Finance « décentralisée » ou « désintermédiée » : quelle réponse réglementaire ?

La transparence et l’immuabilité du code informatique devant remplacer la confiance entre les acteurs, la finance décentralisée est aussi, et peut-être avant tout, une finance désintermédiée. Elle fait l’objet d’un intérêt marqué, dans le débat public comme de la part des superviseurs, autant pour ce qu’elle est aujourd’hui que pour ce qu’elle pourrait préfigurer demain : « tokénisation » de la finance, apport des technologies blockchain à l’activité de nombreux secteurs économiques.

Ce document de réflexion décrit succinctement l’écosystème de la DeFi, ses cas d’usage principaux, ses promesses, mais aussi ses limites. Parmi celles-ci, le document pointe le haut niveau de concentration qui caractérise l’écosystème de la DeFi, ainsi que la gouvernance parfois très centralisée de ses applications, premier facteur de risque à prendre en compte. À cet égard, il semble que le terme de « finance décentralisée » représente mal la réalité de la DeFi et qu’il est plus approprié de parler de « finance désintermédiée ».

Plus largement, le document propose une description des risques spécifiques de cette finance désintermédiée, en distinguant schématiquement les trois grandes strates qui la composent : l’infrastructure blockchain, la couche applicative des « services », et les dispositifs permettant l’accès des utilisateurs à ces services. Une partie des risques de la finance désintermédiée sont étroitement liés aux caractéristiques des technologies qui en font aussi l’intérêt. Ainsi, les solutions recherchées pour améliorer les performances des blockchains – leur « passage à l’échelle » – sont aussi celles qui peuvent fragiliser les mécanismes de consensus (solutions de layer 1) ou créer de nouveaux problèmes de sécurité (solutions de layer 2). De même, au niveau de la couche applicative, la transparence du code informatique, la composabilité des automates exécuteurs de clauses, leur dépendance aux « oracles » : tous ces avantages de la finance désintermédiée sont aussi des facteurs de sa vulnérabilité. L’accès des utilisateurs à ces services soulève quant à lui des questions plus traditionnelles pour un contrôleur du secteur financier : la grande volatilité, la complexité des produits, leur accès peu ou pas encadré exposent les utilisateurs à des risques élevés de perte en capital et peuvent menacer la stabilité interne de l’écosystème, à défaut de représenter – à ce jour – une menace pour la stabilité du système financier.

Face à ces risques, ce document de réflexion avance un certain nombre de pistes de réglementation, parfois complémentaires, parfois alternatives. L’idée principale qui y est développée est que la réglementation de la finance désintermédiée ne peut se borner à répliquer les dispositifs encadrant actuellement la finance traditionnelle. Elle doit tenir compte, au contraire, des spécificités de la DeFi. En outre, elle ne devrait pas s’envisager comme un bloc monolithique, mais pourrait plutôt prendre la forme d’une hybridation entre les réglementations financières traditionnelles et des réglementations inspirées d’autres secteurs économiques.

Parmi les propositions émises, un premier ensemble vise à renforcer la sécurité des infrastructures blockchains. Le document explore à cette fin deux grandes modalités d’organisation possible : dans un premier schéma, l’infrastructure continuerait à reposer sur des blockchains publiques mais, pour pouvoir être utilisées, celles-ci feraient l’objet d’une « homologation » via des standards minimaux de sécurité (certification du code informatique, nombre minimal de validateurs, plafond à la concentration des capacités de validation). Dans un second schéma, les fonctions financières seraient basculées sur des blockchains privées, afin de garantir une gouvernance et un niveau de sécurité appropriés ; celles-ci seraient alors gérées par des acteurs de confiance, privés ou publics, au risque toutefois de limiter les capacités d’innovation de la finance désintermédiée.

S’agissant de la couche applicative, le document propose de renforcer la sécurité des automates exécuteurs de clauses (smart contracts) via un mécanisme de certification, portant sur la sécurité du code informatique, la nature du service ou encore la gouvernance. Celui-ci serait soit encouragé, soit rendu obligatoire par l’interdiction d’interagir avec un smart contract non certifié. Réalisée par des évaluateurs spécialisés procédant par audit humain, méthodes formelles ou une combinaison de ces méthodes, la certification comprendrait notamment une brique d’analyse de composition logicielle : la certification d’un smart contract nécessiterait ainsi la certification préalable de l’ensemble des composants appelés. La certification répondrait en outre à trois règles fondamentales : elle devrait pouvoir être retirée à tout moment ; elle ne serait accordée que pour une durée limitée, afin de prendre en compte l’évolution des savoirs et des techniques de sécurité informatique ; elle devrait être réitérée à chaque changement significatif du code informatique. Enfin, dans l’hypothèse où, dans le futur, les automates exécuteurs de clauses embarqueraient directement dans leur code un certain nombre d’obligations réglementaires, la certification pourrait inclure la vérification de la bonne traduction des dispositions de droit en langage informatique.

Enfin, le document propose de mieux encadrer la fourniture de services et l’accès des utilisateurs à ces services. Sur le premier volet, le document explore la possibilité de créer des statuts pour certains fournisseurs de services, en opérant une « recentralisation » : les acteurs exerçant le contrôle effectif sur un service sensible pourraient devoir se constituer en société, soumise au contrôle ; une alternative consisterait à assujettir directement les acteurs exerçant un contrôle effectif sur le service. L’attribution d’un statut juridique aux « organisations autonomes décentralisées » (DAO), qui permettrait – quand cela est nécessaire – un assujettissement à contrôle, paraît également une piste prometteuse : sur ce point, le document de réflexion renvoie aux travaux en cours du Haut comité juridique de la Place financière de Paris (HCJP).

Sur le second volet, le document envisage un cadre de contrôle renforcé des intermédiaires facilitant l’accès des utilisateurs aux services de la DeFi. Seuls quelques utilisateurs disposent en effet des compétences pour interagir directement avec des applications de finance désintermédiée ; si l’accès de ces utilisateurs experts peut difficilement être réglementé, l’important est d’encadrer celui du plus grand nombre. À ce titre, les intermédiaires peuvent jouer un rôle essentiel dans la prévention des risques, en évitant aux investisseurs – notamment individuels – d’interagir avec des protocoles frauduleux ou dangereux (devoir de vigilance), ou de prendre des risques excessifs (devoir de conseil). En retour, la prise de risque des intermédiaires doit elle-même être encadrée par les autorités de contrôle, afin de limiter faillites et effets de contagion. Pour ce faire, le document propose en premier lieu d’étendre explicitement les dispositions du règlement européen MiCA aux intermédiaires de la DeFi. Pour ne pas créer d’inégalité de traitement, cette extension s’appliquerait à tous les acteurs qui facilitent l’accès des utilisateurs à des services de DeFi ; les éventuelles interfaces « décentralisées » devraient également être incluses dans un tel cadre. En second lieu, il est proposé que l’accès aux produits financiers dépende des compétences financières des clients et de leur appétence au risque, ces deux notions devant faire l’objet d’une évaluation objective.

Ce document de réflexion entend nourrir les réflexions en cours, notamment au niveau européen, dans le prolongement du règlement MiCA, qui prévoit, dans les 18 mois suivant son entrée en vigueur, la rédaction d’un rapport qui évaluera, notamment, l’intérêt et les modalités d’une réglementation européenne de la finance désintermédiée.