CryptoReflexions#1 : Vie privée et crypto-actifs: le mariage impossible?
Ou comment concilier les libertés fondamentales avec la lutte contre le blanchiment de capitaux?
Bonjour, je teste un nouveau format de contenu sur le sujet des crypto-actifs dans cette newsletter. Je te partage mes réflexions sur les aspects juridiques des crypto-actifs dans un format plus long que ce qu’on retrouve sur le site.
Il y a de plus en plus de monde qui s’inscrit sur cette newsletter et je te remercie de faire partie de cette liste.
J’ai fait un petit sondage à la fin de ce post, merci de prendre 2 secondes pour y répondre !
N’hésite pas à me faire part de ton avis et/ou tes suggestions sur ce nouveau format, ton retour m’intéresse ! Tu peux m’écrire à florian@avroy.be!
Passe de bonnes fêtes !
« La vie privée est nécessaire à une société ouverte à l'ère électronique. La vie privée n'est pas le secret. Une affaire privée est quelque chose que l'on ne veut pas que le monde entier sache, mais une affaire secrète est quelque chose que l'on ne veut pas que quelqu'un sache. La vie privée est le pouvoir de se révéler au monde de manière sélective ». Ces lignes sont reprises du manifeste des Cypherphunk écrit en 1993 par Eric Hughes.
Cette impérieuse nécessité d’une alternative au système de paiement électronique mentionnée par Eric Hughes a été proposée par Satoshi Nakamoto, le créateur de Bitcoin, qui offre au monde un entier, le code informatique pour créer un système de paiement pair-à-pair. Ce système permet de conserver son anonymat tout en utilisant la technologie des registres distribués.
La philosophie des crypto-actifs et le droit à la vie privée sont intimement liés.
Avec l’adoption grandissante des crypto-actifs, les législateurs du monde entier ont dû légiférer pour encadrer les pratiques de certains acteurs. L’ensemble de la législation applicable au secteur a deux objectifs : d’une part la protection du consommateur et d’autre part la lutte contre le blanchiment de capitaux et du financement du terrorisme.
Inlassablement, ces objectifs sont mis en avant pour justifier toutes les mesures et toutes les ingérences dans les droits fondamentaux des individus.
Or, les droits fondamentaux sont garantis par des textes nationaux et internationaux et les conditions pour qu’un Etat puisse s’ingérer dans ces droits sont strictes et doivent être respectées.
C’est ce deuxième objectif qui retiendra mon attention.
En effet, les règles qui s’imposent ou s’imposeront à moyen terme par l’intermédiaire du Règlement Mica ou du règlement sur le transfert de fonds, ont pour objet d’imposer des mesures d’identification des parties intervenantes à une transaction.
Pour les connaisseurs, c’est l’ensemble des mesures et moyens pris dans le cadre du KYC, know your customer.
Cette lutte contre le blanchiment de capitaux et le financement du terrorisme est invoquée à tout va pour justifier les ingérences dans la vie privée des individus.
Le droit à la vie privée : une liberté fondamentale protégée par l’Union Européenne
En 6 mois de temps, la Cour de Justice de l’Union européenne a prononcé trois décisions sur le respect du droit à la vie privée.
Les enseignements de ces décisions sont utiles et doivent être pris en compte par les acteurs du secteur des crypto-actifs et les autorités de chaque Etat.
Il faut d’abord rappeler qu’il existe une Charte des Droits fondamentaux de l’Union européenne adoptée par l’Union européenne le 7 décembre 2000. Cette charte s’ajoute à d’autres textes protégeant les libertés individuelles.
Parmi les droits protégés, la Charte prévoit à l’article 7 que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »
L’article 52 de la Charte indique cependant que « toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. »
Cette liberté fondamentale a été au centre de trois décisions de la Cour de Justice de l’Union européenne qui ont été prononcées durant l’année 2022.
A trois reprises, la Cour a considéré que l’ingérence, bien que motivée par des objectifs d’intérêt général, était disproportionnée.
Dans l’affaire C‑817/19 du 21 juin 2022, les faits concernaient une législation belge relative à la transposition de la directive Passenger Name Record.
La loi belge dépasse largement ce qui est prévu au sein de la directive sur la durée de conservation de ces données et la confrontation des données PNR à d’autres bases de données. La loi belge ne limitait pas la récolte aux menaces terroristes réelles et actuelles et à la criminalité grave, présentant un lien avec le transport aérien des passagers. Les infractions visées relèvent en réalité de la criminalité ordinaire compte tenu des spécificités du système pénal national et va même jusqu’à prévoir un traitement “en vue de l’amélioration des contrôles de personnes aux frontières extérieures et en vue de lutter contre l’immigration illégale”. De plus, la durée de conservation générale de 5 ans, alors que la directive prévoit une période de conservation initiale de six mois, n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens.[1]
Dans les affaires jointes C‑37/20 et C‑601/20 du 22 novembre 2022, c’est la législation luxembourgeoise sur le registre des bénéficiaires effectifs qui est recalée. Cette loi donnait un accès au grand public aux informations sur les bénéficiaires effectifs. Les informations mises à la disposition du grand public concernent l’identité du bénéficiaire effectif ainsi que la nature et à l’étendue de ses intérêts effectifs détenus dans des sociétés ou d’autres entités juridiques. Selon la Cour, ces informations sont susceptibles de permettre de dresser un profil concernant certaines données personnelles d’identification de nature plus ou moins étendue, l’état de fortune de l’intéressé ainsi que les secteurs économiques, les pays et les entreprises spécifiques dans lesquels celui-ci a investi. À cela s’ajoute le fait qu’il est inhérent à une telle mise à disposition du grand public de ces informations que celles-ci soient alors accessibles à un nombre potentiellement illimité de personnes, de sorte qu’un tel traitement de données à caractère personnel est susceptible de permettre également à des personnes qui, pour des raisons étrangères à l’objectif poursuivi par cette mesure, cherchent à s’informer sur la situation notamment matérielle et financière d’un bénéficiaire effectif, d’accéder librement auxdites informations.
Enfin, dans l’affaire C‑694/20 du 8 décembre 2022, c’est la transposition d’une directive européenne par la Région Flamande (Belgique) qui est sanctionnée. En l’occurrence, les avocats flamands étaient soumis à des obligations d’informations aux autorités. Selon l’Ordre flamand des avocats, il est impossible de satisfaire à cette obligation d’information sans violer le secret professionnel auquel sont tenus les avocats. En outre, ladite obligation d’information ne serait pas nécessaire aux fins de garantir que les dispositifs transfrontières soient déclarés, dès lors que le client, assisté ou non par l’avocat, peut lui-même informer les autres intermédiaires et leur demander de satisfaire à leur obligation de déclaration. La Cour confirme que cette obligation légale est contraire au droit au respect des communications entre l’avocat et son client, garanti à l’article 7 de la Charte, en ce qu’il prévoit, en substance, que l’avocat intermédiaire, soumis au secret professionnel, est tenu de notifier à tout autre intermédiaire qui n’est pas son client les obligations de déclaration qui lui incombent.
L’ensemble de ces décisions rappellent l’importance des libertés fondamentales et que la tendance, malheureuse, des Etats à s’ingérer allégrement dans ces libertés pour lutter contre tel ou tel comportement n’est pas absolue.
Know your customer et la mise en place de liste blanche : la fausse bonne idée ?
Des listes noires ou blanches sont utilisées dans plusieurs secteurs. On peut inscrire sur liste noire des produits dangereux ou nocifs, des entreprises ou des types de clauses, par exemple.
Ici, je me concentrerai uniquement sur la question des listes comprenant des adresses de portefeuilles de crypto-actifs et donc, in fine, d’une liste contenant des personnes physiques ou morales.
La liste noire
Par principe, une liste noire reprend les personnes qui ont été considérées ou jugées comme ayant (eu) un comportement contraire à une règle. Cette inscription sur liste noire peut être préventive ou punitive.
L’inscription préventive vise le cas où des soupçons existeraient sur le comportement d’une personne qui aurait contrevenu à une règle.
L’inscription punitive vise le cas où une personne est condamnée et, à titre de sanction ou dans le but de faire respecter la sanction prononcée, est inscrite sur cette liste.
Cette liste noire est généralement gérée par une autorité centralisée pour éviter les inscriptions arbitraires ou volontairement préjudiciables.
Imagine une liste noire distribuée/partagée où chacun pourrait inscrire, préventivement, le nom d’une personne qu’il soupçonne d’avoir commis un comportement illégal : on imagine bien le caractère abusif de ces inscriptions outre le peu de légitimité que cette liste aurait dans pareille condition.
Les listes noires punitives sont, à ma connaissance, bien plus courantes que les listes noires préventives pour les raisons que j’examinerai ci-dessous.
La liste blanche
Pour une liste blanche, je la définirais comme une liste où une personne est inscrite si elle rencontre certaines conditions déterminées par une autorité centralisée. Cette inscription permet d’obtenir un droit d’accès à certains biens ou services, par exemple.
Dans le monde des crypto-actifs, le système de liste blanche (white list) est régulièrement utilisé par des nouveaux projets.
Seules les personnes inscrites sur la liste blanche pourront avoir accès à ce nouveau projet avant qu’il soit accessible au public.
Le cas de Tornado Cash : l’inscription par l’OFAC
Le débat sur l’utilisation de ce type de liste se pose en matière de lutte contre le blanchiment de capitaux et plus particulièrement dans le cadre des discussions relatives au règlement européen sur le transfert d’informations. Ce règlement, alors applicable au secteur bancaire, devrait voir son champ d’application étendu au secteur des crypto-actifs.
Le projet de règlement prévoit notamment la mise en œuvre de la « travel rule » (voir ci-dessous).
En août 2022, la question s’est à nouveau posée concernant le protocole Tornado Cash (plus d’infos sur Tornado Cash ici)
Ce dernier a été inscrit sur une liste (noire) tenue par l’OFAC, un organisme de contrôle financier, dépendant du Département du Trésor des États-Unis (sur l’illicéité de cette inscription, c’est par là ).
Cette inscription a pour conséquence, entre autres, que toutes les personnes ayant eu des liens avec des transactions qui sont passées par Tornado Cash doivent être bloquées[2].
La violation de cette obligation est passible de sanction et une série d’acteurs du monde des crypto-actifs ont vu leurs fonds bloqués à la suite de cette inscription, sans avoir été jugé ou condamné pour quelconque méfait ou infraction.
Seul le fait d’avoir utiliser un outil a suffit donc a été sanctionné.
Pas de procès et une présomption de culpabilité… On est bien loin des valeurs démocratiques défendues par nos élus politiques.
La travel rule appliqué aux crypto-actifs
La « travel rule », qui s’applique actuellement aux virements gérés par les banques, serait étendue pour obliger les fournisseurs de services de crypto-actifs à collecter et à mettre à disposition de manière similaire des détails sur l’identité des parties dans le cadre des transferts de crypto-actifs.
Cette règle proposée par le GAFI(FATF) concerne les prestataires de service en crypto-actifs (PSCA, voir ci-dessous). Elle impose de récolter les données personnelles des parties dans le cadre des transferts de crypto-actifs à partir d’un échange de plus de 1.000 €.
Les données à récolter sont celles qui permettent d’identifier les deux parties d’un transfert de crypto-actifs (les noms des parties, ainsi que l’adresse, le pays, le numéro officiel du document d’identité, le numéro d’identification du client ou la date et le lieu de naissance de l’expéditeur) et de lier leur identité au numéro de compte (paiement ou crypto-actif) ou à l’adresse du portefeuille de crypto-actifs[3].
D’après la dernière version du texte disponible, ce règlement ne concernerait donc pas « les transferts constituent des transferts de crypto-actifs de personne à personne effectués sans la l'intervention d'un fournisseur de services de crypto-actifs ». En d’autres termes, le règlement ne s’applique pas aux transferts de crypto-actifs entre portefeuille décentralisé (unhosted ou non custodial).
Le prestataire de services en crypto-actifs (PSCA)
Si l’on suit le raisonnement des autorités, la législation s’appliquera à tout le monde au motif que certaines personnes ont utilisés la blockchain à des fins criminelles.
Le constat est qu'aujourd'hui l'identification est facilité en raison des KYC imposés à divers points d’entrée dans le monde des crypto-actifs. En effet, à nouveau sous l’impulsion du GAFI (FATF), un régime d’agrément a été suggéré au virtual asset service provider (VASP).
Ce régime concerne les prestataires de services en crypto-actifs et plus particulièrement les prestataires qui offrent un service de conversion entre monnaie fiduciaire et crypto-actifs ou qui propose un service de conservation de crypto-actifs pour leur client.
Chaque pays européen a mis en œuvre cette réglementation à la suite de la modification de la directive sur la lutte contre le blanchiment de capitaux et contre le financement du terrorisme. La France a créé le PSAN, le prestataire de service en actif numérique tandis que la Belgique a mis en œuvre cette législation en créant le VASP (plus d’infos sur le régime belge).
A noter également que le règlement européen MICA vise aussi ce type de prestataire sous l’appellation CASP (crypto-asset services provider).
Ces entités sont dorénavant soumises à la législation anti-blanchiment qui impose notamment une identification précise et complète de l’ensemble de leurs clients.
Jusqu’où va-t-on ?
Face à cet afflux réglementaire, une crainte légitime peut naître au sein des utilisateurs de crypto-actifs. Il y a en effet, un grignotage plus ou moins important de l’Etat sur le monde des crypto-actifs.
On pourrait parfaitement être légitime mais l’historique de nos transactions étant connu de tous, on pourra être "identifiable" en remontant le fil des transactions liées à un wallet. Par exemple, en repérant telle ou telle transaction qui reliées entre elles, ou pas, on pourrait savoir et/ou déterminé qui a utilisé ce wallet.
L’argument démagogique c’est “pas grave car je n’ai rien à cacher”.
Ne tombant dans ce piège... Le droit à la vie privée existe depuis des décennies et il n'a pas été créé pour les criminels. Gardons ça en tête... La vie privée est un droit fondamentale garantit par les conventions internationales, je le rappelle.
D’ailleurs, j'aime prendre l'exemple d'une sortie au restaurant entre amis. Il arrive que, par facilité, une personne du groupe paie pour tout le monde et qu'ensuite chacun rembourse sa part. Des applications comme Tricount ont été créé pour aider à faire les comptes (les bons comptes font les bons amis comme on dit :)). Donc, a priori, rien de d'iconoclaste ou de loufoque. Cette situation arrive régulièrement.
Avec un système comme Tornado Cash, on peut payer sa part sans devoir révéler l'historique de toute ses transactions à son ami.
On pourrait avoir un wallet principal où "tous nos fonds" sont et utiliser Tornado pour créer un"sous wallet" pour du paiement pair-à-pair.
Du coup, est-on un criminel si on fait comme ça, Monsieur l’avocat ? A mon sens, non.
Et la présomption d’innocence ?
Bien que la travel rule ne s’appliquera pas à tous les portefeuilles, l’idée d’une extension future du régime à d’autres transferts n’est pas saugrenue au regard de l’appétit croissant des autorités à contrôler ce secteur.
D’un point de vue purement intellectuel, je me suis posé la question de savoir comment fonctionnerait le monde des crypto-actifs où tous les portefeuilles devraient être soumis à la travel rule et donc in fine, à une obligation d’identification permanente.
C’est dans le cadre de cette réflexion, purement fictionnelle, que les listes blanches ou listes noires font leur réapparition dans le raisonnement.
Si l’on part du principe que l’ensemble des propriétaires des portefeuilles centralisés sont identifiés par le PSCA, seuls les propriétaires des portefeuilles non hébergés devront fournir leurs données personnelles pour continuer à interagir.
La mise en œuvre d’une telle obligation peut se faire de différentes façons.
Celle qui semble la plus « probable » reposera sur la création d’une liste blanche et d’une noire.
1) Créer une liste blanche des portefeuilles non hébergés identifiés
Chaque propriétaire de portefeuille non hébergé, pour continuer à interagir, devra alors fournir ses informations à un tiers centralisé qui pourra ensuite, inscrire l’adresse sur une liste blanche. L’idée ici n’est évidemment pas que les données soient communiqués à n’importe qui mais plutôt de savoir si le propriétaire de l’adresse s’est identifié. Je ferai surement un autre post sur le sujet car l’utilisation, par exemple, des Zkproof pourrait permettre une mise en oeuvre élégante de ces obligations.
Cette inscription permettra alors au propriétaire du portefeuille non hébergé identifié d’utiliser ses crypto-actifs en « toute légalité ».
2) Créer une liste noire des portefeuilles non hébergés et non identifiés
A l’inverse, les propriétaires de portefeuille non hébergé qui ne s’identifieront pas seront listés sur une liste « noire » répertoriant tous les propriétaires de portefeuille non hébergé et non identifié.
Comme chacun le sait, il n’est pas possible de bloquer une transaction sur une blockchain. Si un propriétaire de portefeuille non hébergé et non identifié souhaite envoyer des crypto-actifs à un portefeuille hébergé et identifié, il pourra le faire mais le destinataire des crypto-actifs sera passible de sanction ou suspension des services pour « violation » d’une politique du PSCA.
Il sera donc nécessaire de s’identifier pour continuer à utiliser ses crypto-actifs.
Cette obligation à s’identifier est, rappelons-le, lié à la mise en oeuvre des dispositions à la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Sous le couvert de la lutte contre des infractions pénales, chaque personne devra s’identifier.
Cette obligation est, en quelque sorte, en opposition frontale avec le principe de présomption d’innocence puisque, de facto, l’absence d’identification mettre le propriétaire du portefeuille sur une « liste noire » et toute transaction effectuée par le propriétaire du portefeuille sera vue d’un mauvais œil en raison de l’absence d’identification.
Penses-tu que cette mesure résistera à la censure de la Cour de Justice de l’Union Européenne au regard des trois dernières décisions prononcées ?
A mon sens, il y a matière à débat et il ne m’apparait pas évident que ce type de mesure soit considérée comme apte et nécessaire à la réalisation de l’objectif de lutte contre le blanchiment de capitaux et le financement du terrorisme.
En conclusion
Afin de conclure, je pense qu’il est nécessaire de proposer une solution. La critique doit être constructive.
La solution est simple : un contrôle doit exister à l’entrée et à la sortie du monde des crypto-actifs.
A l’entrée, il faut s’assurer que les fonds utilisés qui permet d’acquérir des crypto-actifs a une origine licite démontrée.
A la sortie, il faut s’assurer que les crypto-actifs vendus contre de la monnaie fiduciaire ont été acquis grâce à des fonds dont l’origine licite est démontrée. Soit, en l’ayant acheté avec des fonds licites soit en minant des crypto-actifs avec des machines qui ont été, elles aussi, achetées avec des fonds dont l’origine licite est démontrée.
Il n’est pas nécessaire de prévoir plus que ces mesures puisque la traçabilité offerte par la blockchain permettra de s’assurer de la véracité des informations données par l’utilisateur.
Rappelons aussi que des protocoles comme Tornado Cash offrait un moyen technique pour relever l’origine licite des fonds « mixés » et ce afin de répondre aux dispositions mises en œuvre pour lutter contre le blanchiment de capitaux et le financement du terrorisme.
Florian Ernotte - avocat
www.avroy.be
www.avroy.tech
[1] La loi belge PNR « Passenger Name Record » recadrée par la Cour de justice de l’Union européenne, https://www.liguedh.be/la-loi-belge-pnr-passenger-name-record-recadree-par-la-cour-de-justice-de-lunion-europeenne/
[2] https://home.treasury.gov/news/press-releases/jy0916
[3] Mikolaj Barczentewicz, Privacy, Crypto, and EU Financial Surveillance, https://truthonthemarket.com/2022/07/11/privacy-crypto-and-eu-financial-surveillance/Start writing today. Use the button below to create your Substack and connect your publication with Cryptomonnaie.be