sur crypto-actifs à des clients ciblés et sa capacité opérationnelle pendant les trois années suivant l’octroi de l’agrément. Lorsqu’ils précisent la stratégie utilisée pour cibler les clients, les demandeurs devraient, pour des raisons de transparence, décrire les moyens de commercialisation qu’ils comptent utiliser, y compris les sites web, les applications pour téléphones mobiles, les réunions en face à face, les communiqués de presse ou toute forme de moyen physique ou électronique, y compris les outils de campagne sur les médias sociaux, les annonces et bandeaux publicitaires sur l’internet, le reciblage publicitaire, les accords avec des influenceurs, les accords de parrainage, les appels vocaux, les webinaires, les invitations à participer à un événement, les campagnes d’affiliation, les techniques de ludification, les invitations à remplir un formulaire de réponse ou à suivre une formation, les comptes de démonstration ou le matériel pédagogique.

Afin de permettre aux autorités compétentes d’évaluer la résilience des demandeurs face aux chocs financiers externes, y compris ceux concernant la valeur des crypto-actifs, les demandeurs devraient inclure, dans leur demande d’agrément, des scénarios de crise simulant des événements graves, mais plausibles, dans leurs calculs prévisionnels et leurs plans de détermination de leurs fonds propres.

Les clients sont exposés à des risques liés aux prestataires de services sur crypto-actifs. Afin de permettre aux autorités compétentes d’évaluer si les demandeurs satisfont aux exigences prudentielles prévues par l’article 67 du règlement (UE) 2023/1114 pour protéger leurs clients contre ces risques, toute demande d’agrément devrait contenir des informations précisant les garanties prudentielles du demandeur.

En vue de garantir que les prestataires de services sur crypto-actifs respectent les obligations qui leur incombent en vertu du règlement (UE) 2023/1114, les demandeurs devraient démontrer qu’ils possèdent un dispositif de gouvernance et des mécanismes de contrôle interne adéquats et solides, notamment les dispositifs et mécanismes essentiels à une gestion saine et prudente de tels prestataires.

Dans le système des services financiers, le temps est précieux. Afin d’éviter les pannes, qui peuvent avoir des conséquences financières, réglementaires et de réputation majeures pour les prestataires de services sur crypto-actifs et les marchés de crypto-actifs en général, il est primordial de maintenir les activités ou, à tout le moins, les fonctions essentielles de ces prestataires et de réduire à un minimum les temps d’arrêt dus à des perturbations inattendues telles que les cyberattaques et les catastrophes naturelles. Une demande d’agrément devrait donc contenir des informations détaillées sur les dispositions prises par le demandeur pour garantir la continuité et la régularité de la fourniture de services sur crypto-actifs, notamment une description détaillée des risques auxquels il peut être exposé et de ses plans de continuité des activités.

Des mécanismes, systèmes et procédures efficaces, conformes à la directive (UE) 2015/849 du Parlement européen et du Conseil (3) et au règlement (UE) 2023/1113 du Parlement européen et du Conseil (4), sont nécessaires pour garantir que les demandeurs s’attaquent de manière appropriée aux risques et aux pratiques de blanchiment de capitaux et de financement du terrorisme dans le cadre de la fourniture de services sur crypto-actifs. Par conséquent, les demandeurs devraient fournir, dans leur demande d’agrément, des informations détaillées sur les mécanismes, systèmes et procédures qu’ils ont mis en place pour prévenir les risques liés à leurs activités commerciales en ce qui concerne, entre autres, la lutte contre le blanchiment de capitaux et le financement du terrorisme.

10)

Conformément à l’article 62, paragraphe 2, point g), du règlement (UE) 2023/1114, une demande d’agrément doit contenir la preuve que les membres de l’organe de direction jouissent d’une honorabilité suffisante et possèdent les connaissances, les compétences et l’expérience adéquates pour diriger le prestataire de services sur crypto-actifs. En particulier, le demandeur devrait fournir aux autorités compétentes toutes les informations relatives aux condamnations pénales antérieures, ainsi qu’aux enquêtes pénales, affaires civiles et administratives, sanctions, mesures d’exécution et autres procédures juridictionnelles en cours, visant des membres de son organe de direction au titre du droit commercial, du droit de l’insolvabilité, ou du droit en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, de fraude ou de responsabilité professionnelle. Pour que les autorités compétentes reçoivent des informations adéquates sur l’honorabilité des membres de l’organe de direction, les demandeurs devraient leur fournir des informations sur toute affaire concernant directement ces membres ou concernant toute organisation au sein de laquelle ils ont occupé fait partie de l’organe de direction, dont ils ont été actionnaires ou associés détenteurs d’une participation qualifiée ou au sein de laquelle ils ont exercé une fonction clé. Pour garantir que les autorités compétentes reçoivent suffisamment d’informations sur les refus ou les retraits, entre autres, d’enregistrements, d’agréments ou d’affiliations en lien avec la fourniture de services sur crypto-actifs par les demandeurs, ceux-ci devraient leur fournir ces informations sur chaque membre de l’organe de direction. En outre, les demandeurs devraient fournir, pour chaque membre de l’organe de direction, des informations permettant aux autorités compétentes d’évaluer ses connaissances, compétences et expérience professionnelles au regard du poste visé, ainsi qu’une description de tous les intérêts financiers et non financiers de ce membre qui pourraient générer des conflits d’intérêts potentiels importants affectant significativement sa fiabilité dans l’exercice de son mandat.

11)

En ce qui concerne l’exigence d’honorabilité des actionnaires et associés détenant directement ou indirectement une participation qualifiée dans le capital du demandeur, la demande d’agrément devrait contenir toutes les informations relatives à leurs condamnations antérieures et aux enquêtes pénales, affaires civiles et administratives et autres procédures juridictionnelles en cours dont ils font l’objet, ainsi que des informations pertinentes sur le caractère certain et l’origine légitime des fonds utilisés pour établir le demandeur et financer ses activités, de manière à permettre l’évaluation d’éventuelles tentatives ou suspicions de blanchiment de capitaux ou de financement du terrorisme.

12)

En raison de la nature décentralisée et numérique des crypto-actifs, les risques en matière de cybersécurité pour les prestataires de services sur crypto-actifs sont importants et prennent de nombreuses formes. Pour que les demandeurs soient en mesure de prévenir les violations de données et les pertes financières susceptibles d’être causées par des cyberattaques, les informations sur les systèmes de TIC déployés par les demandeurs et les dispositifs de sécurité correspondants visées à l’article 62, paragraphe 2, point j), du règlement (UE) 2023/1114, devraient inclure les ressources humaines allouées à la gestion des risques en matière de cybersécurité.

13)

La ségrégation des crypto-actifs et des fonds des clients protège ces derniers contre les pertes du prestataire de services sur crypto-actifs et contre l’utilisation abusive de leurs crypto-actifs et de leurs fonds. L’article 70 du règlement (UE) 2023/1114 impose donc aux prestataires de services sur crypto-actifs de prendre des dispositions adéquates pour protéger les droits de propriété des clients. Cette exigence s’applique également aux prestataires de services sur crypto-actifs qui ne fournissent pas de services de conservation et d’administration. Il est donc important que la demande d’agrément contienne des informations sur la ségrégation des crypto-actifs des clients.

14)

Pour permettre aux autorités compétentes d’évaluer l’adéquation des règles de fonctionnement des plates-formes de négociation de crypto-actifs des demandeurs, ces derniers devraient détailler certains éléments dans la description de ces règles. En particulier, les demandeurs devraient préciser les aspects des règles de fonctionnement relatifs à l’admission à la négociation, à la négociation elle-même et au règlement des crypto-actifs. En ce qui concerne l’admission à la négociation de crypto-actifs, le demandeur devrait fournir des informations détaillées sur les règles régissant l’admission de crypto-actifs à la négociation, sur la conformité des crypto-actifs admis avec ses règles, sur les types de crypto-actifs qu’il n’admettra pas sur sa plate-forme de négociation et sur les raisons de ces exclusions, ainsi que sur les frais d’admission à la négociation. En ce qui concerne la négociation de crypto-actifs, les demandeurs devraient préciser les éléments des règles de fonctionnement relatifs à l’exécution et à l’annulation des ordres, à la négociation ordonnée, à la transparence et aux enregistrements. Enfin, les demandeurs devraient inclure dans la description de leurs règles de fonctionnement les éléments régissant le règlement des transactions sur crypto-actifs conclues sur leur plate-forme de négociation, en indiquant notamment si ce règlement est initié à l’aide de la technologie des registres distribués (DLT pour «Distributed Ledger Technology»), le délai d’initiation de l’exécution, la définition du moment où le règlement est définitif, toutes les vérifications requises pour garantir le règlement effectif de la transaction et les mesures prises pour limiter les défauts de règlement.

15)	Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité européenne des marchés financiers, qui a été élaboré en étroite coopération avec l’Autorité bancaire européenne.

16)

L’Autorité européenne des marchés financiers a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe des parties intéressées au secteur financier institué par l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil (5).

17)	Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) et fait part de ses observations formelles le 21 juin 2024,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Informations générales

Les personnes morales ou autres entreprises sollicitant un agrément en tant que prestataires de services sur crypto-actifs conformément à l’article 62 du règlement (UE) 2023/1114 (ci-après les «demandeurs») incluent dans leur demande d’agrément toutes les informations suivantes:

a)	la dénomination sociale, le numéro de téléphone et l’adresse de courrier électronique du demandeur;

b)	toute dénomination commerciale utilisée ou à utiliser par le demandeur;

c)	l’identifiant d’entité juridique (LEI) du demandeur;

d)	le nom complet, la fonction, l’adresse de courrier électronique et le numéro de téléphone du point ou de la personne de contact désigné(e);

la forme juridique du demandeur visée à l’article 62, paragraphe 2, point b), du règlement (UE) 2023/1114, y compris des informations indiquant si le demandeur est une personne morale ou une autre entreprise et, le cas échéant, le numéro national d’identification du demandeur, ainsi que la preuve de son inscription au registre national des sociétés;

f)	la date et l’État membre de constitution en société ou de fondation du demandeur;

g)	le cas échéant, les actes constitutifs, les statuts visés à l’article 62, paragraphe 2, point c), du règlement (UE) 2023/1114 et les règlements intérieurs;

h)	l’adresse du siège social et, si elle est différente, du siège statutaire du demandeur;

i)	des informations sur le lieu où les succursales exerceront leurs activités, le cas échéant, et leurs identifiants d’entité juridique (LEI), le cas échéant;

j)	le nom de domaine de chaque site web exploité par le demandeur et les comptes de médias sociaux de ce dernier;

lorsque le demandeur n’est pas une personne morale, les documents permettant d’évaluer si:

i)	le niveau de protection des intérêts des tiers et des droits des détenteurs de crypto-actifs, y compris en cas d’insolvabilité, est équivalent à la protection offerte par les personnes morales;

ii)	le demandeur est soumis à une surveillance prudentielle équivalente adaptée à sa forme juridique;

lorsque le demandeur a l’intention d’exploiter une plate-forme de négociation de crypto-actifs:

i)	l’adresse physique, le numéro de téléphone et l’adresse de courrier électronique de la plate-forme de négociation de crypto-actifs;

ii)	toute dénomination commerciale de la plate-forme de négociation de crypto-actifs.

Article 2

Programme d’activité

1. Aux fins de l’article 62, paragraphe 2, point d), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente leur programme d’activité pour les trois années suivant l’octroi de l’agrément, y compris toutes les informations suivantes:

lorsque le demandeur fait partie d’un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE du Parlement européen et du Conseil (7), une explication de la manière dont les activités du demandeur s’inscrivent dans la stratégie du groupe et interagissent avec les activités des autres entités du groupe, incluant une vue d’ensemble de l’organisation et de la structure actuelles et prévues du groupe;

b)	une explication de l’incidence que les activités des entités affiliées au demandeur devraient avoir sur les activités de celui-ci, y compris lorsqu’il existe des entités réglementées dans le groupe;

c)	une liste des services sur crypto-actifs que le demandeur a l’intention de fournir et des types de crypto-actifs concernés par ces services;

d)	les autres activités prévues, qu’elles soient réglementées conformément au droit de l’Union ou au droit national ou non réglementées, y compris tout service, autre que des services sur crypto-actifs, que le demandeur a l’intention de fournir;

e)	si le demandeur a l’intention d’offrir des crypto-actifs au public, ou s’il demande l’admission à la négociation de crypto-actifs et, dans l’affirmative, quel type de crypto-actifs;

f)	une liste des territoires, tant dans l’Union que dans des pays tiers, dans lesquels le demandeur prévoit de fournir des services sur crypto-actifs, y compris des informations sur le nombre ciblé de clients par zone géographique;

g)	les types de clients potentiels visés par les services sur crypto-actifs du demandeur;

une description des moyens d’accès des clients aux services sur crypto-actifs du demandeur, y compris l’ensemble des éléments suivants:

les noms de domaine de chaque site web ou autre application basée sur les TIC qu’utilisera le demandeur pour fournir ses services sur crypto-actifs, les langues dans lesquelles ce site ou cette application sera disponible, les types de services sur crypto-actifs auxquels ce site ou cette application donnera accès et, le cas échéant, les États membres à partir desquels ce site ou cette application sera accessible;

ii)	le nom de toute application basée sur les TIC qui sera mise à la disposition des clients pour qu’ils puissent accéder aux services sur crypto-actifs, les langues dans lesquelles cette application sera disponible et les services sur crypto-actifs auxquels elle permettra d’accéder;

les activités et dispositifs de commercialisation et de promotion prévus pour les services sur crypto-actifs, y compris:

i)	tous les moyens de commercialisation qui seront utilisés pour chacun des services;

ii)	les moyens d’identification que le demandeur entend utiliser;

iii)	la catégorie de clients ciblés;

iv)	les types de crypto-actifs concernés;

v)	les langues qui seront utilisées pour ces activités de commercialisation et de promotion;

j)	une description détaillée des ressources humaines et financières et des ressources TIC allouées aux services sur crypto-actifs prévus, ainsi que leur localisation géographique;

k)	la politique d’externalisation du demandeur et une description détaillée des accords d’externalisation prévus par le demandeur, y compris les accords intragroupe, et la manière dont le demandeur se conformera à l’article 73 du règlement (UE) 2023/1114;

l)	la liste des entités qui fourniront des services externalisés, leur localisation géographique et les services externalisés concernés;

m)	un plan comptable prévisionnel comprenant des scénarios de crise au niveau individuel et, le cas échéant, au niveau du groupe consolidé et au niveau sous-consolidé, conformément à la directive 2013/34/UE;

n)	tout échange de crypto-actifs contre des fonds et toute autre activité portant sur des crypto-actifs que le demandeur a l’intention d’entreprendre, y compris au moyen d’applications financières décentralisées avec lesquelles il entend interagir pour son propre compte.

Aux fins du point b), l’explication fournie comprend une liste des entités affiliées au demandeur et des informations sur celles-ci, y compris dans le cas d’entités réglementées, sur les services fournis par ces entités, y compris les services réglementés, sur leurs activités et les types de clients qui sont les leurs, ainsi que les noms de domaine de chaque site web qu’elles exploitent.

Aux fins du point k), le demandeur fournit des informations sur les fonctions ou personnes responsables des externalisations, sur les ressources humaines et les ressources TIC allouées au contrôle des fonctions, services ou activités externalisés dans le cadre des accords concernés et sur l’évaluation des risques liés à l’externalisation.

Aux fins du point m), les prévisions financières tiennent compte des prêts intragroupe accordés ou à accorder par le demandeur ou à celui-ci.

2. Lorsque les demandeurs prévoient d’assurer un service de réception et de transmission d’ordres sur crypto-actifs pour le compte de clients, ils fournissent aux autorités compétentes une copie des procédures et une description des dispositifs qui garantissent le respect de l’article 80 du règlement (UE) 2023/1114.

3. Lorsque les demandeurs prévoient d’assurer un service de placement de crypto-actifs, ils fournissent aux autorités compétentes une copie des procédures de détection, de prévention, de gestion et de communication des conflits d’intérêts, ainsi qu’une description des dispositifs mis en place pour se conformer à l’article 79 du règlement (UE) 2023/1114 et au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 72, paragraphe 5, du règlement (UE) 2023/1114.

Article 3

Exigences prudentielles

Aux fins de l’article 62, paragraphe 2, point e), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes:

une description des garanties prudentielles du demandeur prévues par l’article 67 du règlement (UE) 2023/1114, comprenant:

i)	le montant des garanties prudentielles au moment de la demande d’agrément et la description des hypothèses utilisées pour calculer ce montant;

ii)	le montant des garanties prudentielles du demandeur couvertes par les fonds propres visés à l’article 67, paragraphe 4, point a), du règlement (UE) 2023/1114, le cas échéant;

iii)	le montant des garanties prudentielles du demandeur prenant la forme d’une police d’assurance visée à l’article 67, paragraphe 4, point b), du règlement (UE) 2023/1114, le cas échéant;

leurs calculs prévisionnels et leurs plans de détermination des fonds propres, y compris:

i)	le calcul prévisionnel des garanties prudentielles du demandeur pour les trois premiers exercices suivant l’octroi de l’agrément;

ii)	les hypothèses de planification, y compris les scénarios de crise utilisés pour les prévisions visées au point i), et l’explication des chiffres;

iii)	le nombre et le type de clients, le volume d’ordres et de transactions et le volume de crypto-actifs conservés auxquels ils s’attendent;

c)	pour les entreprises ou autres personnes morales qui sont déjà en activité, s’ils sont disponibles, les états financiers des trois derniers exercices, approuvés, lorsqu’ils ont fait l’objet d’un audit, par un contrôleur des comptes externe;

d)	une description des procédures de planification et de surveillance des garanties prudentielles du demandeur prévues par l’article 67, paragraphe 1, du règlement (UE) 2023/1114;

la preuve que le demandeur satisfait aux exigences concernant les garanties prudentielles énoncées à l’article 67 du règlement (UE) 2023/1114, y compris:

en ce qui concerne les fonds propres visés à l’article 67, paragraphe 4, point a), du règlement (UE) 2023/1114:

1)	une documentation précisant comment le demandeur a calculé le montant de ses garanties prudentielles, conformément à l’article 67 du règlement (UE) 2023/1114;

2)	pour les entreprises ou autres personnes morales qui sont déjà en activité et dont les états financiers ne font pas l’objet d’un audit, une certification par l’autorité de surveillance nationale du montant des fonds propres du demandeur;

3)	pour les entreprises en voie de constitution, une déclaration émise par un établissement de crédit certifiant que les fonds sont déposés sur le compte bancaire du demandeur;

ii)

en ce qui concerne la police d’assurance ou la garantie comparable prévues par l’article 67, paragraphe 4, point b), du règlement (UE) 2023/1114;

1)	la dénomination sociale, la date et l’État membre de constitution ou de fondation, l’adresse du siège social et, si elle est différente, celle du siège statutaire, ainsi que les coordonnées de l’entreprise autorisée à fournir la police d’assurance ou la garantie comparable;

une copie de l’un des documents suivants:

—	la police d’assurance souscrite comprenant tous les éléments nécessaires pour respecter l’article 67, paragraphes 5 et 6, du règlement (UE) 2023/1114, le cas échéant,

—	la convention d’assurance comprenant tous les éléments nécessaires pour se conformer à l’article 67, paragraphes 5 et 6, du règlement (UE) 2023/1114 et signée par une entreprise autorisée à fournir des assurances en vertu du droit de l’Union ou du droit national.

Article 4

Informations sur le dispositif de gouvernance, les mécanismes de contrôle interne et les conflits d’intérêts

1. Aux fins de l’article 62, paragraphe 2, points f) et i), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente les informations suivantes sur leur dispositif de gouvernance et leurs mécanismes de contrôle interne:

a)	une description détaillée de la structure organisationnelle du demandeur englobant, le cas échéant, le groupe, y compris l’indication de la répartition des tâches et des pouvoirs, les liens hiérarchiques pertinents et les dispositifs de contrôle interne mis en œuvre, ainsi qu’un organigramme;

les données personnelles des responsables des fonctions internes (fonctions de direction, de surveillance et de contrôle interne), y compris leur localisation et un curriculum vitæ indiquant leurs études et leur formation et expérience professionnelles pertinentes, ainsi qu’une description des connaissances, des compétences et de l’expérience nécessaires à l’exercice des responsabilités dont ils seront investis;

des informations sur la mise en place de politiques et de procédures suffisamment efficaces pour garantir le respect du règlement (UE) 2023/1114 conformément à l’article 68, paragraphe 4, dudit règlement et une description détaillée des dispositifs garantissant que le personnel concerné a connaissance des procédures à suivre pour s’acquitter correctement de ses responsabilités, notamment une description détaillée des procédures permettant au personnel du demandeur de signaler des infractions réelles ou potentielles au règlement (UE) 2023/1114, conformément à l’article 116 dudit règlement;

une description détaillée des dispositifs permettant l’enregistrement des activités et de l’organisation interne du demandeur conformément à l’article 68, paragraphe 9, du règlement (UE) 2023/1114, y compris les dispositifs d’enregistrement dont il doit se doter conformément au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 68, paragraphe 10, premier alinéa, point b), du règlement (UE) 2023/1114;

la description des dispositifs permettant à l’organe de direction d’évaluer et de réexaminer périodiquement, conformément à l’article 68, paragraphe 6, du règlement (UE) 2023/1114, l’efficacité des dispositifs et procédures stratégiques mis en place pour se conformer au titre V, chapitres 2 et 3, dudit règlement, incluant tout ce qui suit:

i)	l’identification des fonctions de contrôle interne chargées du suivi de ces dispositifs et procédures stratégiques, ainsi que l’étendue de leur responsabilité et les liens hiérarchiques avec l’organe de direction du demandeur;

ii)	l’indication de la périodicité des rapports des fonctions de contrôle interne à l’organe de direction du demandeur concernant l’efficacité de ces dispositifs et procédures stratégiques;

iii)

une explication précisant:

1)	comment le demandeur veillera à ce que les fonctions de contrôle interne opèrent de manière indépendante et distincte des fonctions qu’elles contrôlent;

2)	si les fonctions de contrôle interne ont accès aux ressources et informations nécessaires;

si ces fonctions de contrôle interne peuvent rendre compte directement à l’organe de direction du demandeur au moins une fois par an, ainsi que de manière ad hoc, notamment lorsqu’elles détectent un risque important de manquement du demandeur aux obligations qui lui incombent en vertu du règlement (UE) 2023/1114;

iv)

une description des systèmes, garanties et contrôles de TIC mis en place pour suivre les activités du demandeur et se conformer aux dispositions du titre V, chapitres 2 et 3, du règlement (UE) 2023/1114, notamment une description des systèmes de sauvegarde, des systèmes de TIC et des contrôles de risques, lorsqu’elle n’est pas fournie conformément à l’article 9 du présent règlement;

f)	le cas échéant, une description des dispositifs mis en place pour prévenir et détecter les abus de marché, conformément à l’article 92 du règlement (UE) 2023/1114;

g)	si le demandeur a désigné ou désignera des auditeurs externes et, si tel est le cas, leur nom et leurs coordonnées, s’il en dispose;

h)	les politiques et procédures comptables selon lesquelles le demandeur enregistrera et communiquera ses informations financières, y compris les dates de début et de fin de l’exercice comptable appliqué.

2. Conformément à l’article 72 du règlement (UE) 2023/1114, afin de détecter, de prévenir, de gérer et de communiquer les conflits d’intérêts, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes sur la gestion des conflits d’intérêts:

une copie de la politique du demandeur en matière de conflits d’intérêts, décrivant en quoi cette politique:

i)	garantit que le demandeur détectera, préviendra et gérera les conflits d’intérêts, conformément à l’article 72, paragraphe 1, du règlement (UE) 2023/1114, et les communiquera conformément à l’article 72, paragraphe 2, dudit règlement;

ii)	est proportionnée à l’ampleur, à la nature et à l’éventail des services sur crypto-actifs que le demandeur a l’intention de fournir et des autres activités du groupe auquel il appartient;

iii)	garantit que les politiques, procédures et dispositifs de rémunération ne généreront pas de conflits d’intérêts;

en quoi la politique du demandeur en matière de conflits d’intérêts garantit le respect du règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 72, paragraphe 5, du règlement (UE) 2023/1114, y compris des informations sur les systèmes et dispositifs mis en place par le demandeur pour:

i)	surveiller, évaluer et réexaminer l’efficacité de sa politique en matière de conflits d’intérêts et remédier à toute lacune;

ii)	l’enregistrement des cas de conflits d’intérêts, ce qui inclut leur détection, leur évaluation, leur résolution et le fait qu’ils sont communiqués aux clients.

Article 5

Plan de continuité des activités

1. Aux fins de l’article 62, paragraphe 2, point i), du règlement (UE) 2023/1114, les demandeurs soumettent à l’autorité compétente une description détaillée de leur plan de continuité des activités, y compris les mesures à prendre pour garantir la continuité et la régularité de leurs services sur crypto-actifs.

2. La description prévue au paragraphe 1 comprend les éléments suivants:

a)	des détails prouvant que le plan de continuité des activités est approprié et qu’il existe des dispositifs pour le tenir à jour et le tester périodiquement;

en ce qui concerne les fonctions critiques ou importantes prises en charge par des prestataires de services tiers, des informations sur la manière dont la continuité des activités est assurée lorsque la qualité de l’exécution de ces fonctions se détériore jusqu’à atteindre un niveau inacceptable, ou lorsque cette exécution échoue;

c)	des informations sur la manière dont la continuité des activités est assurée en cas de décès d’une personne clé et, le cas échéant, de risques politiques sur le territoire où exerce le prestataire de services.

Article 6

Détection et prévention du blanchiment de capitaux et du financement du terrorisme

Aux fins de l’article 62, paragraphe 2, point i), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente des informations sur les mécanismes, politiques et procédures de contrôle interne qu’ils ont mis en place pour se conformer aux dispositions de droit national transposant la directive (UE) 2015/849 et sur le cadre d’évaluation des risques pour la gestion des risques liés au blanchiment de capitaux et au financement du terrorisme, y compris l’ensemble des éléments suivants:

l’évaluation par le demandeur des risques inhérents et résiduels de blanchiment de capitaux et de financement du terrorisme liés à ses activités, y compris les risques associés:

i)	à la clientèle du demandeur;

ii)	aux services fournis;

iii)	aux canaux de distribution utilisés;

iv)	aux zones géographiques d’activité;

les mesures que le demandeur a prises ou prendra pour prévenir les risques détectés et se conformer aux exigences applicables en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, y compris son processus d’évaluation des risques, ses politiques et procédures visant à se conformer aux obligations de vigilance à l’égard de la clientèle, ainsi que ses politiques et procédures de détection et de signalement des transactions ou activités suspectes;

des informations détaillées montrant en quoi ces mécanismes, politiques et procédures de contrôle interne sont adéquats et proportionnés à l’ampleur, à la nature, au risque inhérent de blanchiment de capitaux et de financement du terrorisme, y compris à l’éventail des services sur crypto-actifs fournis et à la complexité du modèle économique et en quoi ces mécanismes, politiques et procédures garantissent le respect de la directive (UE) 2015/849 et du règlement (UE) 2023/1113;

d)	l’identité de la personne chargée de veiller au respect des exigences en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, et des justificatifs des connaissances, des compétences et de l’expérience de cette personne;

e)	les dispositifs et les ressources humaines et financières garantissant que le personnel du demandeur est correctement formé aux questions de lutte contre le blanchiment de capitaux et le financement du terrorisme (indications annuelles) et aux risques spécifiques liés aux crypto-actifs;

f)	une copie des politiques, procédures et systèmes du demandeur en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme;

g)	la fréquence à laquelle seront évaluées l’adéquation et l’efficacité de ces mécanismes, politiques et procédures de contrôle interne, ainsi que la personne ou la fonction chargée de cette évaluation.

Article 7

Identité des membres de l’organe de direction et preuve de leur honorabilité, de leurs connaissances, de leurs compétences et de leur expérience et du fait qu’ils consacreront un temps suffisant à leurs fonctions

1. Aux fins de l’article 62, paragraphe 2, point g), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes pour chaque membre de leur organe de direction:

a)	son nom complet et, s’il est différent, son nom de naissance;

b)	ses lieu et date de naissance, son adresse et les coordonnées de son lieu de résidence actuel et de tout autre lieu de résidence au cours des dix dernières années, sa ou ses nationalités, son numéro d’identification national et la copie d’un document d’identité officiel ou équivalent;

des précisions sur le poste qu’occupe ou qu’occupera le membre de l’organe de direction, notamment s’il s’agit d’un poste exécutif ou non, la date de prise de poste ou la date de prise de poste prévue et, le cas échéant, la durée de son mandat, ainsi qu’une description de ses principales obligations et responsabilités;

un curriculum vitæ indiquant ses études ainsi que sa formation et son expérience professionnelles pertinentes, avec le nom et la nature de toutes les organisations pour lesquelles il a travaillé, ainsi que la nature et la durée des fonctions exercées dans les postes occupés au cours des dix dernières années, et mettant notamment en évidence toute activité pertinente au regard du poste recherché, y compris toute expérience professionnelle en rapport avec les services financiers, les crypto-actifs ou d’autres actifs numériques, la technologie des registres distribués ou «DLT», les technologies de l’information, la cybersécurité ou l’innovation numérique;

e)	la documentation relative à la réputation et à l’expérience du membre, en particulier une liste de personnes de référence, avec leurs coordonnées et des lettres de recommandation;

l’historique du membre, à savoir tous les éléments suivants:

i)	l’absence de casier judiciaire;

ii)

des informations sur toute procédure, enquête ou sanction pénale en cours (relevant du droit commercial, du droit des services financiers ou du droit en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, de fraude ou de responsabilité professionnelle), sur toute procédure d’exécution ou sanction le visant, sur toute affaire civile ou administrative le concernant, ainsi que sur toute mesure disciplinaire prise à son encontre, y compris les révocations en tant que dirigeant de société et les procédures de faillite, d’insolvabilité ou procédures similaires;

iii)

des informations relatives à tout refus, retrait, révocation ou résiliation de l’enregistrement, de l’agrément, de l’affiliation ou de la licence nécessaire à l’exercice d’une activité commerciale, industrielle ou professionnelle, ou à toute expulsion par un organisme public ou de réglementation ou par un organisme professionnel ou une association professionnelle;

iv)	des informations relatives à tout renvoi d’un poste de confiance ou d’un poste similaire et à toute rupture d’une relation de confiance ou relation similaire;

v)	des informations indiquant si une autorité a évalué la réputation de cette personne, dont l’identité de cette autorité, la date de l’évaluation et son résultat;

la description de tout intérêt ou de tout lien, financier ou non, du membre et de ses proches avec d’autres membres de l’organe de direction ou avec des détenteurs de fonctions clés au sein du même établissement, de l’établissement mère, des filiales et des actionnaires, qui pourrait être à l’origine de conflits d’intérêts potentiels;

h)	lorsqu’un conflit d’intérêts important est constaté, une déclaration indiquant comment ce conflit sera atténué ou éliminé, et faisant référence aux grandes lignes de la politique en matière de conflits d’intérêts;

des informations sur le temps qui sera consacré à l’exercice des fonctions du membre au sein du demandeur, y compris l’ensemble des éléments suivants:

i)	le temps minimal estimé, par an et par mois, que le membre consacrera à l’exercice de ses fonctions au sein du demandeur;

ii)	une liste des autres fonctions de direction exécutive ou non exécutive exercées par le membre, portant sur des activités commerciales ou non commerciales ou créées aux seules fins de la gestion des intérêts économiques du membre concerné;

iii)

des informations sur la taille et la complexité des sociétés ou organisations dans lesquelles sont exercées les fonctions visées au point ii), y compris le total de l’actif selon les derniers comptes annuels disponibles, que la société soit cotée ou non, et le nombre de salariés de ces sociétés ou organisations;

iv)	une liste de toutes les responsabilités supplémentaires liées aux fonctions visées au point ii), y compris les présidences de comités;

v)	le temps estimé, en jours par an, consacré à chacune des autres fonctions visées au point ii) et le nombre de réunions annuelles consacrées à chaque mandat.

Aux fins du point d), le demandeur fournit des précisions sur tous les pouvoirs délégués et pouvoirs décisionnels internes qu’il détient, ainsi que sur les domaines d’activité qu’il contrôle.

Aux fins des points f), i) et ii), les demandeurs fournissent ces informations au moyen d’un certificat officiel, lorsqu’il peut être obtenu auprès de l’État membre ou du pays tiers concerné, ou au moyen d’un autre document équivalent, lorsqu’un tel certificat n’existe pas. Les enregistrements, certificats et documents officiels produits doivent avoir été délivrés dans les trois mois précédant le dépôt de la demande d’agrément. Pour les enquêtes en cours, les informations peuvent être fournies au moyen d’une déclaration sur l’honneur.

Aux fins du point f), iv), le demandeur n’est pas tenu de fournir les informations relatives à l’évaluation précédente, si l’autorité compétente dispose déjà de ces informations.

Aux fins du point g), la description comprend tous les intérêts financiers, y compris les crypto-actifs, les autres actifs numériques, les prêts, les participations, les garanties ou les sûretés, qu’ils aient été consentis ou reçus, toute relation commerciale et toute procédure judiciaire, et indique si la personne a été politiquement exposée au sens de l’article 3, point 9), de la directive (UE) 2015/849 au cours des deux dernières années.

2. Un demandeur sollicitant un agrément en tant que prestataire de services sur crypto-actifs en vertu de l’article 62 du règlement (UE) 2023/1114 fournit à l’autorité compétente les résultats de toute évaluation de l’aptitude de chaque membre de l’organe de direction effectuée par le demandeur, ainsi que les résultats de l’évaluation de l’aptitude collective de l’organe de direction, y compris les rapports d’évaluation ou documents rendant compte des résultats de ces évaluations.

Article 8

Informations sur les actionnaires ou associés détenteurs d’une participation qualifiée

Aux fins de l’article 62, paragraphe 2, point h), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes:

a)	un organigramme détaillé de la structure de participation du demandeur, y compris la ventilation de son capital et de ses droits de vote, ainsi que le nom des actionnaires ou associés détenteurs d’une participation qualifiée;

b)	pour chaque actionnaire ou associé détenteur d’une participation qualifiée directe ou indirecte dans le demandeur, les informations et documents visés aux articles 1 à 4 du règlement délégué (UE) 2025/414 de la Commission (8), selon le cas;

c)	l’identité de chaque membre de l’organe de direction qui dirigera les activités du demandeur et sera nommé par ces actionnaires ou associés détenteurs d’une participation qualifiée, ou sur proposition de ces derniers;

pour chaque actionnaire ou associé détenteur d’une participation qualifiée directe ou indirecte dans le demandeur, des informations sur le nombre et le type d’actions ou autres participations souscrites, leur valeur nominale, toute prime payée ou à payer, les sûretés ou charges grevant le bien, y compris l’identité des parties garanties;

e)	les informations visées à l’article 6, points b), d) et e), et à l’article 8 du règlement délégué (UE) 2025/414.

Article 9

Systèmes de TIC et dispositifs de sécurité correspondants

Aux fins de l’article 62, paragraphe 2, point j), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente les informations suivantes:

la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil (9), comme suit:

une description de la manière dont le demandeur garantit un cadre de gestion des risques lié aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes du demandeur visant à préserver la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données se conforment aux règlements (UE) 2022/2554 et (UE) 2016/679;

ii)

l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par le demandeur et des services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires de services tiers, et la description des accords contractuels concernés (identité et localisation géographique des prestataires, description des activités ou services TIC externalisés et de leurs principales caractéristiques, copie des accords contractuels) et de la manière dont ces accords se conforment à l’article 73 du règlement (UE) 2023/1114 et au chapitre V du règlement (UE) 2022/2554;

iii)	une description des procédures, politiques, dispositifs et systèmes du demandeur en matière de sécurité et de gestion des incidents;

le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants:

i)	dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;

ii)	évaluations et analyses de la vulnérabilité et évaluations de la sécurité des réseaux;

iii)	examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’article 3, point 22), du règlement (UE) 2022/2554;

iv)

tests d’intrusion, au sens de l’article 3, point 17), du règlement (UE) 2022/2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:

audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services du système de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage, etc.;

2)	audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard», etc.). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;

3)	audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;

v)	lorsque le demandeur utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;

c)	une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;

d)	une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).

Article 10

Ségrégation et garde des crypto-actifs et des fonds des clients

1. Aux fins de l’article 62, paragraphe 2, point k), du règlement (UE) 2023/1114, les demandeurs qui prévoient de détenir des crypto-actifs appartenant à des clients, ou les moyens d’accéder à ces crypto-actifs ou à des fonds de clients autres que des jetons de monnaie électronique, fournissent à l’autorité compétente une description détaillée de leurs procédures de ségrégation des crypto-actifs et des fonds de clients, incluant l’ensemble des éléments suivants:

la manière dont le demandeur veillera à ce que:

i)	les fonds des clients ne soient pas utilisés pour son propre compte;

ii)	les crypto-actifs appartenant aux clients ne soient pas utilisés pour son propre compte;

iii)	les portefeuilles contenant des crypto-actifs de clients soient différents de ses propres portefeuilles;

b)	une description détaillée du système d’approbation des clés cryptographiques et de protection des clés cryptographiques, y compris des portefeuilles à signatures multiples;

c)	comment le demandeur séparera les crypto-actifs des clients, y compris de ceux d’autres clients, dans le cas de portefeuilles contenant des crypto-actifs de plus d’un client (comptes omnibus);

une description de la procédure garantissant que les fonds des clients, autres que des jetons de monnaie électronique, seront déposés auprès d’une banque centrale ou d’un établissement de crédit avant la fin du jour ouvrable suivant celui où ils ont été reçus, et seront détenus sur un compte séparément identifiable de tout compte utilisé pour détenir des fonds appartenant au demandeur;

lorsque le demandeur ne prévoit pas de déposer des fonds auprès de la banque centrale concernée, les facteurs dont il tiendra compte pour sélectionner les établissements de crédit auprès desquels il déposera les fonds des clients, notamment sa politique de diversification, si elle est disponible, et la fréquence de réexamen de cette sélection d’établissements de crédit;

f)	la manière dont le demandeur veille à ce que les clients soient informés, dans un langage clair, concis et non technique, des principaux aspects des systèmes, politiques et procédures du demandeur afin de se conformer à l’article 70, paragraphes 1, 2 et 3, du règlement (UE) 2023/1114.

2. En vertu de l’article 70, paragraphe 5, du règlement (UE) 2023/1114, les prestataires de services sur crypto-actifs qui sont des établissements de monnaie électronique ou des établissements de paiement ne fournissent les informations visées au paragraphe 1 du présent article qu’en ce qui concerne la ségrégation des crypto-actifs des clients.

Article 11

Procédures de traitement des réclamations

Aux fins de l’article 62, paragraphe 2, point l), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente une description détaillée de leurs procédures de traitement des réclamations, y compris l’ensemble des éléments suivants:

a)	des informations sur les ressources humaines et techniques allouées au traitement des réclamations;

des informations sur la personne responsable des ressources consacrées à la gestion des réclamations, accompagnées d’un curriculum vitæ, indiquant ses études et sa formation et son expérience professionnelles pertinentes, qui atteste les connaissances, les compétences et l’expérience nécessaires à l’exercice des responsabilités dont cette personne sera investie;

c)	la manière dont le demandeur garantit le respect du règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 71, paragraphe 5, du règlement (UE) 2023/1114;

la manière dont le demandeur informera ses clients ou clients potentiels de la possibilité de déposer gratuitement une réclamation, l’emplacement de ces informations sur le site web du demandeur, ou sur tout autre dispositif numérique pertinent susceptible d’être utilisé par les clients pour accéder aux services sur crypto-actifs et le contenu des informations fournies;

e)	les dispositions prises par le demandeur en matière d’enregistrement des réclamations;

f)	le calendrier prévu dans les procédures de traitement des réclamations du demandeur pour enquêter sur ces réclamations, y répondre et, le cas échéant, prendre des mesures en réponse aux réclamations reçues;

g)	la manière dont le demandeur informera ses clients ou clients potentiels des voies de recours disponibles;

h)	les étapes clés de la procédure du demandeur pour statuer sur une réclamation et la manière dont il communiquera cette décision au client ou client potentiel qui a déposé la réclamation.

Article 12

Politique de conservation et d’administration

Aux fins de l’article 62, paragraphe 2, point m), du règlement (UE) 2023/1114, les demandeurs qui prévoient d’assurer la conservation et l’administration de crypto-actifs pour le compte de clients fournissent à l’autorité compétente toutes les informations suivantes:

une description des dispositions concernant le type de conservation proposé aux clients, une copie de la convention type utilisée par le demandeur pour la conservation et l’administration de crypto-actifs pour le compte de clients conformément à l’article 75, paragraphe 1, du règlement (UE) 2023/1114 et une copie du résumé de la politique de conservation mis à la disposition des clients conformément à l’article 75, paragraphe 3, du règlement (UE) 2023/1114;

la politique de conservation et d’administration du demandeur, comprenant une description des sources identifiées de risques opérationnels et liés aux TIC pour la garde et le contrôle des crypto-actifs des clients, ou des moyens d’accès à ces crypto-actifs, ainsi qu’une description concernant:

i)	les politiques et procédures, ainsi que les dispositifs mis en place pour se conformer à l’article 75, paragraphe 8, du règlement (UE) 2023/1114;

ii)	les politiques et procédures, ainsi que les systèmes et contrôles, destinés à gérer les risques opérationnels et liés aux TIC, y compris lorsque la conservation et l’administration de crypto-actifs pour le compte de clients sont confiées à un tiers;

iii)	les politiques et procédures relatives aux systèmes garantissant l’exercice par les clients des droits attachés aux crypto-actifs, ainsi qu’une description de ces systèmes;

iv)	les procédures et une description des systèmes garantissant la restitution des crypto-actifs ou des moyens d’accès aux clients;

c)	des informations sur la manière dont sont identifiés les crypto-actifs des clients et les moyens d’accès à ces crypto-actifs;

d)	des informations sur les dispositions prises pour réduire au minimum le risque de perte de crypto-actifs ou de moyens d’accès à des crypto-actifs;

lorsque le prestataire de services sur crypto-actifs a délégué à un tiers la conservation et l’administration de crypto-actifs pour le compte de clients:

i)	des informations sur l’identité de tout tiers assurant la conservation et l’administration de crypto-actifs et sur sa forme juridique conformément à l’article 59 ou à l’article 60 du règlement (UE) 2023/1114;

ii)	une description de toutes les fonctions liées à la conservation et à l’administration de crypto-actifs déléguées par le prestataire de services sur crypto-actifs, la liste de tous les délégués et sous-délégués, selon le cas, et tout conflit d’intérêts qui pourrait résulter d’une telle délégation;

iii)	une description de la manière dont le demandeur prévoit de superviser ces délégations ou sous-délégations.

Article 13

Règles de fonctionnement de la plate-forme de négociation et détection des abus de marché

1. Aux fins de l’article 62, paragraphe 2, point n), du règlement (UE) 2023/1114, les demandeurs qui prévoient d’exploiter une plate-forme de négociation de crypto-actifs fournissent à l’autorité compétente toutes les informations suivantes:

a)	les règles relatives à l’admission à la négociation de crypto-actifs;

b)	la procédure d’approbation de l’admission à la négociation de crypto-actifs, y compris la vigilance à l’égard de la clientèle exercée conformément à la directive (UE) 2015/849;

c)	la liste des catégories de crypto-actifs qui ne seront pas admises à la négociation et les raisons de cette exclusion;

d)	les politiques, procédures et frais d’admission à la négociation, ainsi qu’une description, le cas échéant, des affiliations, des remises et des conditions y afférentes;

e)	les règles régissant l’exécution des ordres, y compris les procédures d’annulation des ordres exécutés et de communication de ces informations aux participants au marché;

f)	les politiques, procédures et méthodes mises en place pour évaluer l’adéquation des crypto-actifs conformément à l’article 76, paragraphe 2, du règlement (UE) 2023/1114;

g)	les systèmes, procédures et dispositifs mis en place pour se conformer à l’article 76, paragraphe 7, du règlement (UE) 2023/1114;

la manière dont sont rendus publics les prix acheteurs et vendeurs, l’importance des positions de négociation exprimées à ces prix, affichés pour des crypto-actifs par l’intermédiaire de leurs plates-formes de négociation et le prix, le volume et l’heure des transactions exécutées sur des crypto-actifs négociés sur leur plate-forme de négociation, conformément à l’article 76, paragraphes 9 et 10, du règlement (UE) 2023/1114;

i)	les structures de frais et une justification de la manière dont ces structures satisfont à l’article 76, paragraphe 13, du règlement (UE) 2023/1114;

j)	les systèmes, procédures et dispositifs mis en place pour tenir à la disposition de l’autorité compétente les données relatives à tous les ordres, ou le mécanisme visant à garantir que l’autorité compétente a accès au carnet d’ordres et à tout autre système de négociation;

en ce qui concerne le règlement des transactions:

i)	si le règlement définitif des transactions est initié dans le registre distribué, ou en dehors de celui-ci;

ii)	le délai dans lequel le règlement définitif des transactions sur crypto-actifs est initié;

iii)	la manière dont la disponibilité des fonds et des crypto-actifs est vérifiée;

iv)	la manière dont les détails pertinents des transactions sont confirmés;

v)	les mesures prévues pour limiter les défauts de règlement;

vi)	le moment auquel le règlement est définitif et le moment auquel le règlement définitif est initié à la suite de l’exécution de la transaction;

l)	les politiques, procédures et systèmes mis en place pour détecter et prévenir les abus de marché, y compris des informations sur les signalements à l’autorité compétente d’éventuels cas d’abus de marché.

2. Les demandeurs qui prévoient d’exploiter une plate-forme de négociation de crypto-actifs fournissent à l’autorité compétente une copie des règles de fonctionnement de cette plate-forme et des procédures et systèmes permettant de détecter et de prévenir les abus de marché.

Article 14

Échange de crypto-actifs contre des fonds ou contre d’autres crypto-actifs

Aux fins de l’article 62, paragraphe 2, point o), du règlement (UE) 2023/1114, les demandeurs qui prévoient d’échanger des crypto-actifs contre des fonds ou d’autres crypto-actifs fournissent à l’autorité compétente toutes les informations suivantes:

a)	une description de la politique commerciale établie conformément à l’article 77, paragraphe 1, du règlement (UE) 2023/1114;

une description de la méthode de détermination du prix des crypto-actifs que le demandeur entend échanger contre des fonds ou d’autres crypto-actifs, conformément à l’article 77, paragraphe 2, du règlement (UE) 2023/1114, y compris de l’incidence que le volume et la volatilité du marché des crypto-actifs ont sur le mécanisme de tarification.

Article 15

Politique d’exécution

Aux fins de l’article 62, paragraphe 2, point p), du règlement (UE) 2023/1114, les demandeurs qui prévoient d’exécuter des ordres sur crypto-actifs pour le compte de clients fournissent à l’autorité compétente une description de leur politique d’exécution, portant sur l’ensemble des éléments suivants:

a)	les dispositifs qui garantissent que le client a donné son consentement, avant l’exécution de l’ordre, en ce qui concerne la politique d’exécution;

une liste des plates-formes de négociation de crypto-actifs auxquelles le demandeur aura recours pour l’exécution d’ordres et les critères qu’il appliquera pour évaluer, conformément à l’article 78, paragraphe 6, du règlement (UE) 2023/1114, les plates-formes d’exécution prévues dans sa politique d’exécution;

les plates-formes de négociation que le demandeur a l’intention d’utiliser pour chaque type de crypto-actifs et la confirmation qu’il ne recevra aucune forme de rémunération, de remise ou d’avantage non pécuniaire en contrepartie de l’acheminement d’ordres reçus vers une plate-forme de négociation de crypto-actifs donnée;

la manière dont l’exécution tient compte du prix, des coûts, de la rapidité, de la probabilité de l’exécution et du règlement, du montant de l’ordre, de sa nature, des conditions de conservation des crypto-actifs ou de tout autre facteur pertinent considéré comme faisant partie de toutes les mesures nécessaires pour obtenir le meilleur résultat possible pour le client;

e)	le cas échéant, les dispositions prises pour informer les clients que le demandeur exécutera des ordres en dehors d’une plate-forme de négociation et la manière dont le demandeur obtiendra l’accord exprès et préalable de ses clients avant d’exécuter ces ordres;

la manière dont le client est averti que toute instruction spécifique donnée par un client peut empêcher le demandeur de prendre les mesures nécessaires, conformément aux dispositions qu’il a établies et mises en œuvre dans sa politique d’exécution, pour obtenir le meilleur résultat possible pour l’exécution de ces ordres en ce qui concerne les éléments couverts par ces instructions;

g)	le processus de sélection des plates-formes de négociation, les stratégies d’exécution utilisées, les dispositifs utilisés pour analyser la qualité d’exécution obtenue et la manière dont le demandeur contrôle et vérifie que les meilleurs résultats possibles ont été obtenus pour les clients;

h)	les dispositions visant à empêcher l’utilisation abusive de toute information relative aux ordres des clients par les salariés du demandeur;

i)	les dispositifs et procédures relatifs à la manière dont le demandeur communiquera aux clients des informations sur sa politique d’exécution des ordres et leur notifiera toute modification importante apportée à cette politique;

j)	les dispositions prises pour démontrer à l’autorité compétente, à sa demande, la conformité avec l’article 78 du règlement (UE) 2023/1114.

Article 16

Fourniture de conseils en crypto-actifs ou fourniture de services de gestion de portefeuille de crypto-actifs

Aux fins de l’article 62, paragraphe 2, point q), du règlement (UE) 2023/1114, les demandeurs qui prévoient de fournir des conseils en crypto-actifs ou des services de gestion de portefeuille de crypto-actifs transmettent à l’autorité compétente toutes les informations suivantes:

une description détaillée des dispositifs mis en place par le demandeur pour se conformer à l’article 81, paragraphe 7, du règlement (UE) 2023/1114, y compris les éléments suivants:

i)	les mécanismes permettant de contrôler, d’évaluer et de maintenir effectivement les connaissances et l’expertise des personnes physiques qui fournissent des conseils en crypto-actifs ou gèrent des portefeuilles de crypto-actifs;

ii)

les dispositifs qui garantissent que les personnes physiques participant à la fourniture de conseils ou à la gestion de portefeuilles connaissent, comprennent et appliquent les politiques et procédures internes établies par le demandeur pour se conformer au règlement (UE) 2023/1114, en particulier à l’article 81, paragraphe 1, dudit règlement, et à la directive (UE) 2015/849;

iii)	le montant des ressources humaines et financières que le demandeur prévoit de consacrer chaque année au perfectionnement et à la formation professionnels du personnel qui fournit des conseils en crypto-actifs ou gère des portefeuilles de crypto-actifs;

les mécanismes permettant de contrôler, d’évaluer et de maintenir effectivement, chez les personnes physiques qui dispensent des conseils au nom du demandeur, les connaissances et les compétences nécessaires, suivant les critères utilisés dans la législation nationale pour cette évaluation, pour procéder à l’évaluation de l’adéquation visée à l’article 81, paragraphe 1, du règlement (UE) 2023/1114.

Article 17

Services de transfert

Aux fins de l’article 62, paragraphe 2, point r), du règlement (UE) 2023/1114, les demandeurs qui ont l’intention de fournir des services de transfert de crypto-actifs pour le compte de clients fournissent à l’autorité compétente toutes les informations suivantes:

a)	des précisions sur les types de crypto-actifs pour lesquels le demandeur prévoit de fournir des services de transfert;

une description détaillée des dispositifs mis en place par le demandeur pour se conformer à l’article 82 du règlement (UE) 2023/1114, y compris des informations détaillées sur les dispositifs mis en place et les ressources humaines et ressources TIC déployées par le demandeur pour parer aux risques de manière rapide, efficace et approfondie lors de la fourniture de services de transfert de crypto-actifs pour le compte de clients, en tenant compte de potentielles défaillances opérationnelles et des risques en matière de cybersécurité;

c)	le cas échéant, une description de la police d’assurance du demandeur, notamment de la couverture par l’assurance du préjudice porté aux crypto-actifs de clients qui peut résulter de risques en matière de cybersécurité;

d)	les dispositifs visant à garantir que les clients seront correctement informés des politiques, procédures et dispositifs visés au point b).

Article 18

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 31 octobre 2024.

Par la Commission

La présidente

Ursula VON DER LEYEN

(1) JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(4) Règlement (UE) 2023/1113 du Parlement européen et du Conseil du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive (UE) 2015/849 (JO L 150 du 9.6.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(5) Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Directive 2013/34/UE du Parlement européen et du Conseil du 26 juin 2013 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises, modifiant la directive 2006/43/CE du Parlement européen et du Conseil et abrogeant les directives 78/660/CEE et 83/349/CEE du Conseil (JO L 182 du 29.6.2013, p. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(8) Règlement délégué (UE) 2025/414 de la Commission du 18 décembre 2024 complétant le règlement (UE) 2023/1114 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu détaillé des informations nécessaires pour procéder à l’évaluation de l’acquisition envisagée d’une participation qualifiée dans un prestataire de services sur crypto-actifs (JO L, 2025/414, 31.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/414/oj).

(9) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

ELI: http://data.europa.eu/eli/reg_del/2025/305/oj

ISSN 1977-0693 (electronic edition)

Documents similaires

Règlement32023R2745R(01)

Rectificatif au règlement d’exécution (UE) 2023/2745 de la Commission du 8 décembre 2023 portant modalités d’application du règlement (UE) 2022/2379 du Parlement européen et du Conseil en ce qui concerne les statistiques sur la production animale (JO L, 2023/90838, 11.12.2023)

31/12/2024

Règlement32023R0137R(04)

Règlement (UE) 2023/137

31/12/2024

Règlement32024R2733R(01)

Règlement (UE) 2024/2733

27/12/2024

Règlement32022R1092R(01)

Règlement (UE) 2022/1092

23/12/2024

← Retour au droit européen Voir aussi sur EUR-Lex →

Journal officiel
de l'Union européenne

Série L

2025/305

31.3.2025

RÈGLEMENT DÉLÉGUÉ (UE) 2025/305 DE LA COMMISSION

du 31 octobre 2024

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

considérant ce qui suit:

10)

11)

12)

13)

14)

15)	Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité européenne des marchés financiers, qui a été élaboré en étroite coopération avec l’Autorité bancaire européenne.

16)

17)	Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) et fait part de ses observations formelles le 21 juin 2024,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Informations générales

a)	la dénomination sociale, le numéro de téléphone et l’adresse de courrier électronique du demandeur;

b)	toute dénomination commerciale utilisée ou à utiliser par le demandeur;

c)	l’identifiant d’entité juridique (LEI) du demandeur;

d)	le nom complet, la fonction, l’adresse de courrier électronique et le numéro de téléphone du point ou de la personne de contact désigné(e);

f)	la date et l’État membre de constitution en société ou de fondation du demandeur;

g)	le cas échéant, les actes constitutifs, les statuts visés à l’article 62, paragraphe 2, point c), du règlement (UE) 2023/1114 et les règlements intérieurs;

h)	l’adresse du siège social et, si elle est différente, du siège statutaire du demandeur;

i)	des informations sur le lieu où les succursales exerceront leurs activités, le cas échéant, et leurs identifiants d’entité juridique (LEI), le cas échéant;

j)	le nom de domaine de chaque site web exploité par le demandeur et les comptes de médias sociaux de ce dernier;

lorsque le demandeur n’est pas une personne morale, les documents permettant d’évaluer si:

i)	le niveau de protection des intérêts des tiers et des droits des détenteurs de crypto-actifs, y compris en cas d’insolvabilité, est équivalent à la protection offerte par les personnes morales;

ii)	le demandeur est soumis à une surveillance prudentielle équivalente adaptée à sa forme juridique;

lorsque le demandeur a l’intention d’exploiter une plate-forme de négociation de crypto-actifs:

i)	l’adresse physique, le numéro de téléphone et l’adresse de courrier électronique de la plate-forme de négociation de crypto-actifs;

ii)	toute dénomination commerciale de la plate-forme de négociation de crypto-actifs.

Article 2

Programme d’activité

b)	une explication de l’incidence que les activités des entités affiliées au demandeur devraient avoir sur les activités de celui-ci, y compris lorsqu’il existe des entités réglementées dans le groupe;

c)	une liste des services sur crypto-actifs que le demandeur a l’intention de fournir et des types de crypto-actifs concernés par ces services;

d)	les autres activités prévues, qu’elles soient réglementées conformément au droit de l’Union ou au droit national ou non réglementées, y compris tout service, autre que des services sur crypto-actifs, que le demandeur a l’intention de fournir;

e)	si le demandeur a l’intention d’offrir des crypto-actifs au public, ou s’il demande l’admission à la négociation de crypto-actifs et, dans l’affirmative, quel type de crypto-actifs;

f)	une liste des territoires, tant dans l’Union que dans des pays tiers, dans lesquels le demandeur prévoit de fournir des services sur crypto-actifs, y compris des informations sur le nombre ciblé de clients par zone géographique;

g)	les types de clients potentiels visés par les services sur crypto-actifs du demandeur;

une description des moyens d’accès des clients aux services sur crypto-actifs du demandeur, y compris l’ensemble des éléments suivants:

ii)	le nom de toute application basée sur les TIC qui sera mise à la disposition des clients pour qu’ils puissent accéder aux services sur crypto-actifs, les langues dans lesquelles cette application sera disponible et les services sur crypto-actifs auxquels elle permettra d’accéder;

les activités et dispositifs de commercialisation et de promotion prévus pour les services sur crypto-actifs, y compris:

i)	tous les moyens de commercialisation qui seront utilisés pour chacun des services;

ii)	les moyens d’identification que le demandeur entend utiliser;

iii)	la catégorie de clients ciblés;

iv)	les types de crypto-actifs concernés;

v)	les langues qui seront utilisées pour ces activités de commercialisation et de promotion;

j)	une description détaillée des ressources humaines et financières et des ressources TIC allouées aux services sur crypto-actifs prévus, ainsi que leur localisation géographique;

k)	la politique d’externalisation du demandeur et une description détaillée des accords d’externalisation prévus par le demandeur, y compris les accords intragroupe, et la manière dont le demandeur se conformera à l’article 73 du règlement (UE) 2023/1114;

l)	la liste des entités qui fourniront des services externalisés, leur localisation géographique et les services externalisés concernés;

m)	un plan comptable prévisionnel comprenant des scénarios de crise au niveau individuel et, le cas échéant, au niveau du groupe consolidé et au niveau sous-consolidé, conformément à la directive 2013/34/UE;

n)	tout échange de crypto-actifs contre des fonds et toute autre activité portant sur des crypto-actifs que le demandeur a l’intention d’entreprendre, y compris au moyen d’applications financières décentralisées avec lesquelles il entend interagir pour son propre compte.

Aux fins du point m), les prévisions financières tiennent compte des prêts intragroupe accordés ou à accorder par le demandeur ou à celui-ci.

Article 3

Exigences prudentielles

Aux fins de l’article 62, paragraphe 2, point e), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes:

une description des garanties prudentielles du demandeur prévues par l’article 67 du règlement (UE) 2023/1114, comprenant:

i)	le montant des garanties prudentielles au moment de la demande d’agrément et la description des hypothèses utilisées pour calculer ce montant;

ii)	le montant des garanties prudentielles du demandeur couvertes par les fonds propres visés à l’article 67, paragraphe 4, point a), du règlement (UE) 2023/1114, le cas échéant;

iii)	le montant des garanties prudentielles du demandeur prenant la forme d’une police d’assurance visée à l’article 67, paragraphe 4, point b), du règlement (UE) 2023/1114, le cas échéant;

leurs calculs prévisionnels et leurs plans de détermination des fonds propres, y compris:

i)	le calcul prévisionnel des garanties prudentielles du demandeur pour les trois premiers exercices suivant l’octroi de l’agrément;

ii)	les hypothèses de planification, y compris les scénarios de crise utilisés pour les prévisions visées au point i), et l’explication des chiffres;

iii)	le nombre et le type de clients, le volume d’ordres et de transactions et le volume de crypto-actifs conservés auxquels ils s’attendent;

c)	pour les entreprises ou autres personnes morales qui sont déjà en activité, s’ils sont disponibles, les états financiers des trois derniers exercices, approuvés, lorsqu’ils ont fait l’objet d’un audit, par un contrôleur des comptes externe;

d)	une description des procédures de planification et de surveillance des garanties prudentielles du demandeur prévues par l’article 67, paragraphe 1, du règlement (UE) 2023/1114;

la preuve que le demandeur satisfait aux exigences concernant les garanties prudentielles énoncées à l’article 67 du règlement (UE) 2023/1114, y compris:

en ce qui concerne les fonds propres visés à l’article 67, paragraphe 4, point a), du règlement (UE) 2023/1114:

1)	une documentation précisant comment le demandeur a calculé le montant de ses garanties prudentielles, conformément à l’article 67 du règlement (UE) 2023/1114;

2)	pour les entreprises ou autres personnes morales qui sont déjà en activité et dont les états financiers ne font pas l’objet d’un audit, une certification par l’autorité de surveillance nationale du montant des fonds propres du demandeur;

3)	pour les entreprises en voie de constitution, une déclaration émise par un établissement de crédit certifiant que les fonds sont déposés sur le compte bancaire du demandeur;

ii)

en ce qui concerne la police d’assurance ou la garantie comparable prévues par l’article 67, paragraphe 4, point b), du règlement (UE) 2023/1114;

1)	la dénomination sociale, la date et l’État membre de constitution ou de fondation, l’adresse du siège social et, si elle est différente, celle du siège statutaire, ainsi que les coordonnées de l’entreprise autorisée à fournir la police d’assurance ou la garantie comparable;

une copie de l’un des documents suivants:

—	la police d’assurance souscrite comprenant tous les éléments nécessaires pour respecter l’article 67, paragraphes 5 et 6, du règlement (UE) 2023/1114, le cas échéant,

—	la convention d’assurance comprenant tous les éléments nécessaires pour se conformer à l’article 67, paragraphes 5 et 6, du règlement (UE) 2023/1114 et signée par une entreprise autorisée à fournir des assurances en vertu du droit de l’Union ou du droit national.

Article 4

Informations sur le dispositif de gouvernance, les mécanismes de contrôle interne et les conflits d’intérêts

a)	une description détaillée de la structure organisationnelle du demandeur englobant, le cas échéant, le groupe, y compris l’indication de la répartition des tâches et des pouvoirs, les liens hiérarchiques pertinents et les dispositifs de contrôle interne mis en œuvre, ainsi qu’un organigramme;

i)	l’identification des fonctions de contrôle interne chargées du suivi de ces dispositifs et procédures stratégiques, ainsi que l’étendue de leur responsabilité et les liens hiérarchiques avec l’organe de direction du demandeur;

ii)	l’indication de la périodicité des rapports des fonctions de contrôle interne à l’organe de direction du demandeur concernant l’efficacité de ces dispositifs et procédures stratégiques;

iii)

une explication précisant:

1)	comment le demandeur veillera à ce que les fonctions de contrôle interne opèrent de manière indépendante et distincte des fonctions qu’elles contrôlent;

2)	si les fonctions de contrôle interne ont accès aux ressources et informations nécessaires;

iv)

f)	le cas échéant, une description des dispositifs mis en place pour prévenir et détecter les abus de marché, conformément à l’article 92 du règlement (UE) 2023/1114;

g)	si le demandeur a désigné ou désignera des auditeurs externes et, si tel est le cas, leur nom et leurs coordonnées, s’il en dispose;

h)	les politiques et procédures comptables selon lesquelles le demandeur enregistrera et communiquera ses informations financières, y compris les dates de début et de fin de l’exercice comptable appliqué.

une copie de la politique du demandeur en matière de conflits d’intérêts, décrivant en quoi cette politique:

i)	garantit que le demandeur détectera, préviendra et gérera les conflits d’intérêts, conformément à l’article 72, paragraphe 1, du règlement (UE) 2023/1114, et les communiquera conformément à l’article 72, paragraphe 2, dudit règlement;

ii)	est proportionnée à l’ampleur, à la nature et à l’éventail des services sur crypto-actifs que le demandeur a l’intention de fournir et des autres activités du groupe auquel il appartient;

iii)	garantit que les politiques, procédures et dispositifs de rémunération ne généreront pas de conflits d’intérêts;

i)	surveiller, évaluer et réexaminer l’efficacité de sa politique en matière de conflits d’intérêts et remédier à toute lacune;

ii)	l’enregistrement des cas de conflits d’intérêts, ce qui inclut leur détection, leur évaluation, leur résolution et le fait qu’ils sont communiqués aux clients.

Article 5

Plan de continuité des activités

2. La description prévue au paragraphe 1 comprend les éléments suivants:

a)	des détails prouvant que le plan de continuité des activités est approprié et qu’il existe des dispositifs pour le tenir à jour et le tester périodiquement;

c)	des informations sur la manière dont la continuité des activités est assurée en cas de décès d’une personne clé et, le cas échéant, de risques politiques sur le territoire où exerce le prestataire de services.

Article 6

Détection et prévention du blanchiment de capitaux et du financement du terrorisme

l’évaluation par le demandeur des risques inhérents et résiduels de blanchiment de capitaux et de financement du terrorisme liés à ses activités, y compris les risques associés:

i)	à la clientèle du demandeur;

ii)	aux services fournis;

iii)	aux canaux de distribution utilisés;

iv)	aux zones géographiques d’activité;

d)	l’identité de la personne chargée de veiller au respect des exigences en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, et des justificatifs des connaissances, des compétences et de l’expérience de cette personne;

e)	les dispositifs et les ressources humaines et financières garantissant que le personnel du demandeur est correctement formé aux questions de lutte contre le blanchiment de capitaux et le financement du terrorisme (indications annuelles) et aux risques spécifiques liés aux crypto-actifs;

f)	une copie des politiques, procédures et systèmes du demandeur en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme;

g)	la fréquence à laquelle seront évaluées l’adéquation et l’efficacité de ces mécanismes, politiques et procédures de contrôle interne, ainsi que la personne ou la fonction chargée de cette évaluation.

Article 7

a)	son nom complet et, s’il est différent, son nom de naissance;

b)	ses lieu et date de naissance, son adresse et les coordonnées de son lieu de résidence actuel et de tout autre lieu de résidence au cours des dix dernières années, sa ou ses nationalités, son numéro d’identification national et la copie d’un document d’identité officiel ou équivalent;

e)	la documentation relative à la réputation et à l’expérience du membre, en particulier une liste de personnes de référence, avec leurs coordonnées et des lettres de recommandation;

l’historique du membre, à savoir tous les éléments suivants:

i)	l’absence de casier judiciaire;

ii)

iii)

iv)	des informations relatives à tout renvoi d’un poste de confiance ou d’un poste similaire et à toute rupture d’une relation de confiance ou relation similaire;

v)	des informations indiquant si une autorité a évalué la réputation de cette personne, dont l’identité de cette autorité, la date de l’évaluation et son résultat;

h)	lorsqu’un conflit d’intérêts important est constaté, une déclaration indiquant comment ce conflit sera atténué ou éliminé, et faisant référence aux grandes lignes de la politique en matière de conflits d’intérêts;

des informations sur le temps qui sera consacré à l’exercice des fonctions du membre au sein du demandeur, y compris l’ensemble des éléments suivants:

i)	le temps minimal estimé, par an et par mois, que le membre consacrera à l’exercice de ses fonctions au sein du demandeur;

ii)	une liste des autres fonctions de direction exécutive ou non exécutive exercées par le membre, portant sur des activités commerciales ou non commerciales ou créées aux seules fins de la gestion des intérêts économiques du membre concerné;

iii)

iv)	une liste de toutes les responsabilités supplémentaires liées aux fonctions visées au point ii), y compris les présidences de comités;

v)	le temps estimé, en jours par an, consacré à chacune des autres fonctions visées au point ii) et le nombre de réunions annuelles consacrées à chaque mandat.

Aux fins du point f), iv), le demandeur n’est pas tenu de fournir les informations relatives à l’évaluation précédente, si l’autorité compétente dispose déjà de ces informations.

Article 8

Informations sur les actionnaires ou associés détenteurs d’une participation qualifiée

Aux fins de l’article 62, paragraphe 2, point h), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes:

a)	un organigramme détaillé de la structure de participation du demandeur, y compris la ventilation de son capital et de ses droits de vote, ainsi que le nom des actionnaires ou associés détenteurs d’une participation qualifiée;

b)	pour chaque actionnaire ou associé détenteur d’une participation qualifiée directe ou indirecte dans le demandeur, les informations et documents visés aux articles 1 à 4 du règlement délégué (UE) 2025/414 de la Commission (8), selon le cas;

c)	l’identité de chaque membre de l’organe de direction qui dirigera les activités du demandeur et sera nommé par ces actionnaires ou associés détenteurs d’une participation qualifiée, ou sur proposition de ces derniers;

e)	les informations visées à l’article 6, points b), d) et e), et à l’article 8 du règlement délégué (UE) 2025/414.

Article 9

Systèmes de TIC et dispositifs de sécurité correspondants

Aux fins de l’article 62, paragraphe 2, point j), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente les informations suivantes:

ii)

iii)	une description des procédures, politiques, dispositifs et systèmes du demandeur en matière de sécurité et de gestion des incidents;

i)	dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;

ii)	évaluations et analyses de la vulnérabilité et évaluations de la sécurité des réseaux;

iii)	examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’article 3, point 22), du règlement (UE) 2022/2554;

iv)

2)	audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard», etc.). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;

3)	audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;

v)	lorsque le demandeur utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;

c)	une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;

d)	une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).

Article 10

Ségrégation et garde des crypto-actifs et des fonds des clients

la manière dont le demandeur veillera à ce que:

i)	les fonds des clients ne soient pas utilisés pour son propre compte;

ii)	les crypto-actifs appartenant aux clients ne soient pas utilisés pour son propre compte;

iii)	les portefeuilles contenant des crypto-actifs de clients soient différents de ses propres portefeuilles;

b)	une description détaillée du système d’approbation des clés cryptographiques et de protection des clés cryptographiques, y compris des portefeuilles à signatures multiples;

c)	comment le demandeur séparera les crypto-actifs des clients, y compris de ceux d’autres clients, dans le cas de portefeuilles contenant des crypto-actifs de plus d’un client (comptes omnibus);

f)	la manière dont le demandeur veille à ce que les clients soient informés, dans un langage clair, concis et non technique, des principaux aspects des systèmes, politiques et procédures du demandeur afin de se conformer à l’article 70, paragraphes 1, 2 et 3, du règlement (UE) 2023/1114.

Article 11

Procédures de traitement des réclamations

a)	des informations sur les ressources humaines et techniques allouées au traitement des réclamations;

c)	la manière dont le demandeur garantit le respect du règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 71, paragraphe 5, du règlement (UE) 2023/1114;

e)	les dispositions prises par le demandeur en matière d’enregistrement des réclamations;

f)	le calendrier prévu dans les procédures de traitement des réclamations du demandeur pour enquêter sur ces réclamations, y répondre et, le cas échéant, prendre des mesures en réponse aux réclamations reçues;

g)	la manière dont le demandeur informera ses clients ou clients potentiels des voies de recours disponibles;

h)	les étapes clés de la procédure du demandeur pour statuer sur une réclamation et la manière dont il communiquera cette décision au client ou client potentiel qui a déposé la réclamation.

Article 12

Politique de conservation et d’administration

i)	les politiques et procédures, ainsi que les dispositifs mis en place pour se conformer à l’article 75, paragraphe 8, du règlement (UE) 2023/1114;

ii)	les politiques et procédures, ainsi que les systèmes et contrôles, destinés à gérer les risques opérationnels et liés aux TIC, y compris lorsque la conservation et l’administration de crypto-actifs pour le compte de clients sont confiées à un tiers;

iii)	les politiques et procédures relatives aux systèmes garantissant l’exercice par les clients des droits attachés aux crypto-actifs, ainsi qu’une description de ces systèmes;

iv)	les procédures et une description des systèmes garantissant la restitution des crypto-actifs ou des moyens d’accès aux clients;

c)	des informations sur la manière dont sont identifiés les crypto-actifs des clients et les moyens d’accès à ces crypto-actifs;

d)	des informations sur les dispositions prises pour réduire au minimum le risque de perte de crypto-actifs ou de moyens d’accès à des crypto-actifs;

lorsque le prestataire de services sur crypto-actifs a délégué à un tiers la conservation et l’administration de crypto-actifs pour le compte de clients:

i)	des informations sur l’identité de tout tiers assurant la conservation et l’administration de crypto-actifs et sur sa forme juridique conformément à l’article 59 ou à l’article 60 du règlement (UE) 2023/1114;

ii)	une description de toutes les fonctions liées à la conservation et à l’administration de crypto-actifs déléguées par le prestataire de services sur crypto-actifs, la liste de tous les délégués et sous-délégués, selon le cas, et tout conflit d’intérêts qui pourrait résulter d’une telle délégation;

iii)	une description de la manière dont le demandeur prévoit de superviser ces délégations ou sous-délégations.

Article 13

Règles de fonctionnement de la plate-forme de négociation et détection des abus de marché

a)	les règles relatives à l’admission à la négociation de crypto-actifs;

b)	la procédure d’approbation de l’admission à la négociation de crypto-actifs, y compris la vigilance à l’égard de la clientèle exercée conformément à la directive (UE) 2015/849;

c)	la liste des catégories de crypto-actifs qui ne seront pas admises à la négociation et les raisons de cette exclusion;

d)	les politiques, procédures et frais d’admission à la négociation, ainsi qu’une description, le cas échéant, des affiliations, des remises et des conditions y afférentes;

e)	les règles régissant l’exécution des ordres, y compris les procédures d’annulation des ordres exécutés et de communication de ces informations aux participants au marché;

f)	les politiques, procédures et méthodes mises en place pour évaluer l’adéquation des crypto-actifs conformément à l’article 76, paragraphe 2, du règlement (UE) 2023/1114;

g)	les systèmes, procédures et dispositifs mis en place pour se conformer à l’article 76, paragraphe 7, du règlement (UE) 2023/1114;

i)	les structures de frais et une justification de la manière dont ces structures satisfont à l’article 76, paragraphe 13, du règlement (UE) 2023/1114;

j)	les systèmes, procédures et dispositifs mis en place pour tenir à la disposition de l’autorité compétente les données relatives à tous les ordres, ou le mécanisme visant à garantir que l’autorité compétente a accès au carnet d’ordres et à tout autre système de négociation;

en ce qui concerne le règlement des transactions:

i)	si le règlement définitif des transactions est initié dans le registre distribué, ou en dehors de celui-ci;

ii)	le délai dans lequel le règlement définitif des transactions sur crypto-actifs est initié;

iii)	la manière dont la disponibilité des fonds et des crypto-actifs est vérifiée;

iv)	la manière dont les détails pertinents des transactions sont confirmés;

v)	les mesures prévues pour limiter les défauts de règlement;

vi)	le moment auquel le règlement est définitif et le moment auquel le règlement définitif est initié à la suite de l’exécution de la transaction;

l)	les politiques, procédures et systèmes mis en place pour détecter et prévenir les abus de marché, y compris des informations sur les signalements à l’autorité compétente d’éventuels cas d’abus de marché.

Article 14

Échange de crypto-actifs contre des fonds ou contre d’autres crypto-actifs

a)	une description de la politique commerciale établie conformément à l’article 77, paragraphe 1, du règlement (UE) 2023/1114;

Article 15

Politique d’exécution

a)	les dispositifs qui garantissent que le client a donné son consentement, avant l’exécution de l’ordre, en ce qui concerne la politique d’exécution;

e)	le cas échéant, les dispositions prises pour informer les clients que le demandeur exécutera des ordres en dehors d’une plate-forme de négociation et la manière dont le demandeur obtiendra l’accord exprès et préalable de ses clients avant d’exécuter ces ordres;

g)	le processus de sélection des plates-formes de négociation, les stratégies d’exécution utilisées, les dispositifs utilisés pour analyser la qualité d’exécution obtenue et la manière dont le demandeur contrôle et vérifie que les meilleurs résultats possibles ont été obtenus pour les clients;

h)	les dispositions visant à empêcher l’utilisation abusive de toute information relative aux ordres des clients par les salariés du demandeur;

i)	les dispositifs et procédures relatifs à la manière dont le demandeur communiquera aux clients des informations sur sa politique d’exécution des ordres et leur notifiera toute modification importante apportée à cette politique;

j)	les dispositions prises pour démontrer à l’autorité compétente, à sa demande, la conformité avec l’article 78 du règlement (UE) 2023/1114.

Article 16

Fourniture de conseils en crypto-actifs ou fourniture de services de gestion de portefeuille de crypto-actifs

une description détaillée des dispositifs mis en place par le demandeur pour se conformer à l’article 81, paragraphe 7, du règlement (UE) 2023/1114, y compris les éléments suivants:

i)	les mécanismes permettant de contrôler, d’évaluer et de maintenir effectivement les connaissances et l’expertise des personnes physiques qui fournissent des conseils en crypto-actifs ou gèrent des portefeuilles de crypto-actifs;

ii)

iii)	le montant des ressources humaines et financières que le demandeur prévoit de consacrer chaque année au perfectionnement et à la formation professionnels du personnel qui fournit des conseils en crypto-actifs ou gère des portefeuilles de crypto-actifs;

Article 17

Services de transfert

a)	des précisions sur les types de crypto-actifs pour lesquels le demandeur prévoit de fournir des services de transfert;

c)	le cas échéant, une description de la police d’assurance du demandeur, notamment de la couverture par l’assurance du préjudice porté aux crypto-actifs de clients qui peut résulter de risques en matière de cybersécurité;

d)	les dispositifs visant à garantir que les clients seront correctement informés des politiques, procédures et dispositifs visés au point b).

Article 18

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 31 octobre 2024.

Par la Commission

La présidente

Ursula VON DER LEYEN

(1) JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

ELI: http://data.europa.eu/eli/reg_del/2025/305/oj

ISSN 1977-0693 (electronic edition)