Archives par mot-clé : Cybersécurité

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

AI Act, DSA, MiCA, … Superposition réglementaire : le casse-tête européen pour les projets innovants

Publié le par

L’ambition européenne pour un « marché unique numérique » a généré un véritable labyrinthe de textes réglementaires que nul n’est censé ignorer, pas même les start-up et les fintech, sauf à devenir hors-la-loi. Mais à ce patchwork s’ajoute le manque de coordination entre autorités compétentes.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’Union européenne a une ambition manifeste : réguler de manière exemplaire la transition numérique. Du règlement sur l’intelligence artificielle (AI Act) aux directives concernant les services numériques (DSA/DMA), en passant par la régulation des actifs numériques (MiCA) et la résilience opérationnelle du secteur financier (DORA), le législateur européen ne cesse d’introduire des normes structurantes. Chacun de ces textes, pris séparément, a pour objectif de pallier une carence. Ensemble, ils constituent un écosystème réglementaire complexe, parfois dépourvu de cohérence, souvent difficile à appliquer.

Accumulation de textes sans réelle coordination
Pour les initiatives novatrices, en particulier les start-up et les fintech, cette accumulation de normes peut rapidement devenir complexe. Cela est d’autant plus vrai que les normes et directives techniques ne cessent de croître, changeant constamment le champ de la conformité sans perspective de stabilité à moyen terme ni durabilité juridique. Actuellement, le cadre réglementaire en Europe se fonde sur plusieurs éléments-clés. L’AI Act (1) met en place une catégorisation des systèmes d’intelligence artificielle basée sur leur niveau de risque, imposant des exigences rigoureuses aux systèmes considérés comme étant « à haut risque ». Le DSA (2) et le DMA (3) ont pour objectif de réguler les grandes plateformes numériques tout en offrant une protection accrue aux utilisateurs. MiCA (4) régule la création de jetons et l’offre de services liés aux crypto-actifs. DORA (5) impose des normes rigoureuses de cybersécurité dans le domaine financier. De nombreux intervenants de l’écosystème sont également soumis aux règles (suite) anti-blanchiment. On peut également trouver d’autres documents transversaux, sectoriels ou techniques. Cela constitue un millefeuille réglementaire complexe où les obligations s’accumulent sans véritable coordination, engendrant des superpositions et parfois même des contradictions. Chaque texte s’appuie sur ses propres définitions, logiques, et fait appel à diverses autorités de supervision, sans qu’il y ait une articulation claire entre elles. Une start-up œuvrant dans divers secteurs tels que les actifs numériques et l’intelligence artificielle se voit donc confrontée à des chronologies disparates, des seuils de déclenchement discordants et des demandes de documentation non-uniformes. Ce fractionnement rend les procédures de conformité beaucoup plus lourdes et entrave l’aptitude à innover dans un environnement juridique stable.
Les stablecoins sous MiCA, règlement européen sur les marchés de cryptoactifs, et PSD2, directive européenne sur les services de paiement (6), constituent un cas emblématique. Les jetons de monnaie électronique en eux-mêmes (ou EMT, pour Electronic Money Token, ou E-Money Token), appelés aussi « stablecoins monodevise » (adossés à une monnaie officielle comme l’euro), démontrent les conséquences néfastes que peut engendrer une superposition de la réglementation. Selon MiCA, ces tokens sont considérés comme de la monnaie électronique. Cependant, les transactions de transfert associées peuvent aussi être soumises à la directive PSD2, avec toutes les obligations qui en découlent. Ainsi, un même acteur est soumis à une double contrainte réglementaire : il doit se procurer à la fois une licence en tant que fournisseur de services sur actifs numériques (CASP (7), ou PSCA (8) en français) conformément au règlement MiCA, et une autorisation pour l’établissement de paiement selon PSD2. Ces deux régimes nécessitent des procédures d’approbation différentes, possèdent des critères de capital propre superflus, imposent des responsabilités divergentes et soulèvent des questions concernant la classification juridique de certaines actions, telles que les transferts internes à un utilisateur ou les mouvements vers des portefeuilles autogérés. Malgré les mises en garde des syndicats professionnels, la réaction de certaines autorités de régulation en Europe demeure pour l’instant insuffisante, bien que nos autorités françaises fassent un travail remarquable sur le sujet.

DORA, une usine à conformité pour la finance
Si aucune action n’est entreprise, de nombreux intervenants pourraient abandonner les services de transfert d’EMT, ce qui va à l’encontre des objectifs de MiCA, lequel vise précisément à promouvoir l’adoption de ces actifs numériques. Concernant cette fois le règlement sur la résilience opérationnelle numérique, également connu sous le nom de DORA, il est entré en vigueur à partir de janvier 2025. Il impose aux institutions financières un cadre global de gestion des risques associés aux technologies de l’information. Cela englobe l’élaboration d’un plan de gestion du risque « TIC » (9), l’alerte en cas d’incidents majeurs, la conduite de tests de résilience numérique, ainsi que la nécessité de maintenir un registre précis des contrats avec les fournisseurs de services informatiques tiers. Bien que ces initiatives visent à renforcer la sécurité systémique, leur application s’avère très complexe pour les petites entités. De nombreuses start-up et fintech manquent des ressources et des compétences internes nécessaires pour répondre à ces exigences. La notion de proportionnalité stipulée dans le règlement est fréquemment comprise de façon restrictive et demeure floue quant à ses modalités d’application pratiques.

AI Act : flous techniques, complexité procédurale
La réglementation sur l’intelligence artificielle ajoute une couche additionnelle. L’AI Act impose des exigences strictes aux systèmes classés comme « à haut risque » : documentation technique, supervision humaine, qualité des données, transparence et inscription obligatoire dans une base de données européenne. Il est possible que les sanctions aillent jusqu’à 7 % du chiffre d’affaires à l’échelle mondiale. L’instauration de « bacs à sable réglementaires » est bien prévue, mais leur réalisation prend du temps. Entretemps, les initiatives doivent naviguer entre les réglementations existantes dans leur domaine respectif (santé, automobile, services publics, …) et les exigences récentes imposées par la réglementation sur l’IA, sans aucune coordination entre les autorités compétentes. La définition même de ces systèmes pose problème : IA intégrée, IA générative, open source, … aucune de ces classifications n’est précisément définie, ce qui rend les stratégies de conformité floues. Le dilemme du guichet unique demeure aussi sans solution : une entreprise concevant une IA employée dans divers contextes doit composer avec autant d’autorités qu’il y a de domaines d’application.
Quant aux DSA et DMA, s’ils ciblent prioritairement les grandes plateformes, ces règlements affectent également les plus petits acteurs par ricochet sur l’ensemble de l’écosystème. Une start-up qui propose une solution technique à un acteur qualifié de « gatekeeper » (contrôleur d’accès), se retrouve indirectement soumise à des exigences de conformité étendues : traçabilité, documentation, obligations de transparence, et compatibilité renforcée au RGPD, le règlement général sur la protection des données (10).
Ces obligations s’appliquent même lorsque la start-up ne traite pas directement de données personnelles ou de contenus modérés, mais fournit simplement un service technique – API (Application Programming Interface), infrastructure, algorithmes de recommandation – utilisé en aval par une plateforme réglementée. L’effet est immédiat : elle doit produire des audits, garantir l’interopérabilité, prouver l’absence de pratiques déloyales, et documenter ses choix techniques, parfois en plusieurs langues, à destination des autorités nationales de différents Etats membres. Sans pouvoir de négociation, et sans accès aux ressources de conformité des grands groupes, ces petites structures se retrouvent piégées dans une logique de compliance excessive. Ce n’est plus l’activité elle-même qui génère du risque, mais la simple appartenance à une chaîne de valeur numérique réglementée. Cette situation crée une inégalité de traitement qui freine l’innovation, décourage la prise de risque, et oriente les jeunes pousses vers des marchés plus permissifs. Les investisseurs, eux aussi, deviennent frileux à l’idée d’accompagner des projets exposés à une telle incertitude juridique. Quant aux avocats et aux directions juridiques internes, ils doivent souvent interpréter à l’aveugle des règlements conçus pour des géants du numérique, mais appliqués sans nuance à des entités de dix salariés.
L’approche globale attendue pour tous ces documents devait être celle de la cohérence, de la confiance et de l’indépendance numérique. Toutefois, l’accumulation non-synchronisée de ces réglementations conduit à une situation contradictoire : des normes conçues pour sécuriser les initiatives numériques génèrent l’effet opposé.
La disparité des parties prenantes, les interprétations différentes, les retards d’approbation inconsistants et l’absence de moyens de simplification pour les petites entités rendent le paysage réglementaire de l’Union européenne ardu à déchiffrer. On constate également une instabilité des lignes directrices, qui changent parfois sans consultation préalable ni soutien. Les responsables de la régulation ont également du mal à répondre aux demandes, ce qui prolonge l’incertitude pour les intervenants. Cette complexité induit une réticence à l’innovation, un transfert des projets vers des juridictions plus laxistes, et une constante incertitude juridique. L’Europe dispose à la fois d’expertise et de vision. Cependant, elle a du mal à concilier ses aspirations avec les conditions réelles sur le terrain. Il est crucial de réévaluer la régulation en se basant sur des principes opérationnels : établissement de guichets sectoriels unifiés, standardisation des délais d’autorisation, définition claire des situations de double régulation, application effective du principe de proportionnalité, avancée rapide des mécanismes de bac à sable.

Europe : repenser l’architecture de la régulation
Cela nécessite également d’intensifier la communication entre les instances nationales et européennes, de fournir des modèles de conformité aisément modifiables, et d’établir une direction stratégique de la transition réglementaire par secteur. Les intervenants économiques requièrent de la clarté, de la constance et la possibilité de prévoir. Sans ce remodelage méthodologique, les projets les plus prometteurs risquent de ne plus voir le jour en Europe. Et la régulation, supposée fournir un atout stratégique, se transformera en obstacle persistant à la compétitivité du Continent. Sans parler de la souveraineté numérique européenne qui, face à tant de complexités juridiques, risque de rester un vœu pieu. @

Cyberattaques et rançongiciels : branle-bas de combat dans le monde face à la cybercriminalité

Publié le par

Jamais le péril « cyber » n’a été aussi élevé dans le monde. Les tentions internationales (guerres militaires et guerres commerciales) accroissent le nombre de cyberattaques et de rançongiciels. Le blackout total numérique n’est pas exclu. L’Europe met en place un e-bouclier, mais le risque demeure

L’Agence européenne pour la cybersécurité (Enisa), qui a été créée il y a plus de 20 ans et dont le rôle a été renforcé par le Cybersecurity Act (1) en 2019, ne compte plus les milliards d’euros que coûtent à l’économie en Europe les cyberattaques et la cybercriminalité. De même, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), dirigée par Vincent Strubel (photo), ne fait plus état – pas même dans son rapport du 11 mars (2) – des milliards de dommages financiers et des manques à gagner que provoquent cyberpirates, hackers, cyberescrocs et autres hacktivistes.

Sauve qui peut et branle-bas de combat
Le fléau est tel qu’il est devenu impossible de mesurer les pertes subies dans le monde. Potentiellement, personne n’est à l’abris : ni les Etats, ni les administrations publiques, ni les grandes entreprises, ni les PME-TPE, ni les artisans, et ni les particuliers. Face à la vulnérabilité numérique grandissante, l’UE avait adopté le 14 décembre 2022 pas moins de trois directives que la France (3) transpose actuellement dans sa législation nationale via le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte « Résilience & Cybersécurité » a été adopté le 12 mars dernier au Sénat (4) et est maintenant entre les mains de l’Assemblée nationale (5). Il y a urgent, le gouvernement ayant même engagé une « procédure accélérée ». Ces trois directives européennes sont :
La directive « Network and Information Security » (6), surnommée NIS2, vise à (suite)

« assurer un niveau élevé de cybersécurité » dans l’UE. Ayant abrogé la directive « NIS1 » de 2016, la « NIS2 » veut non seulement « supprimer les divergences importantes entre les Etats membres », mais aussi met à jour la liste des secteurs et activités soumis à des obligations cybersécuritaires. Ainsi, elle porte à dix-huit – au lieu de six – le nombre de secteurs à protéger en priorité, qu’elle répartit entre les « secteurs hautement critiques » (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (7) interentreprises, administration publique, et espace), et les « autres secteurs critiques » (services postaux et d’expédition ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution des denrées alimentaires ; fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, ou encore de véhicules automobiles ; fournisseurs numériques, dont places de marché en ligne, moteurs de recherche en ligne et réseaux sociaux ; recherche).
La directive « Critical Entities Resilience » (8), surnommée CER ou REC, vise à assurer « la résilience des entités critiques » dans l’UE. Ayant abrogé la directive EPCIP de 2008, la « REC » renforce la résilience des entités critiques dans l’UE. Dans un monde d’infrastructures sensibles, de plus en plus interconnectées et transfrontalières, la « REC » fait en sorte que les risques soient mieux pris en compte et que le rôle et les obligations des entités critiques (la France parle d’« activités d’importance vitale »), en tant que fournisseurs de services essentiels, soient mieux définis et cohérents dans les Vingt-sept. Il s’agit in fine de maintenir « les fonctions sociétales » et « les activités économiques vitales ». La « REC » liste elle aussi des secteurs à cyberprotéger, au nombre de onze (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux résiduaires, infrastructures numériques, administration publique, espace, et production, transformation et distribution de denrées alimentaires).
La directive « Digital Operational Resilence Act » (9), surnommée DORA, vise à renforcer la « résilience opérationnelle numérique du secteur financier » au sein de l’UE. Son objectif principal est de garantir que les banques, les assureurs et les gestionnaires d’actifs soient capables de résister, de répondre et de se remettre des cyber-perturbations, ou de pire. La « DORA » est applicable depuis le 17 janvier 2025. La numérisation rend le monde financier vulnérable : paiements, opérations de compensation, règlement d’opérations sur titres, trading électronique et algorithmique, prêts, financement, notation de crédit, gestion de créances, ou encore souscription d’assurance.

Le capitalisme financier est aux abois
Les établissements financiers et de banque-assurance doivent mettre en place des cadres robustes pour identifier, gérer et atténuer les cyber-risques. Les incidents majeurs doivent être signalés rapidement aux autorités compétentes, tandis que des tests réguliers doivent être effectués afin d’évaluer la capacité à gérer des crises numériques. Les relations avec les fournisseurs de services numériques critiques sont encadrées pour minimiser les cyber-risques. @

Charles de Laubier

«DeFi» et «NFT» en Europe : des évolutions réglementaires attendues, sans brider l’innovation

Publié le par

Avec la finance décentralisée (DeFi) et les jetons non fongibles (NFT), l’Union européenne n’a pas fait le tour des crypto-actifs. Le règlement MiCA – applicable depuis peu – devra évoluer pour prendre en compte ces innovations, à la lumière du rapport que prépare la Commission européenne.

Par Marta Lahuerta Escolano, avocate associée, et Diane Richebourg, avocate, Jones Day*

Au lendemain de l’entrée en application du règlement européen sur les marchés de cryptoactifs (MiCA (1)), l’Autorité bancaire européenne (ABE) et l’Autorité européenne des marchés financiers (AEMF) ont publié – en janvier 2025 – un rapport conjoint portant sur les « développements récents en matière de crypto-actifs » (2), contribution qui sera intégrée au rapport plus large que la Commission européenne doit soumettre au Parlement européen et au Conseil de l’Union européenne avant le 31 mars 2025.

Réglementer la DeFi, « phénomène de niche » ?
En effet, le législateur européen a pris soin, dans le MiCA (3), d’identifier pas moins de quatre sujets sur lesquels « la Commission [européenne], après avoir consulté l’ABE et l’AEMF, présente un rapport […] sur les dernières évolutions intervenues en matière de crypto-actifs, en particulier dans des domaines qui ne sont pas abordés dans le présent règlement, accompagné, le cas échéant, d’une proposition législative », à savoir notamment la finance décentralisée (DeFi), les prêts et emprunts de crypto-actifs ou encore les crypto-actifs uniques et non fongibles dits NFT (4). Dans le rapport « ABE-AEMF », seuls les deux premiers sujets sont analysés, laissant les NFT pour des discussions et réflexions ultérieures. Le règlement MiCA, qui marque une première étape importante en matière de (suite)

régulation de crypto-actifs, devrait très vite être complété et accompagné par des évolutions réglementaires au niveau européen, lesquelles sont d’ores et déjà attendues afin de répondre aux différentes évolutions et innovations dans ce secteur. Le premier apport, non négligeable, du rapport ABE-AEMF est que des définitions sont apposées sur différents concepts, définitions qui pourront être celles retenues aux termes d’une future réglementation. La DeFI est ainsi définie comme « un système d’applications financières construit sur des réseaux de type blockchain qui vise à reproduire certaines des fonctions du système financier traditionnel de manière ouverte et sans autorisation, supprimant ainsi les intermédiaires financiers traditionnels et institutions centralisées » (5). Ce rapport souligne ensuite que la DeFi reste un « phénomène de niche » (6), dès lors que seulement 4 % de la valeur totale mondiale du marché des crypto-actifs seraient « bloqués » (sous gestion) dans des protocoles DeFi. Malgré la « marginalité » du secteur de la DeFi, le rapport insiste néanmoins sur les risques principaux que des protocoles DeFi peuvent représenter, identifiant ainsi les enjeux d’une réglementation sur le sujet :
La cybersécurité. Les protocoles restent vulnérables aux cyberattaques notamment en raison de failles potentielles dans le code des smart contracts utilisés, le nombre de cyberattaques de protocoles DeFi et la valeur des cryptoactifs volés ayant évolué en corrélation avec la taille du marché de la DeFi. A cet égard, l’ACPR (7) avait d’ores et déjà considéré qu’il était « souhaitable d’édicter des mesures relatives à la fiabilité des infrastructures blockchain sur lesquelles la DeFi – ou d’autres formes de finance tokenisée – seraient amenées à se développer, d’élaborer des règles – par exemple de certification – adaptées à la nature et au fonctionnement des smart contracts, et de définir des règles de gouvernance et de conduite des opérations permettant d’assurer une protection adéquate des utilisateurs de la DeFi » (8).
La lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). Le rapport relève que les flux sur les bourses décentralisées représentent 10 % des volumes de transactions cryptographiques dans le monde, créant d’importants risques de LCB-FT autour des protocoles DeFi. En effet, l’absence de procédures et de contrôles adéquats des utilisateurs et des flux ne peut qu’accroître le risque en la matière.
Ces risques, qui ne sont pas nouveaux pour l’écosystème financier, pourraient ne pas appeler une réglementation séparée et spécifique à la DeFi.

Superviser sans brider la décentralisation
Les risques de cybersécurité spécifiques à la DeFi pourraient plutôt être encadrés (si ce n’est pas déjà fait pour certains risques) par intégration à une deuxième version du règlement européen sur « la résilience opérationnelle numérique », dit « Dora » (9), applicable depuis le 17 janvier 2025. Quant aux risques de LCB-FT, si tant est qu’ils soient spécifiques, ils pourraient être facilement intégrés et remédiés par l’arsenal de textes applicables en la matière – notamment les directives anti-blanchiment d’argent. L’un des plus grands enjeux pour réguler la DeFi reste sa structure décentralisée puisque, contrairement aux services financiers traditionnels, il n’existe pas de « point central de contrôle ». Le législateur européen devra donc réfléchir à des mécanismes de supervision qui ne brident pas la décentralisation, tout en garantissant un niveau acceptable de sécurité et de conformité. Prêt, emprunt et staking de crypto-actifs Rappelons tout de même qu’une partie des activités et services réalisés de manière décentralisée est d’ores et déjà couvert par le règlement MiCA qui s’applique « aux personnes physiques et morales et à certaines autres entreprises ainsi qu’aux services et activités sur cryptoactifs qu’elles exercent, qu’elles fournissent ou qu’elles contrôlent, directement ou indirectement, y compris lorsqu’une partie de ces activités ou de ces services est réalisée de manière décentralisée » (10).
La future réglementation ne devra donc concerner « que » les services fournis de manière entièrement décentralisée à savoir sans aucun intermédiaire, ou sans émetteur identifiable dans le cadre d’une émission de crypto-actifs de type crypto-monnaies « natives » (11). Précisons en outre que MiCA s’est limité à exclure « le prêt et l’emprunt de crypto-actifs, y compris de jetons de monnaie électronique » (12), renvoyant au droit national applicable le cas échéant. Une fois de plus, les définitions émises dans le rapport ABE-AEMF méritent d’être soulignées pour ces trois notions : de prêt, d’emprunt et de staking de cryptoactifs. Le rapport analyse ensuite les principaux types et caractéristiques typiques des modèles économiques observés sur le marché, sous des formes centralisées et décentralisées. Sans identifier à ce jour de risque systémique sur ces sujets, le rapport présente et évalue les risques spécifiques associés à chacune de ces trois opérations, tels que la protection des investisseurs (notamment du fait de l’effet de levier excessif et des asymétries d’information, voire de l’insuffisance de précisions sur les frais, les taux d’intérêt payés, les rendements, les garanties, etc.), les risques de marché ou opérationnels ou encore l’exposition aux risques de LCB-FT (blanchiment d’argent et financement du terrorisme). Si cela s’avérait opportun, ces services pourraient facilement être intégrés dans une deuxième version de MiCA.
En tout état de cause, le rapport ABE-AEMF souligne que ces services, au sein de l’Union européenne, sont d’ores et déjà proposés par un certain nombre de prestataires de services sur crypto-actifs, eux-mêmes régulés et soumis à des obligations notamment en matière de LCB-FT.
Qu’en est-il des NFT ?
MiCA a expressément exclu de son champ d’application certains crypto-actifs et notamment les « crypto-actifs qui sont uniques et non fongibles avec d’autres crypto-actifs, y compris l’art numérique et les objets de collection numériques » ou encore les « crypto-actifs représentant des services ou des actifs corporels qui sont uniques et non fongibles, tels que les garanties des produits ou les biens immobiliers » (13). Afin d’exclure les jetons non fongibles, le MiCA procède à une définition assez précise des cryptoactifs qui doivent être qualifiés comme tels, en indiquant par exemple que « la seule attribution d’un identifiant unique à un crypto-actif ne suffit pas en soi pour le classer comme unique et non fongible » et que « pour que le crypto-actif soit considéré comme unique et non fongible, il convient que les actifs ou les droits représentés soient également uniques et non fongibles », privilégiant, comme toujours, le fond par rapport à la forme que prendrait le crypto-actif. Il pourrait être opportun d’étendre ou d’ajuster la réglementation pour que ces NFT soient encadrés, notamment afin d’éviter le « vide juridique » qui peut être source d’insécurité et d’incompréhension.
Par ailleurs, l’enjeu de la protection des utilisateurs-consommateurs et de lutte contre les fraudes (faux projets, escroqueries, etc.) reste primordial en cette matière. Intégrer les NFT à une deuxième version de MiCA pourrait permettre de mettre en place des procédures de vérifications des créateurs de NFT, offrant de meilleures garanties sur l’authenticité de ces derniers. Par ailleurs, une clarification des droits de propriété spécifiques aux NFT serait la bienvenue dès lors que persiste une certaine confusion entre la possession du NFT en tant qu’objet numérique et les droits de propriété intellectuelle susceptibles d’être rattachés à l’œuvre ou au bien sous-jacent, bien que ce sujet ne soit pas directement lié à MiCA (et ne serait a priori pas traité dans ce cadre). A l’instar de la DeFi, l’équilibre entre réglementation et innovation est subtil, d’autant plus que, par nature, les NFT reposent sur une grande flexibilité créative.

Ne pas freiner l’innovation dans les NFT
Une réglementation trop restrictive pourrait freiner l’innovation, en particulier dans des domaines comme l’art numérique et le divertissement. Une autre difficulté tient à la nature très protéiforme des NFT lesquels couvrent un large éventail d’applications. Une réglementation, par essence générale, pourrait ne pas tenir compte de la diversité des projets et des modèles d’affaires, rendant les règles inapplicables ou inefficaces. En ce sens, une réglementation par le biais des smart contracts utilisés, notamment via leur certification tel que suggéré par l’ACPR, pourrait être une solution adéquate. @

* Les observations et opinions exprimées
dans le présent article sont celles des auteurs
et ne reflètent pas nécessairement les opinions
du cabinet d’avocats dans lequel ils exercent.

Le Bureau européen de l’IA forme son bataillon

Publié le par

En fait. Le 27 mars à midi est la date limite pour se porter candidat à l’une des offres d’emploi du « Bureau de l’IA » (AI Office) créé au sein de la Commission européenne par l’AI Act dont la version finale sera soumise le 22 avril au vote du Parlement européen. Sont recrutés des techniciens et des administratifs.

En clair. « Postulez dès maintenant en tant que spécialiste technologique ou assistant administratif pour une occasion unique de façonner une IA digne de confiance. […] Le Bureau européen de l’IA jouera un rôle-clé dans la mise en œuvre du règlement sur l’intelligence artificielle – en particulier pour l’IA générale [ou AGI pour Artificial General Intelligence, aux capacités humaines, ndlr] – en favorisant le développement et l’utilisation d’une IA fiable, et la coopération internationale. […] La date limite de manifestation d’intérêt est le 27 mars 2024 à 12h00 CET », indique la Commission européenne (1).
Avant même l’adoption définitivement de l’AI Act (2) par le Parlement européen, prévue en séance plénière le 22 avril (pour entrer en vigueur l’été prochain), la DG Connect, alias DG Cnect (3), embauche déjà pour son Bureau de l’IA nouvellement créé. Les entretiens auront lieu à la fin du printemps et les prises de fonction à partir de l’automne 2024. Sont recherchés : chercheurs scientifiques, informaticiens, ingénieurs logiciels, data scientists ou encore spécialistes matériels, avec « une expérience technique avérée en IA » (marchine learning, deep learning, éthique et vie privée, cybersécurité, …).

Parmi les nouvelles recrues, les experts techniques – sous statut d’agents contractuels – s’intéresseront non seulement aux IA génératives mais surtout aux AGI ou, comme les appelle l’AI Act, les General Purpose AI models (GPAI models). Des outils, méthodologies et benchmarks permettront à ces agents d’évaluer les capacités et la portée des modèles de ces AGI, et d’identifier les modèles de langage (LLM) présentant des risques systémiques. « Une expérience en test et évaluation des modèles et des IA avancées, y compris l’alignement des modèles, les biais, la désinformation et l’équipe rouge [ennemi fictif pour améliorer la sécurité, ndlr], serait un atout important », est-il précisé. Les agents de l’AI Office, organisation unique au monde (4), seront assermentés pour enquêter sur d’éventuelles infractions à l’AI Act.
Par ailleurs, « le futur Bureau de l’IA sera aussi le garant de l’indispensable protection des œuvres et des droits ! », a souligné début mars Manon Montrouge, chargée des affaires européennes à la SACD (5). L’AI Office sera notamment chargé par l’AI Act d’« établir un modèle du résumé des œuvres utilisées par les IA à usage général (ChatGPT, Gemini, Large, …) qui devra être rendu public ». @