Eric Woerth le dit : « La taxe GAFA sera provisoire »

En fait. Le 14 mai, Eric Woerth – ancien ministre et actuel président de la commission des finances, de l’économie générale et du contrôle budgétaire à l’Assemblée nationale, ainsi que député (LR) de l’Oise – avait « carte blanche »
au 29e colloque NPA-Le Figaro. Il a expliqué que la future « taxe GAFA » était
« provisoire ».

En clair. « La France a mis en place un dispositif – transitoire – assez brutal, assez rustique, et arrivant un peu tardivement. C’est une taxation sur le chiffre d’affaires. Bon, cela n’est pas formidable. Mais c’était une bonne idée de le faire, mais c’est une idée provisoire. Il faut que l’on aille beaucoup plus loin sur ce sujet », a prévenu Eric Woerth, lors du colloque NPA-Le Figaro. Le président de la commission des finances à l’Assemblée nationale intervenait une semaine avant que le Sénat n’adopte à son tour le 22 mai le projet de loi (1) visant à créer « une taxe sur les services numériques » de 3% sur le chiffre d’affaires réalisé en France.
Eric Woerth a insisté sur le fait que la taxe GAFA n’a pas vocation à perdurer. « C’est bien que la France puisse montrer un chemin, sans doute provisoire mais nécessaire ». Il a raconté avoir reçu à Paris le sous-secrétaire américain au Trésor responsable des négociations internationales, Heath Tarbert, qui a demandé au gouvernement et aux parlementaires de « retirer ce texte ». Fin de non-recevoir : « Il faut bien que les entreprises américaines paient un peu de fiscalité : il n’y a rien de nouveau sous le soleil ! Il ne faut pas que cela soit une fiscalité uniquement négociée. Depuis quand négocie-t-on la fiscalité ? ». L’ancien ministre du Budget de Sarkozy a en outre précisé que cette taxe ne toucherait pas uniquement les GAFA et la numérisation de l’économie, mais aussi le e-commerce de proximité dont les effets les plus visibles pour la population : la désertification des centres-villes (2). « Là-dessus, l’inégalité fiscale est très forte ; elle est souvent fondée sur le foncier. On voit qu’Amazon dispose de grands entrepôts, mais a une fiscalité low cost», pointe-t-il.
Alors que l’Europe est contrainte par sa règle de l’unanimité en matière fiscale, l’issue se trouve du côté de l’OCDE (3). Mais, prévient Eric Woerth, « l’OCDE souhaite l’abandon des règles fiscales traditionnelles au profit de la règle du pays de consommation, car c’est la consommation qui fait la valeur ajoutée ». Or la France, grand pays de production, est un petit pays de consommation à l’échelle du monde. Selon lui, elle ne peut donc pas prendre acte de cela. « C’est un risque tout à fait majeur pour nos finances publiques », met-il en garde. Pour l’heure, la « taxe GAFA » pourrait rapporter 400 millions d’euros en 2019 et 650 millions en 2020. @

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Livre numérique en France : chiffres paradoxaux

En fait. Le 18 mars, le 39e Salon du livre de Paris, organisé par le Syndicat national de l’édition (SNE), a refermé ses portes au bout de quatre jours de fréquentation en baisse (- 2 %). Le marché de l’édition est aussi en recul en 2018, selon GfK, sauf pour les livres numériques.

En clair. Bien que les ventes de livres numériques soient en hausse en France (+ 6 %) selon l’institut d’études GfK et que le taux de Français déclarant lire un livre numérique n’a jamais été aussi élevé (22 %) selon l’enquête OpinionWay, le nombre de lecteurs
de ces mêmes ebooks stagne selon le sondage Ipsos. Autrement dit, les chiffres de
ce marché encore marginal en France sont paradoxaux, lorsqu’ils ne sont pas contradictoires. Une chose est sûre : le livre numérique est encore étouffé par un marché de plus en plus oligopolistique et accroché au papier (1).
Les premiers chiffres de GfK, présentés peu avant le salon Livre Paris, montrent un marché global de l’édition française en recul de près de 1 % à 3,94 milliards d’euros pour 354 millions d’exemplaires vendus (livres papiers et numériques). La littérature générale accuse même une baisse de 5,4 %. La seule hausse notable : le livre numérique, qui génère un chiffre d’affaires en augmentation de 6 %, à 103,3 millions d’euros, pour près de 14 millions d’ebooks vendus (2). GfK avance même un nombre de lecteurs de ces livres dématérialisés : 2,3 millions en 2018, soit moins de 5 % des Français. Ce lectorat estimé par GfK apparaît moins disant que celui avancé par l’enquête OpinionWay pour le SNE, la SGDL et la Sofia (3), d’après laquelle 22 % des Français âgés de 15 et ans et plus (4) déclarent en début d’année avoir lu un livre numérique – ce qui représente (selon un échantillon de personnes représentatif de
la population française, constitué par la méthode des quotas) plus de 6,3 millions de lecteurs d’ebooks (près de trois fois plus que les acheteurs de GfK). Conclusion : ce taux record illustre, depuis huit ans qu’est réalisé ce baromètre, une augmentation régulière des lecteurs de livres numériques. Mais ce constat n’est pas celui du Centre national du livre (CNL), dont le sondage Ipsos affirme que « le taux de lecteurs de livres numériques marque un palier en 2019 [à 24 % des sondés, soit le même taux qu’en 2017, ndlr], après une nette progression entre 2015 et 2017 [de 19 % à 24 %] ». Mais ce taux de lecteurs d’ebooks atteint les 47 % lorsqu’il s’agit des 15-24 ans (5), ce que les maisons d’édition – encore trop frileuses à diffuser leurs catalogues dématérialisés – devraient prendre en compte si elles ne veulent pas se couper du jeune lectorat. @

L’Europe aide peu de communes avec Wifi4EU ; la France veut des Wifi territoriaux publics et gratuits

Elles sont 224 premières communes en France à bénéficier de l’aide de la Commission européenne pour déployer des hotspots Wifi publics et gratuits. Mais avec plus de 35.000 communes, l’Etat envisage de favoriser partout des
« Wifi territoriaux » afin d’assurer la cohésion des territoires.

« Grâce au premier appel Wifi4EU, 2.800 communes vont pouvoir offrir à des milliers d’Européens et de visiteurs, dans toute l’UE, un accès gratuit à Internet dans les espaces publics, améliorant ainsi la connectivité des citoyens dans leur vie quotidienne », s’est félicitée Mariya Gabriel (photo), commissaire pour l’Economie et la Société numériques, le 7 décembre dernier. En France, seulement 224 communes sont retenues par Wifi4EU. Mais un deuxième appel à candidatures européen va être lancé « début 2019 ».

L’Europe fait dans le « happy few »
Les communes sélectionnées signent actuellement leur « convention de subvention », avant de pouvoir conclure un contrat avec des entreprises d’installation de Wifi, lesquelles mettront en place les points d’accès «Wifi4EU » dans les espaces publics – « puis obtiendront le paiement du coupon ». Ces points d’accès devront être gratuits et fonctionner pendant au moins trois ans. Ces hotspots seront installés dans les espaces publics tels que les mairies, les bibliothèques, les musées, les parcs, les squares et les autres lieux d’intérêt public (1). « Ces réseaux seront exempts de publicité et ne collecteront pas les données personnelles. Les réseaux faisant double emploi avec des services gratuits privés ou publics existants, garantissant un niveau de qualité similaire, ne pourront pas bénéficier d’un financement », a tenu à préciser la Commission européenne.
Pour autant, le programme Wifi4EU piloté par l’Agence exécutive pour l’innovation et les réseaux (INEA) sera limité à 8.000 communes au maximum d’ici à 2020 dans les Vingthuit Etats membres – pour un total de quatre appels à candidatures et une enveloppe globale de 120 millions d’euros. C’est très peu au regard des quelque 89.000 communes que compte l’Europe tout entière. Pour l’heure, les 2.800 premières communes retenues sur le Vieux Continent ont été sélectionnées parmi 13.000 candidatures. C’est dire l’engouement que suscite Wifi4EU, mais aussi la déception
que cela engendre chez les recalés. Et les 224 premières communes françaises à bénéficier du soutien européen – comme Abbeville, Aix-en-Provence, Boulogne-sur-Mer, Cahors, La Roche-sur-Yon ou encore Volvic (2) – ne sont que des happy few par rapport à l’ensemble des 35.000 communes du territoire national. On est encore très loin d’une « connectivité universelle » pourtant promise par la Commission européenne sur le marché unique numérique. En France, le programme Wifi4EU pourrait faire des jaloux entre les quelques communes privilégiées et la plupart des autres qui n’en bénéficieront pas. Alors que le gouvernement fait la chasse aux zones blanches persistantes avec un «New Deal Mobile » signé il y a un an (3) avec les opérateurs mobile (aux engagements de déploiement qui leur sont opposables), tout en visant le très haut débit fixe dans tout le pays d’ici à 2022, voilà que la cohésion numérique des territoires est aussi en souffrance en matière cette fois de Wifi public. Un député, Jean-Luc Lagleize (Modem), avait d’ailleurs interpellé en 2017 Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique à ce sujet : « Il semble crucial d’accélérer la mise à disposition d’accès publics de haute qualité au Wifi pour tous les citoyens, comme pour les visiteurs. [J’]attire donc son attention sur la nécessité de renforcer et de généraliser les réseaux Wifi et la connectivité dans les espaces publics de toutes les communes françaises ». C’est en 2018 que le ministère de la Cohésion des territoires et des Relations avec les collectivités territoriales a pris le relais pour répondre. C’est aussi
la première fois que le gouvernement détaille le projet de « Wifi territoriaux » : « Plus
de 1.600 communes ou groupements de communes ont déjà manifesté leur intérêt
en s’inscrivant sur le portail de Wifi4EU ou en prenant contact avec le commissariat général à l’égalité des territoires, qui assure la coordination de l’ensemble des dispositifs d’appui au développement du Wifi territorial. Nombre de ces communes
ont été sélectionnées dans le cadre du programme “Action cœur de ville”, et un projet de Wifi territorial pourra y soutenir le développement du commerce, du tourisme et l’accessibilité des services », explique le ministère de Jacqueline Gourault dans sa réponse publiée au J.O. du 19 juin dernier (4).

Financer partout des « Wifi territoriaux » ?
Et comme les projets Wifi4EU sont limités en nombre, le gouvernement précise de ce fait que « des financements complémentaires ont été identifiés dans le cadre de la loi de Finances 2018 au titre de la dotation de soutien à l’investissement local et de la dotation d’équipement des territoires ruraux ». Reste à savoir si cela se vérifiera aussi dans le projet de loi de Finances 2019. @

Charles de Laubier

La France se voit déjà en paradis réglementaire de la blockchain et des crypto-monnaies

La France travaille à une nouvelle réglementation financière adaptée à la blockchain et aux cryptomonnaies, mais sans qu’elle ne soit trop contraignante afin d’attirer acteurs et investisseurs, et Paris espère ainsi devenir aux yeux du monde un « label » de sérieux dans ce domaine innovant.

Par Mahasti Razavi, Avocate associée, et Alice Barbet-Massin, doctorante, August Debouzy

Devenue incontournable dans la pratique bancaire et financière (transmissions de titres, modes de financement, institutions de registres, …), la technologie blockchain s’impose clairement en France. En réaction à ces transformations rapides,
les pouvoirs publics tentent de s’adapter – comme en attestent la publication en 2018 des rapports « Tolédano » (juin), « Landau » (juillet), « OPECST » (juillet) (1), les missions d’information parlementaires sur les crypto-actifs et la blockchain, ainsi que le projet de loi « Pacte » – et souhaitent faire
de la France un pays attractif pour ses entrepreneurs.

La France dispose d’une longueur d’avance En l’absence de définition juridique, la blockchain (ou « chaîne de blocs ») peut être définie comme une technologie distribuée qui permet le transfert de valeur, fonctionnant de pair-à-pair, sans tiers de confiance, selon un consensus au sein du réseau. Chaque « bloc » regroupe des transactions vérifiées et validées par les participants du réseau. Ces blocs comportent la référence du bloc précédent permettant ainsi d’en déterminer l’ordre (d’où le terme « block-chain »). Les transactions sont ensuite accessibles dans un registre public et infalsifiable.
Des précisions terminologiques sont apportées dans le vocabulaire « Informatique et Internet » du 23 mai 2017 qui définit la blockchain comme un « mode d’enregistrement de données produites en continu, sous forme de blocs liés les uns aux autres dans l’ordre chronologique de leur validation, chacun des blocs et leur séquence étant protégés contre toute modification » (2).
Au fil des pratiques et du temps, différentes applications de la technologie blockchain se sont dégagées :
• Le transfert d’actifs numériques : il existe actuellement 1977 crypto-actifs tels que bitcoin, ether, ripple, … ;
• La certification de données comme cela est le cas pour le registre blockchain des identifiants créanciers SEPA de la Banque de France. Il y a également, par exemple,
la blockchain de Carrefour, développée par Ownest, qui vise à tracer les emballages réutilisables entre les entrepôts, les transporteurs indépendants et les magasins de proximité ;
• Les smart contracts (ou contrat intelligent) : le code organise de manière automatisée l’exécution des termes et conditions d’un contrat. Par exemple, les smart contracts (3) développés par Axa (Fizzy) permettent le remboursement automatique des indemnités d’assurance prévues dans un contrat d’assurance suite au retard d’un avion ;
• Les « Initial Coin Offering » (ICO), ou offres initiales de jeton : ce sont des opérations de levée de fonds par offre au public, donnant lieu à une émission de
jetons numériques (ou « tokens »), destinée à financer le développement d’un projet par l’émetteur (par exemple, Legolas – l’ICO la plus importante de 2018 en France – a levé 34,92 millions de dollars). Ces jetons peuvent représenter un droit à des revenus, des dividendes, une part dans la gouvernance, … La France dispose d’une longueur d’avance sur la valeur juridique de la certification de données dans la blockchain. Le législateur français est le premier à avoir ouvert la voie à des applications légales de blockchain avec l’introduction du « dispositif d’enregistrement électronique partagé »
au sein des ordonnances du 28 avril 2016 (n°2016-520) en matière de mini-bons et
du 8 décembre 2017 (n°2017- 1674) en matière de titres financiers non cotés.
L’objectif initial était de permettre la modernisation de produits de placement et le remplacement des registres financiers classiques de titres, et ce par des protocoles blockchain dématérialisés. Loin d’être un simple outil d’innovation, ces blockchains-registres se sont vus accorder à cette occasion une valeur légale : soit, une efficacité juridique, une opposabilité aux tiers et une valeur probatoire pour ces inscriptions dans la blockchain (4).

Un cadre législatif souple pour les ICO
Avec le projet de loi relatif à la croissance et la transformation des entreprises, dit
« Pacte » (5) (enregistré le 19 juin 2018), la France réfléchit à un cadre législatif pour les ICO, ces levées de fonds par émission de jetons numériques. L’article 26 de ce projet de loi envisage d’intégrer au sein du Code monétaire et financier (CMF) un nouveau chapitre intitulé « Emetteurs de jetons ». Ce chapitre est composé de sept articles (L.552-1 à L.552-7) et projette d’établir un régime juridique souple en France pour les ICO. En effet, l’Autorité des marchés financiers (AMF) serait compétente pour délivrer un visa aux porteurs d’un projet souhaitant émettre des jetons pour financer
ce projet ou une activité. En contrepartie, les émetteurs de jetons devront remplir un certain nombre de garanties, et ce même après la levée de fonds, sous peine de se
voir retirer ce visa.

Les garanties des émetteurs de jetons
Ces garanties consistent, d’une part, à ce que l’émetteur des jetons doit être une personne morale établie ou immatriculée en France et qu’il mette en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre (6). D’autre part, ces garanties concernent le « white paper » (ou document d’information délivré avec le projet) qui doit avoir un contenu exact, clair et non trompeur (7). Au cours des discussions parlementaires, cet article 26 a été adopté en première lecture par l’Assemblée nationale. Ainsi, cette disposition permettrait de clarifier les règles applicables à ces levées de fonds, pour inciter les émetteurs à se responsabiliser d’un côté, et rassurer les investisseurs, de l’autre. En effet, les acteurs sérieux auront la possibilité de solliciter optionnellement l’AMF pour « valider » leur projet en France et les investisseurs désireux d’éviter les fraudes pourront acquérir sereinement des jetons.
Le marché français des ICO – encore modeste, pour l’heure, comparé à ses analogues américain, suisse, singapourien, caymanais ou encore maltais – pourrait devenir plus attractif grâce à cette législation. Le succès de l’école suisse des ICO, qui a largement encouragé leur émergence et publié un guide pratique sur l’assujettissement fiscal des jetons (8) est un repère à considérer pour l’évolution des ICO souhaitée en France. D’autres sujets parlementaires sont en discussion et les réflexions soutenues. Le rapport « Landau », publié le 4 juillet 2018, a conclu sur le besoin d’une action publique ciblée en matière de crypto-actifs (9). Aussi, les deux missions d’information de l’Assemblée nationale, l’une sur les monnaies virtuelles (10) et l’autre sur les usages des blockchains (11), ont multiplié les auditions d’experts et ont permis de nourrir la construction de cette nouvelle règlementation. Au-delà du seul cadre des ICO, lors des discussions du projet de loi « Pacte » en commission spéciale, les députés sont allés plus loin en proposant des amendements variés portant sur :

• l’extension du visa optionnel de l’AMF aux autres prestataires de la crypto-économie (12) : l’objectif est de permettre à l’AMF d’évaluer aussi les bonnes pratiques sur le marché secondaire sur lequel s’échangent les jetons émis par les entreprises. Cet amendement a été retiré pour qu’il y ait, tout d’abord, une réflexion sur la question de savoir si ce visa relèvera de la compétence de l’AMF ou de l’ACPR. Puis, exerçant des métiers spécifiques, les plateformes et autres intermédiaires feront l’objet d’une proposition de régime propre consacrant une solution technique différente de celle des ICO.
• un droit au compte : face aux refus des banques d’ouvrir des comptes de dépôt aux acteurs de la blockchain, un certain nombre d’amendements ont été déposés (13).
L’un d’eux est allé jusqu’à proposer un droit au compte général auprès de la Caisse des dépôts après trois refus d’ouverture (14). C’est finalement le droit au compte spécifique à l’émetteur d’ICO qui a été adopté (15).
• la preuve blockchain : outre les ordonnances « mini-bons » et « blockchain » spécifiques, il n’existe pas pour l’instant de texte général reconnaissant la portée probatoire de l’ancrage d’une donnée dans la blockchain. Plusieurs amendements
ont été déposés en ce sens. Ils visaient à consacrer légalement la preuve de l’existence et de la date jusqu’à preuve du contraire des enregistrements de données dans la blockchain publique ou privée (16). Ces amendements qui prévoyaient une modification de l’article 1358 du code civil, n’ont finalement pas été retenus, bien qu’une réforme du code civil était aussi soutenue par le rapport « Tolédano ».
• le droit de propriété dans une blockchain de l’actif dans lequel un fonds professionnel spécialisé investit (17).
• le dépôt de brevet : un amendement a été déposé tendant à moderniser le dépôt de certificat d’utilité et les potentielles futures demandes provisoires de brevet permettant ainsi leur enregistrement, datation et certification auprès de l’Institut national de la propriété industrielle (Inpi) par l’intermédiaire d’une blockchain (18). Ce dernier a finalement été retiré avant discussion.

En définitive, le projet et l’actuelle règlementation française sur la blockchain – sécurisée et innovante – devrait être de nature à inciter les acteurs de la blockchain à s’installer en France alors que certains Etats, notamment aux Etats-Unis, soumettent leurs acteurs de la blockchain à des règles particulièrement contraignantes (BitLicence New Yorkaise, Securities Act, lois anti-blanchiment, …). La France veut s’inscrire, en effet, dans une logique d’ouverture et d’encadrement souple des autorités publiques permettant à la fois la protection, et l’encouragement des acteurs de la blockchain. Pour accompagner ces réflexions parlementaires et ce projet de règlementation favorable, l’Autorité des normes comptables (ANC) et Bercy, dans son projet de loi de Finances 2019, travaillent à définir un cadre comptable et fiscal précis pour les émetteurs et les investisseurs.

D’une approche nationale à transnationale
Ainsi, les retours concrets de cette règlementation devraient, dès mars ou avril 2019 (date approximative de la promulgation de la loi « Pacte »), permettre de savoir si la France sera réellement la nouvelle terre d’asile pour le marché de la blockchain. Plus largement, des réflexions normatives européennes et internationales en cours devront compléter cette démarche nationale sur la blockchain, par essence transnationale. @