Que retenir en synthèse ?
Dans l’univers de la finance décentralisée que l’on appelle également « DeFi » pour « decentralised Finance », l’autorité de contrôle prudentiel et de résolution – l’« ACPR » – a publié ce mois-ci un document de réflexion visant à étudier les risques de la finance décentralisée, que l’autorité requalifie dès sont titre de finance « désintermédiée ». Au sein de ce document public[1] l’ACPR nous plonge dans l’univers des produits financiers décentralisés (Prêts emprunts collatéralisés, Flash loans, crowfunding, Protocoles de staking, sablecoins) et nous invite à faire part, dans le cadre d’une consultation publique ouverte jusqu’au 19 mai 2023, de nos réflexions et recommandations.
Pour sa part, après une introduction très complète sur la définition de la finance décentralisée[2] dont le marché est en essor depuis les années 2020 mais avec de forts mouvements baissiers en 2021 et 2022, surtout suite à l’effondrement du projet blockchain Terra et de son token Luna, l’ACPR relève que ce marché reste modeste (10% du marché des cryptos actifs soit environ 250 Milliards de dollars) mais est déjà très concentré (fin 2022, l’APCR note la blockchain Ethereum concentrait à elle seule 60 % de la TVL, c’est-à-dire la montant total des crypto-actifs déposés dans les protocoles).
Au sein de son document de réflexion, très pédagogique pour tous ceux qui souhaitent mieux comprendre cet univers de la DeFi et s’approprier des cas d’usage, l’ACPR détaille les risques qu’elle identifie et propose des pistes d’encadrement règlementaire.
I. Les Risques
Au titre des risques majeurs, l’autorité nous alerte sur :
- Une gouvernance faussement décentralisée souvent regroupée dans les mains de certains acteurs (fondateurs, développeurs, financeurs) du protocole qui pourront alors garder une majorité des jetons de gouvernance un peu comme des actionnaires majoritaires au sein d’une société.
- La vulnérabilité des réseaux infrastructures c’est-à-dire la couche première, les blockchains avec, par exemple, la possibilité de créer de faux nœuds au sein d’une blockchain pour récupérer des informations, voire s’approprier des transactions. L’autorité met en avant aussi des risques sur les couches applicatives supérieures pour les usagers la fragilité systémique et la volatilité du prix des crypto monnaies et puis bien évidemment des risques au niveau du blanchiment des capitaux puisque, dans un système de marché financier décentralisé, l’anonymat fait légion et toutes les obligations en matière de double indentification (type « KYC ») ne sont pas mises en application.
- Congestion (scalability) des infrastructures blockchains qui peuvent engendrer des congestions de transactions et donc des échecs de validation d’ordres. A titre de comparaison, l’ACPR relève que le système des cartes VISA permet de passer 24 000 transactions par seconde lorsque le protocole Ethereum ne peut en passer qu’entre 10 et 15.
- Risques sur les couches applicatives, c’est-à-dire au niveau des smart contracts c’est-à-dire sur le code informatique des automates exécuteurs de clauses. En l’espèce, l’ACPR met en exergue les risques de failles et d’attaques sur le code du smart contract.
- Les risques pour les usages en terme de perte de capital. En particulier dans un environnement complexe, nouveau, changeant et dé responsabilisé.
- Les risques de volatilité des cryptos actifs et donc de la fragilité systémique de tout l’ensemble qui n’est garantit par aucune disposition règlementaire. L’ACPR donne bien sûr l’exemple du crash du protocole Terra de son token Luna.
- Et bien sûr, le risque en terme de blanchissement de capitaux dans un environnement anonymisé et dédouané de toute obligation telle que la double identification et le KYC (Know Your Customer).
Après avoir détaillé de manière forte intéressante les risques, l’autorité propose des pistes et des recommandations en vue d’améliorer la confiance dans les marchés décentralisés quel appel également désintermédiation de la finance.
II. Pistes d’encadrement règlementaire
Ces pistes peuvent être résumées au nombre de quatre :
- une sécurité minimale de l’infrastructure organisée en deux approches : imposer plus de normes ou de standards autour des blockchains publiques utilisées (par exemple concernant la conception du code, les règles de gouvernance des certifications a priori ou des audits) mais également en basculant les applications métier de la finance vers des blockchains privées qui seraient gérées par des banques ou des consortiums, voire des fintechs. Nous voyons ici le souhait de réintroduire des intermédiaires ;
- Un encadrement adapté à la nature algorithmique des services avec pourquoi pas des audits de code des smart contracts qui sont donc la touche applicative au-dessus de l’infrastructure de blockchain par des tiers et essayez de mettre en place des protocoles validés des Smart contracts certifiés. Ainsi, émergeraient des protocoles fiables et sûrs en opposition à des protocoles sans aucune garantie. L’ACPR fait judicieusement le parallèle avec les différents niveaux de sécurité proposés par la loi Lafon du 3 mars 2022, qui crée un « cyberscore ». De manière incidente, l’ACPR opère une comparaison fort intéressante avec le future règlement sur l’intelligence artificielle et la responsabilité des produits défectueux en considérant qu’un smart contract pourrait être vu comme un produit avec un risque de sécurité à caractériser ;
- La création de statut pour certains fournisseurs de ces services décentralisés qui reviendrait d’une certaine manière à ce que l’autorité appelle une recentralisation partielle de cette finance. Cela pourrait passer par l’obligation de constituer une société ou « de conférer aux DAO[3] un statut juridique. » Une autre piste de réflexion passerait par un cadre de supervision renforcé des intermédiaires fournisseurs d’accès, c’est-à-dire les PSANs qui fourniraient des services financiers décentralisés ;
- Ouverture du MiCA au DeFi : Dans sa rédaction actuelle, le MiCA[4] exclut de son champ d’application les services de la DeFi tout comme les NFTs. L’ACPR, tout comme l’OCDE, s’avance d’ores et déjà pour inciter les réflexions qui auront lieu pendant les 18 mois après l’entrée en vigueur règlement européen MiCA, à intégrer dans le champ d’application les services financiers décentralisés.
Au final, ce document de réflexion est très utile pour comprendre les cas d’usage et les différentes strates technologique de la finance décentralisée et permet de se rendre compte qu’un marché totalement libre et non encadré dans le domaine de la finance peut entraîner de forts risques d’instabilité financière, de perte de capitaux et liquidités et de perte de confiance. Parfaitement en ligne avec l’une de ses missions primordiales ( « protéger la clientèle et renforcer la stabilité du secteur ») l’ACPR nous invite ici à repenser la DeFi afin de s’interroger sur le bien fondé d’une dose raisonnable d’intermédiation de ces services financiers afin d’assurer leur pérennité.
[1] Finance « décentralisée » ou « désintermédiée » : quelle réponse réglementaire ? | Banque de France (banque-france.fr)
[2] Ensemble de services financiers réalisables sur crypto-actifs sans intervention d’intermédiaire règlementaire ou institutionnel (type banques, assurances, chambres de compensation).
[3] Organisation autonome décentralisée (DAO) : composante usuelle (mais pas systématique) des protocoles DeFi, visant à en organiser la gouvernance ; elle est définie habituellement par la communauté des détenteurs de jetons de gouvernance, les smart contracts qui régissent ses règles de fonctionnement et les actifs qu’elle contrôle (treasury du protocole)
