Comment les régulateurs se sont trompés
La récente proposition de l’Union européenne exigeant les échanges cryptographiques centralisés et les fournisseurs de portefeuilles de garde pour collecter et vérifier les informations personnelles sur les détenteurs de portefeuilles auto-dépositaires montrent les dangers de recycler les règles de la finance traditionnelle (TradFi) et de les appliquer à la crypto sans apprécier les différences conceptuelles. Nous pouvons nous attendre à en voir davantage alors que les pays cherchent à mettre en œuvre le Groupe d’action financière (GAFI) Règle de voyageinitialement conçu pour les virements électroniques, aux transferts de crypto-actifs.
Le lien (manquant) entre garde de soi, contrôle et identité
L’objectif de l’UE proposée règles est « de s’assurer que les crypto-actifs peuvent être tracés de la même manière que les transferts d’argent traditionnels ». Cela suppose que chaque portefeuille auto-dépositaire peut être lié à l’identité vérifiable de quelqu’un et que cette personne contrôle nécessairement le portefeuille. Cette hypothèse est fausse.
Lié: Les autorités cherchent à combler l’écart sur les portefeuilles non hébergés
Dans TradFi, un compte bancaire est lié à l’identité vérifiée de son titulaire, lui donnant le contrôle de ce compte. Par exemple, partager vos coordonnées bancaires en ligne avec votre partenaire ne fait pas de lui le titulaire du compte. Même si votre partenaire modifie les informations de connexion, vous pouvez reprendre le contrôle en prouvant votre identité à la banque et en lui faisant réinitialiser les informations. Votre identité vous donne un contrôle ultime qui ne peut pas être définitivement perdu ou volé. Bien sûr, en échange des protections de garde de la banque, vous perdez l’auto-souveraineté sur vos actifs.
L’auto-garde des actifs cryptographiques est différente. Le contrôle (c’est-à-dire la capacité d’effectuer des transactions) sur le portefeuille auto-dépositaire est détenu par quiconque détient les clés privées de ce portefeuille. Le contrôle n’est lié à l’identité de personne et il n’y a personne à qui prouver votre identité. Tout ce dont vous avez besoin est de télécharger un logiciel et de stocker en toute sécurité vos clés privées. En échange de cette responsabilité, vous conservez une propriété souveraine.
Mise en œuvre des règles proposées
Voyons comment un fournisseur de portefeuille de garde s’y prendrait pour se conformer à la proposition de l’UE. Supposons qu’Alice veuille envoyer 0,3 Ether (ETH) de son compte de portefeuille de garde au portefeuille de garde de Bob pour payer les services de conseil de Bob. Avant que le transfert ne soit effectué, le fournisseur de portefeuille de garde devrait 1) collecter le nom de Bob, l’adresse du portefeuille, l’adresse résidentielle, le numéro d’identification personnel, ainsi que la date et le lieu de naissance ; et 2) vérifier l’exactitude de ces détails. En gros, les mêmes détails seraient requis pour un transfert du portefeuille de Bob vers le compte du portefeuille de garde d’Alice. Alice aurait probablement besoin de demander à Bob de lui envoyer ses coordonnées, et Alice les fournirait ensuite au fournisseur de portefeuille de garde – comme récemment conseillé par un fournisseur de portefeuille de garde dans un contexte similaire.
Les règles s’appliqueraient même aux plus petites transactions — il n’y a pas de seuil minimum. Les fournisseurs de portefeuilles de garde devraient également retenir les transferts entrants (ce qui crée des risques de garde plus importants) et les renvoyer dans le portefeuille de garde en cas d’échec de la vérification.
Connexe: La crypto au Canada : où en sommes-nous aujourd’hui et vers quoi nous dirigeons-nous ?
L’identité n’est pas synonyme de contrôle, ce qui rend la conformité impossible
Bien que la collecte de données et la retenue potentielle des transferts entrants soient lourdes sur le plan opérationnel, les risques liés à l’obligation de vérification sont potentiellement carrément impossibles à respecter. Dans TradFi, le but de la vérification d’identité est de s’assurer que la personne contrôlant un compte bancaire et prétendant le faire est bien la même. Mais comment le fournisseur de portefeuille de garde pourrait-il remplir l’obligation de vérification si le contrôle du portefeuille de garde de Bob ne dépend pas de son identité ?
Même si le fournisseur de portefeuille de garde a réussi à confirmer que Bob est la personne qu’il prétend être, cela ne signifie pas qu’il contrôle le portefeuille. Il pourrait être contrôlé par une organisation autonome décentralisée qui redistribue les paiements à des membres comme Bob ou à un groupe criminel, Bob étant simplement leur mule financière. Il n’y a pas de tiers à qui prouver l’identité de Bob pour effectuer une transaction – celui qui contrôle les clés privées est la «banque».
Exposer les utilisateurs légitimes à des risques de sécurité disproportionnés
Supposons que les fournisseurs de portefeuilles de garde parviennent à se conformer aux règles proposées, ou à une version moins stricte de celles-ci qui ne nécessite pas de vérification. Les fournisseurs de portefeuilles de garde devraient conserver de grandes bases de données d’utilisateurs de portefeuilles auto-dépositaires, exposant les utilisateurs au risque de violation de données. Pour les utilisateurs légitimes, c’est-à-dire ceux qui déclarent leur véritable identité et contrôlent également le portefeuille d’auto-conservation associé, ce risque a des conséquences bien plus importantes que la collecte de données TradFi (par exemple, la règle de voyage du GAFI pour les virements électroniques).
Dans TradFi, si un criminel compromet le compte bancaire ou la carte de quelqu’un, il n’ira pas très loin car la banque peut bloquer le compte. Par définition, les portefeuilles auto-dépositaires n’ont pas cette fonctionnalité. La propriété souveraine, sécurisée par la cryptographie et la propre vigilance de l’utilisateur, est considérée comme un avantage par des dizaines de millions d’utilisateurs dans le monde, y compris ceux qui sont exclus du système bancaire. Cependant, l’auto-souveraineté suppose l’intimité personnelle.
Une fois que la confidentialité est compromise – par exemple, en piratant la base de données du fournisseur de portefeuille de garde des utilisateurs de portefeuille auto-dépositaire – les utilisateurs sont exposés à un niveau de risque injuste par rapport à TradFi. Connaître le nom, l’adresse, la date de naissance et le numéro d’identification d’une personne, ainsi que son activité sur la chaîne, permettrait aux criminels de lancement attaques de phishing hautement personnalisées, ciblant les appareils des utilisateurs pour récupérer des clés privées, ou les faisant chanter, y compris les menaces à la sécurité physique. Une fois les clés privées compromises, l’utilisateur perd irréversiblement le contrôle de son portefeuille.
Lié: La perte de la vie privée : pourquoi nous devons nous battre pour un avenir décentralisé
Étant donné que les criminels trouveront des moyens de contourner les règles – par exemple, en exécutant leurs propres nœuds pour interagir avec la blockchain sans jamais avoir à s’appuyer sur des fournisseurs de portefeuilles de garde ou des logiciels de portefeuille auto-dépositaires – seuls les utilisateurs légitimes devront supporter ces risques de sécurité.
Incohérences avec le propre cadre politique de l’UE
La sécurité mise à part, la proposition soulève des problèmes de confidentialité plus larges. L’obligation de déclaration irait à l’encontre des principes du règlement général sur la protection des données (RGPD) tels que la minimisation des données, qui exige que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire aux fins de leur collecte. Ignorant un instant l’argument selon lequel la collecte de données ne sert à rien, étant donné le chaînon manquant entre le contrôle de l’auto-détention et l’identité, il est difficile de voir – même selon les normes de TradFi – comment l’adresse résidentielle, la date de naissance et le numéro d’identification de quelqu’un sont pertinents ou nécessaires pour effectuer un transfert. Alors que les banques conservent régulièrement de telles données sur leurs titulaires de compte, vous, en tant que titulaire du compte, n’avez pas besoin de demander (et de connaître !) ces détails lorsque vous envoyez de l’argent ou payez pour un service.
On ne sait pas non plus pendant combien de temps les fournisseurs de portefeuilles de garde auraient besoin de stocker les données – en vertu du RGPD, les données personnelles ne doivent être conservées que le temps nécessaire pour atteindre l’objectif de la collecte. Il n’est pas clair non plus comment les droits individuels des utilisateurs en vertu du RGPD tels que le « droit à l’oubli » et le « droit à la rectification » pourraient être respectés si leurs données personnelles sont liées à leur historique en ligne, qui ne peut pas être modifié.
Lié: Les cookies du navigateur ne sont pas un consentement : la nouvelle voie vers la confidentialité après l’échec de la réglementation européenne sur les données
L’absence d’évaluation basée sur les risques ou de seuil minimum (contrairement au seuil de 1 000 euros pour les transferts fiduciaires) est également contraire aux principes politiques de l’UE. La proposition semble traiter tous les transferts cryptographiques avec suspicion simplement parce qu’ils impliquent des actifs cryptographiques.
Il est maintenant temps de dialoguer avec les décideurs politiques
Confrontés à la perspective de développer des processus de conformité coûteux qui ne permettraient probablement pas de mettre en œuvre efficacement les règles, et risquant des sanctions en cas de non-conformité et de violations potentielles de données, les fournisseurs de portefeuilles de garde basés dans l’UE peuvent décider de restreindre complètement les transferts depuis et vers les portefeuilles auto-dépositaires. . Ils peuvent également commencer à servir les utilisateurs de l’UE en dehors de l’UE. Cela envoie de mauvais signaux à l’industrie de la cryptographie et risque de décourager les talents et les capitaux technologiques de l’UE, à l’instar du récent départ de certains opérateurs de cryptographie du Royaume-Uni.
Lié: Consolidation et centralisation : comment la nouvelle réglementation AML européenne affectera la crypto
Davantage d’utilisateurs peuvent également passer à des transactions peer-to-peer et à des acteurs décentralisés pour éviter les règles contraignantes. Bien que cela puisse être bénéfique pour certains utilisateurs, l’UE devrait encourager une interconnectivité fluide entre les acteurs centralisés et décentralisés et promouvoir la liberté des utilisateurs de choisir la manière dont ils souhaitent effectuer leurs transactions.
La proposition est maintenant passée aux négociations entre les organes législatifs de l’UE à partir du 28 avril, le texte final étant attendu d’ici la fin juin. Si la règle est adoptée sous sa forme actuelle, il sera toujours possible de la revoir dans les 12 mois suivant son entrée en vigueur. Cependant, nous ne pouvons pas nous fier à cela – il est maintenant temps pour l’industrie européenne de la cryptographie de se coordonner et de s’engager avec les décideurs politiques. Au lieu d’appliquer de force les règles TradFi à une technologie en développement, nous devrions promouvoir des politiques basées sur les résultats qui permettent l’émergence de nouvelles solutions de conformité qui respectent le fonctionnement de la cryptographie.
Cet article ne contient pas de conseils ou de recommandations d’investissement. Chaque mouvement d’investissement et de trading comporte des risques, et les lecteurs doivent mener leurs propres recherches lorsqu’ils prennent une décision.
Les vues, pensées et opinions exprimées ici sont celles de l’auteur seul et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Cointelegraph.
Nathalie Linhart est conseillère juridique chez ConsenSys, où elle donne des conseils sur des produits tels que MetaMask, les expériences NFT et le jalonnement institutionnel. Elle se concentre également sur les questions réglementaires européennes affectant l’industrie de la cryptographie. Auparavant, elle a travaillé comme avocate en réglementation financière et dérivés chez Clifford Chance London, conseillant les clients sur le lancement de produits financiers, l’accès à de nouveaux marchés et l’atténuation des risques réglementaires. Elle a également travaillé sur des dérivés et des transactions sur les marchés de capitaux, notamment dans une banque d’investissement mondiale.