Période de transition MiCA VASP terminée : ce que les entreprises de l'UE doivent faire maintenant
La période de grâce est terminée. Depuis le 1er juillet 2026, tout prestataire de services sur actifs virtuels opérant dans l'Union européenne doit détenir une autorisation formelle de prestataire de services sur crypto-actifs (CASP) en vertu du règlement sur les marchés de crypto-actifs (MiCA). La Commission de Surveillance du Secteur Financier (CSSF) au Luxembourg a confirmé la clôture de ce délai le 2 juillet 2026, et les conséquences pour les prestataires non autorisés sont immédiates, concrètes et croissantes. Pour les cabinets comptables, les auditeurs et les directeurs financiers servant des clients dans le secteur des actifs numériques, ce n'est pas une note de bas de page réglementaire : cela redéfinit l'éligibilité des clients, la portée de l'audit et les obligations de conformité continues.
Ce qui a changé le 1er juillet 2026
Le cadre d'autorisation CASP de MiCA est en vigueur depuis la date d'application complète du règlement, mais les États membres étaient autorisés à mettre en œuvre des dispositions transitoires nationales permettant aux anciens VASP de continuer à opérer pendant qu'ils demandaient l'autorisation. Cette fenêtre s'est fermée uniformément dans toute l'UE le 1er juillet 2026. À partir de cette date, aucun prestataire, quel que soit l'État membre ou la classe d'actifs traitée, ne peut offrir de services sur crypto-actifs dans l'UE sans une licence CASP valide.
Services couverts par l'obligation
L'obligation est large. Elle couvre la conservation et l'administration de crypto-actifs pour le compte de clients, l'exploitation de plateformes de négociation, les services d'échange entre crypto-actifs et devises fiduciaires ou entre crypto-actifs, l'exécution d'ordres, le placement de crypto-actifs, la réception et la transmission d'ordres, la gestion de portefeuille et le conseil. Toute entreprise dont les clients sont impliqués dans ces activités, en tant qu'opérateurs ou utilisateurs, doit désormais vérifier le statut d'autorisation de chaque contrepartie et prestataire de services dans cette chaîne.
Les prestataires de pays tiers sont également concernés
La notification de la CSSF est explicite sur un point que les praticiens négligent parfois : les prestataires constitués en dehors de l'UE ne sont pas exemptés simplement parce qu'ils sont domiciliés ailleurs. Si un VASP d'un pays tiers commercialise ou sollicite activement des clients basés dans l'UE, il nécessite une autorisation CASP dans l'UE. La seule exception est la sollicitation inversée authentique, où le client a approché le prestataire de manière indépendante sans aucune sollicitation préalable. La CSSF avertit cependant que les prestataires non autorisés pourraient être de plus en plus tentés de se prévaloir de cette exemption de manière extensive et inexacte. Le contrôle réglementaire des revendications de sollicitation inversée devrait s'intensifier.
Restrictions pour les prestataires non autorisés
Les prestataires qui n'ont pas obtenu l'autorisation CASP à la date limite opèrent désormais en mode de cessation d'activité restreint. La CSSF précise exactement ce qu'ils peuvent et ne peuvent pas faire.
Ce que les prestataires non autorisés ne peuvent pas faire
Un prestataire sans l'autorisation nécessaire ne peut plus accueillir de nouveaux clients de l'UE, ouvrir de nouveaux comptes ou portefeuilles pour les clients existants, faire de la publicité ou distribuer ses produits à quiconque dans l'UE, ou solliciter des affaires par quelque canal que ce soit, y compris la publicité en ligne, les campagnes par e-mail, les réseaux sociaux, les pop-ups ou les appels téléphoniques.
Les seules actions autorisées
Deux actions restent ouvertes. Premièrement, le prestataire peut faciliter le transfert des crypto-actifs d'un client vers une autre plateforme exploitée par un CASP dûment autorisé. Deuxièmement, il peut permettre aux clients de retirer leurs actifs de manière ordonnée. Rien d'autre. Ce n'est pas un atterrissage en douceur : c'est une obligation de sortie structurée.
Implications opérationnelles et d'audit pour les entreprises
Les cabinets comptables et les auditeurs ayant des clients qui détiennent des actifs numériques via des plateformes externes sont confrontés à une tâche de due diligence claire et urgente. Si le prestataire de conservation ou de négociation d'un client ne figure pas dans le registre CASP de l'ESMA, ce prestataire opère désormais en dehors de la loi. Les effets en cascade sont significatifs.
Examens des portefeuilles clients
Toute détention d'actifs numériques conservée auprès d'un prestataire non autorisé est désormais soumise à un risque opérationnel : le prestataire peut être contraint de fermer des comptes à court terme, ce qui pourrait entraîner des cessions forcées, une incertitude sur la valorisation et des événements fiscaux non planifiés ni anticipés. Pour les entreprises utilisant un logiciel de comptabilité crypto ou un logiciel de comptabilité d'actifs numériques pour suivre les positions des clients, une vérification systématique du statut d'autorisation des contreparties devrait être intégrée au prochain cycle d'examen, sans report.
Considérations sur la continuité d'exploitation et les informations à fournir
Pour les auditeurs, une entité cliente qui continue d'utiliser un prestataire non autorisé, ou qui elle-même opérait en tant que VASP sans avoir obtenu l'autorisation CASP, soulève des questions immédiates. La poursuite des activités en violation de MiCA est illicite. Cela est pertinent pour les évaluations de continuité d'exploitation, pour les déclarations faites par la direction dans les états financiers, et pour savoir si des passifs éventuels liés à une action réglementaire doivent être divulgués ou provisionnés. Le contexte sur la manière dont l'autorisation CASP de MiCA est devenue obligatoire dans toute l'UE fournit des informations supplémentaires sur le calendrier et la base juridique.
Risque de contrepartie de pays tiers
Lorsque des clients effectuent des transactions avec des plateformes offshore, l'exemption de sollicitation inversée doit être examinée attentivement. Documenter qu'un client a initié indépendamment le contact avec un prestataire d'un pays tiers, sans aucune publicité ou démarchage préalable, est une barre de preuve élevée. Si cette documentation n'existe pas, la contrepartie peut être en violation de MiCA, et l'utilisation continue de la plateforme par le client comporte un risque réglementaire et de réputation. Les entreprises conseillant sur les cadres AML/KYC devraient en tenir compte : la CSSF signale déjà le risque que les prestataires non autorisés abusent de l'étiquette de sollicitation inversée pour poursuivre indûment des activités tournées vers l'UE.
Comment vérifier l'autorisation CASP
La CSSF oriente les consommateurs et les acteurs du marché vers le registre ESMA des CASP autorisés. Pour les praticiens, c'est l'outil de vérification principal. Le nom officiel d'un prestataire, son État membre d'origine et ses services autorisés y sont tous consultables. Vérifier l'avis juridique ou les conditions générales d'un prestataire peut faire apparaître le numéro de référence de l'autorisation, mais le registre ESMA est la source faisant autorité. La clarification de l'ESMA sur les questions de champ d'application connexes de MiCA, y compris l'exemption de livre blanc pour certaines offres non-ART/EMT, est également pertinente pour évaluer quelles entités et quels produits relèvent de l'obligation d'autorisation complète.
Ce que les entreprises devraient faire immédiatement
La notification de la CSSF, bien qu'adressée en partie aux consommateurs particuliers, a des implications professionnelles directes. Les praticiens devraient traiter les éléments suivants comme des actions immédiates.
Mesures immédiates
Recoupez chaque plateforme d'actifs numériques utilisée par les clients avec le registre CASP de l'ESMA. Si un prestataire est absent ou si l'autorisation est peu claire, documentez la constatation et conseillez le client par écrit. Pour les clients opérant eux-mêmes en tant que VASP et n'ayant pas encore obtenu le statut CASP, la situation est désormais urgente : la prestation continue de services est illicite, et la voie de remédiation nécessite un engagement auprès de l'autorité nationale compétente sans délai. Examinez les contrats ou accords de service avec des prestataires de pays tiers et évaluez si l'exemption de sollicitation inversée est véritablement soutenable compte tenu des préoccupations exprimées par la CSSF. Mettez à jour les processus de comptabilité crypto pour signaler le risque lié aux prestataires non autorisés comme un contrôle permanent. Les entreprises utilisant un logiciel de comptabilité d'actifs numériques devraient envisager d'ajouter le statut d'autorisation des contreparties comme champ suivi, garantissant que les données de position sont liées à un prestataire vérifié et agréé.
La clôture de la période de transition MiCA n'est pas un développement politique lointain : c'est un état juridique exécutoire qui a pris effet il y a deux jours. Les clients qui tardent à réagir risquent des fermetures de comptes, des transferts forcés d'actifs et une exposition réglementaire potentielle. Les entreprises qui identifient et traitent cela maintenant sont en mesure d'apporter une réelle valeur ajoutée.
Source : CSSF Luxembourg
FAQ
Depuis le 1er juillet 2026, opérer sans autorisation CASP est illicite en vertu de MiCA, indépendamment de tout enregistrement national antérieur en tant que VASP. Le prestataire doit immédiatement cesser d'accueillir de nouveaux clients de l'UE, arrêter toute activité de publicité et de distribution, et entamer une cessation d'activité ordonnée : faciliter les transferts d'actifs vers des CASP autorisés ou permettre les retraits des clients sont les seules activités autorisées jusqu'à ce que l'autorisation soit accordée ou que les opérations cessent.
Uniquement dans des circonstances restreintes et bien documentées où le client de l'UE a approché le prestataire entièrement de sa propre initiative, sans sollicitation, publicité ou démarchage préalable de quelque nature que ce soit de la part du prestataire. La CSSF a explicitement signalé que les prestataires non autorisés pourraient abuser de cette exemption et que le contrôle réglementaire de ces affirmations augmentera. Les praticiens devraient considérer un recours non fondé à la sollicitation inversée comme un indicateur de risque matériel.
Le registre ESMA des prestataires de services sur crypto-actifs autorisés est la source faisant autorité. L'avis juridique ou les conditions générales d'un prestataire peuvent également mentionner son numéro d'autorisation et son autorité compétente d'origine, mais le registre ESMA devrait être l'outil de vérification principal pour la due diligence de conformité.
Les auditeurs devraient considérer si l'utilisation continue d'un prestataire non autorisé affecte la continuité d'exploitation, si des passifs éventuels découlant d'une éventuelle action réglementaire nécessitent une divulgation, et si les déclarations de la direction concernant la conformité réglementaire restent exactes. Le risque de fermeture soudaine de compte par un prestataire non autorisé crée également des risques de valorisation et de continuité qui sont matériels pour la préparation des états financiers.
MiCA couvre une large gamme de services, notamment la conservation, l'exploitation de plateformes de négociation, les services d'échange, l'exécution d'ordres, le placement, la gestion de portefeuille et le conseil. Certaines exemptions limitées s'appliquent, par exemple pour les crypto-actifs qui constituent des instruments financiers au sens de MiFID II ou pour les jetons de monnaie électronique réglementés par les directives existantes sur la monnaie électronique. L'ESMA a publié des orientations Q&A sur des questions spécifiques de champ d'application, y compris l'exemption de livre blanc pour les offres non-ART/EMT.
