Après la France, qui a publié le 24 décembre 2018 son décret relatif à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l’émission et la cession de minibons, le Luxembourg vient ayant pour but de fournir aux acteurs de la place financière une sécurité juridique pour la circulation de titres via la blockchain.
Voici une analyse des impacts du projet de loi français.
L’article L. 211-3 du Code monétaire et financier, introduit par l’Ordonnance n° 2017-1674 du 8 décembre 2017 relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers énonce: «Les titres financiers, émis en territoire français et soumis à la législation française, sont inscrits soit dans un compte-titres tenu par l’émetteur ou par l’un des intermédiaires mentionnés aux 2° à 7° de l’article L. 542-1, soit, dans le cas prévu au second alinéa de l’article L. 211-7, dans un dispositif d’enregistrement électronique partagé (DEEP).
L’inscription dans un dispositif d’enregistrement électronique partagé tient lieu d’inscription en compte. Un décret en Conseil d’État fixe les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d’enregistrement électronique partagé mentionné ci-dessus, présentant des garanties, notamment en matière d’authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.»
Le DEEP doit ‘permettre, directement ou indirectement, d’identifier les propriétaires des titres, la nature et le nombre de titres détenus’.
Ce décret traite avant tout des conditions de sécurité du DEEP. L’article R. 211-9-7 du Code monétaire et financier dispose que le dispositif «est conçu et mis en œuvre de façon à garantir l’enregistrement et l’intégrité des inscriptions […]» et les inscriptions «réalisées dans ce dispositif d’enregistrement font l’objet d’un plan de continuité d’activité actualisé comprenant notamment un dispositif externe de conservation périodique des données».
Ainsi, tout prestataire qui entend mettre en place un DEEP dans ce domaine doit montrer patte blanche en prévoyant une documentation sécurité détaillée sur ce point (Plan de continuité d’activité, Politique de Sécurité où les mesures de nature à garantir l’intégrité – des mesures cryptographiques par exemple – seront précisées). En effet, le pouvoir réglementaire entend assurer une sécurité accrue dans ce domaine, encore à l’état «expérimental».
Dans le même ordre d’idée, l’authentification des propriétaires des titres doit être prévue. Selon le même article R. 211-9-7, le DEEP doit «permettre, directement ou indirectement, d’identifier les propriétaires des titres, la nature et le nombre de titres détenus».
L’authentification indirecte renvoie selon toute vraisemblance à la nécessité pour un prestataire de lier un pseudonyme utilisé pour l’ouverture d’un compte et une opération d’achat ou de vente de titres via une application s’appuyant sur une blockchain. Cette authentification des propriétaires de titres implique immanquablement l’application du Règlement Général de la Protection des Données.
Plusieurs architectures et technologies garantissent la transparence ou l’opacité des transactions. Le décret définit sur ces points principalement deux obligations. D’une part, une obligation de résultat auprès du propriétaire des titres qui doit «disposer de relevés des opérations qui lui sont propres» (art. R.211-9-7).
D’autre part, une obligation de moyen auprès de tiers «lorsque la tenue des comptes-titres ou l’inscription de titres dans un dispositif d’enregistrement électronique partagé incombe à l’émetteur et que ce dernier désigne un mandataire à cet effet» (art. R.211-3 CMF) sous la forme, dans ce cas, d’une publication au Bulletin des annonces légales obligatoires.
Le cadre juridique commence donc à se préciser autour de l’utilisation de la technologie d’enregistrement électronique partagé dans le secteur financier.
Le décret est entré en vigueur le 27 décembre 2018.
Le cadre juridique commence donc à se préciser autour de l’utilisation de la technologie d’enregistrement électronique partagé dans le secteur financier. Il faudra néanmoins attendre les premiers projets concrets qui entreront dans le périmètre de ce décret pour en mesurer la portée. En effet, il est aujourd’hui compliqué de répondre à certaines questions précises comme: «La blockchain publique Ethereum est-elle éligible à entrer dans le périmètre de ce décret et à quelles conditions?»
Les implications d’une réponse positive à cette question sont considérables. Cela signifierait en effet qu’il serait possible de fournir comme preuve de détention ou de transfert d’un titre, le numéro de bloc dans lequel se trouve la transaction d’attribution du token.
Ceci permettrait d’envisager une utilisation réelle d’une blockchain publique pour des transactions financières «classiques», en bénéficiant des avantages déjà maintes fois décrits de la technologie blockchain: suppression du besoin de réconciliation, automatisation de certaines étapes, diminution des coûts, débouclage plus rapide des transactions, etc.
Quelles sont les conditions à remplir pour y arriver? C’est la question à laquelle nous allons tenter de donner des premiers éléments de réponse en reprenant chacune des contraintes et caractéristiques du texte de loi mentionnées plus haut.
La blockchain Ethereum publique est-elle un dispositif d’enregistrement électronique partagé?
Sur le principe, la réponse est oui. Le «Dispositif d’enregistrement électronique partagé» est souvent évoqué comme la traduction de DLT (Distributed Ledger Technology). La traduction française en ces termes regroupe cependant un ensemble plus large de cas d’application que son origine anglaise.
En effet, un registre peut être partagé sans être forcément distribué. La distribution implique la recopie des données sur plusieurs ordinateurs, ce qui nécessite la mise en place d’un mécanisme de synchronisation, voire de consensus distribué.
Il apparaît ainsi évident que la blockchain Ethereum (publique ou sous ses déclinaisons privées) est un dispositif d’enregistrement électronique partagé, il en est de même pour les autres infrastructures blockchain telles que bitcoin ou hyperledger ainsi que pour Corda du consortium R3, qui ne peut pourtant pas être considéré stricto sensu comme une blockchain.
Les conditions de sécurité du DEEP sont-elles respectées?
Peut-on considérer que «la garantie de l’enregistrement et de l’intégrité des inscriptions» est assurée sur une blockchain publique? Cette question est probablement celle qui est la plus sujette à débat. En effet, il n’y a en théorie aucune garantie qu’une transaction injectée sur la blockchain publique sera effectivement incluse dans un bloc et donc exécutée.
En pratique, le mécanisme de consensus distribué, dans lequel des nœuds complètement indépendants collaborent pour valider et injecter les transactions dans la blockchain en échange d’une récompense, réalise cette propriété. De plus, il est facile de vérifier qu’une transaction émise a bien été prise en compte. Il reviendra donc au régulateur, au cas par cas et en fonction des mécanismes de mitigation mis en œuvre, de décider si cette propriété est ou non respectée.
De prime abord, les personnes entendant recourir à une blockchain publique devront prévoir un document permettant de démontrer et d’auditer cette garantie d’enregistrement et d’intégrité des inscriptions sur une blockchain.
La procédure de reprise des données en cas d’arrêt ou de corruption de la blockchain publique devra également être documentée en détail.
L’autre aspect concerne le «plan de continuité d’activité actualisé comprenant notamment un dispositif externe de conservation périodique des données». Nous sommes ici en face d’une responsabilité classique des opérateurs de systèmes d’information pour laquelle il faudra réaliser des copies régulières de la blockchain, et les conserver et les gérer avec le même niveau de professionnalisme qu’habituellement.
La procédure de reprise des données en cas d’arrêt ou de corruption de la blockchain publique devra également être documentée en détail. Là encore, les personnes entendant recourir à une blockchain publique devront pouvoir disposer de la documentation appropriée.
Comment réaliser l’authentification des propriétaires de titres?
Comme pour toute transaction financière, il est nécessaire de prouver que l’identité des propriétaires des titres a été vérifiée et que cette personne physique ou morale respecte la loi, notamment en matière de lutte contre le blanchiment et le financement du terrorisme (LAB-FT), mais également au regard de la nature de l’instrument financier détenu.
Ceci peut tout à fait être réalisé et même renforcé via une blockchain publique et en impliquant des tiers de confiance qui vont garantir que les processus ont été mis en place et respectés pour chaque adresse de la blockchain détentrice de tokens. Un exemple de description détaillée de ces mécanismes peut être trouvé dans le document «».
L’autre point concerne la confidentialité des informations et le respect du RGPD. Pour ce qui est de la confidentialité des informations d’identité, il est nécessaire que le tiers de confiance stocke «offchain» l’ensemble des informations relatives à l’identité des acteurs et «onchain» le lien entre ces informations et l’adresse blockchain du détenteur de titre.
Si la confidentialité du registre est nécessaire (nombre de titres émis, nombre de titres détenus par adresse, opérations de transfert…), il est également obligatoire de mettre en place des mécanismes spécifiques de confidentialité, l’une des caractéristiques des blockchains publiques étant la transparence complète des informations stockées sur la blockchain.
Assurer cette confidentialité du registre est aujourd’hui techniquement possible sur une blockchain publique. Elle implique la mise en place de mécanismes complexes par des acteurs identifiés qui vont jouer le rôle de dépositaires de titres.
L’utilisation de la blockchain publique Ethereum pour la réalisation d’opérations sur titres dans le respect du décret du 24 décembre 2018 (...) semble théoriquement possible.
Les points liés à la transparence ou l’opacité des transactions sont adressés par les mesures décrites ci-dessus. Il apparaît, au regard de cette analyse, que l’utilisation de la blockchain publique Ethereum pour la réalisation d’opérations sur titres, dans le respect du décret du 24 décembre 2018 relatif à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers, et pour l’émission et la cession de minibons, semble théoriquement possible.
Même si la mise en œuvre concrète d’un projet ayant cette ambition nécessiterait la collaboration d’experts techniques, juridiques et financiers, elle constituerait un grand pas en avant vers une plus grande ouverture et une meilleure efficacité des infrastructures financières sans sacrifier à la sécurité ni à la conformité des transactions, et donc à la protection des investisseurs et des porteurs de projet.
Nous analyserons dans un prochain article les impacts du texte luxembourgeois que nous comparerons avec le texte français.