Plusieurs textes et réflexions1 notamment issus de l’Autorité de contrôle prudentiel et de résolution (ACPR2) laissent à penser que des règles pourraient voir le jour en matière de certification des smart contracts, en France puis potentiellement en Europe. Si le principe n’est pas encore adopté, ni encore les critères, modalités, champ d’application, il n’en demeure pas moins que cette potentielle orientation réglementaire présente des enjeux considérables.
La position de la direction du pôle Fintech-Innovation de l’ACPR
En novembre 2023, M. Fliche, Directeur du pôle Fintech-Innovation de l’ACPR s’était exprimé en ces termes : « [les smart contracts immuables des blockchains] ne sont pas gravés dans le marbre. Je ne vois pas pourquoi les smart contracts existants ne pourraient pas être soumis à un processus de certification. Et s’ils ne passent pas le test, ils pourraient aussi évoluer. (…) L’idée est d’obliger les intermédiaires en Europe à n’interagir qu’avec d’autres contrats certifiés-UE.» Et de poursuivre : qu’on « ne pourr[a] probablement pas interdire les smart contracts non certifiés ».
Pourquoi réguler et donc potentiellement imposer une certification des smart contracts
Partant du postulat selon lequel les smart contracts peuvent présenter des dangers et que les mécanismes informels actuels ne sont pas suffisants pour contrecarrer ceux-ci, l’ACPR opine pour une certification des smart contracts.
De manière plus précise, les solutions de vérifications disponibles sur le marché sont certes hétéroclites, s’agissant par exemple des bug bounties (faire tester le smart contract par une communauté et attribuer des rewards), de l’exploration automatique du code d’un smart contract, ou encore de l’audit du smart contract (coûteux, sauf à considérer les futures solutions d’intelligence artificielle en la matière).
Néanmoins, les mécanismes susvisés ne présentent pas des garanties suffisantes. En effet, toujours selon l’ACPR et en substance :
- Outre la sécurité d’un smart contract, d’autres aspects doivent être vérifiés : d’ordre économique, afférents à la gouvernance, ou encore relatifs à la conformité réglementaire
- Auditer un code reste insuffisant, en ce que cela ne tient pas compte des risques systémiques liés à la fonctionnalité des smart contracts
Quelle potentielle régulation des smart contracts ?
Plusieurs modalités de certification des smart contracts sont considérées et étudiées par l’ACPR.
En premier lieu, la mesure phare serait d’imposer une certification des smart contracts, selon plusieurs principes :
- Principe de proportionnalité : la certification serait uniquement obligatoire pour les projets d’envergure ; dans le cas contraire, il s’agirait d’imposer uniquement un audit de sécurité
- Typologie des smart contracts : les smart contracts seraient classifiés selon leur profil risqué / complexe / expérimental / etc ; seules certaines catégories seraient concernées par la certification
- Principe de minimalisation de la gouvernance des smart contracts : critère de certification, ce principe de minimalisation serait également prévu par la réglementation et présenterait un intérêt certain en terme de sécurité
Une autre manière de réguler (non exclusive de la certification) serait d’imposer un dispositif de remontée des incidents liés aux smart contracts vers une autorité centralisatrice .
En outre, pourrait être imposée la diffusion d’un “mode d’emploi” (sic ACPR) pour chaque smart contract créé. Cette obligation, imposée au développeur du smart contract concerné, consisterait à fixer notamment le périmètre des utilisations du smart contracts considérées comme légitimes.
Enfin, l’ACPR s’interroge sur la pertinence de décourager (puisqu’une interdiction semble impossible) l’interaction des smart contracts certifiés avec des smart contracts non certifiés .
Le groupe de travail dédié de l’ACPR
Par communiqué du 29 mars 20243, l’ACPR a déclaré avoir poursuivi l’ensemble des réflexions par constitution d’un groupe de travail spécifiquement dédié à la certification des smart contracts en premier lieu en matière de services financiers désintermédiés. Un rapport de synthèse devrait être diffusé au cours des prochains mois.
Affaire à suivre…
- Après une série d’entretiens auprès d’acteurs de l’écosystème et une consultation publique, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a en effet publié, en Avril 2023, un document de réflexion consacré à l’encadrement de la DeFi. S’en est suivie une synthèse diffusée courant automne 2023. La présente note ne constitue donc pas un résumé d’une réglementation actuellement en vigueur, mais bien une analyse susceptible de déboucher sur de nouvelles règles. Il s’agit d’une synthèse des réflexions engagées par l’ACPR. ↩︎
- L’ACPR est une autorité administrative dont le code monétaire et financier établit l’indépendance pour l’exercice de ses missions et l’autonomie financière. Pour son fonctionnement, l’ACPR est adossée à la Banque de France, qui lui procure ses moyens, notamment humains et informatiques. https://acpr.banque-france.fr/lacpr/presentation/quest-ce-que-lacpr ↩︎
- Communiqué du 29 Mars 2024 : « Lancement du groupe de travail sur la Certification des Smart contracts », ACPR ↩︎