Crypto-actifs : règlements UE complétant MiCA et échange d'informations sur les PSCA
Deux règlements européens majeurs adoptés fin 2025 viennent compléter le cadre MiCA : les normes techniques de réglementation (RTS) sur les exigences prudentielles et la cybersécurité des PSCA, et le règlement sur l'échange d'informations entre autorités. Application depuis le 1er janvier 2026.
Les deux règlements adoptés fin 2025
Règlement délégué RTS prudentielles et cybersécurité
Normes techniques de réglementation relatives aux exigences prudentielles, à la gestion des risques opérationnels et informatiques, à la continuité d'activité et à la cybersécurité des prestataires de services sur crypto-actifs (PSCA).
Règlement déléguéRèglement échange d'informations PSCA
Échange d'informations entre les autorités compétentes nationales et l'ESMA concernant les PSCA, les émetteurs de jetons référencés sur actifs (ART) et les émetteurs de jetons de monnaie électronique (EMT).
Règlement UELes deux règlements ont été publiés au Journal officiel de l'Union européenne le 30 décembre 2025 et sont entrés en application le 1er janvier 2026, sauf dispositions transitoires spécifiques (délai de mise en conformité jusqu'au 30 juin 2026 pour certaines exigences).
RTS prudentielles et cybersécurité des PSCA
Le règlement délégué du 17 décembre 2025 détaille les exigences que les prestataires de services sur crypto-actifs (PSCA) doivent respecter. Ces normes sont alignées sur les standards DORA (résilience opérationnelle numérique) et les principes de Bâle pour les banques détenant des crypto-actifs.
| Domaine | Exigences |
|---|---|
| Capital minimum | Fonds propres selon les services fournis (conservation, négociation pour compte propre, gestion de portefeuille, etc.) |
| Risques opérationnels | Cartographie des risques, contrôles internes, tests de résilience annuels |
| Continuité d'activité | BCP (Business Continuity Plan) et DRP (Disaster Recovery Plan) obligatoires |
| Cybersécurité | Politiques de gestion des incidents, tests de pénétration annuels, notification des incidents majeurs sous 4 heures |
| Ségrégation des actifs | Cold storage obligatoire pour au moins 90 % des crypto-actifs conservés |
Les PSCA doivent notifier tout incident majeur de cybersécurité à l'autorité compétente (AMF en France) dans un délai de 4 heures après sa détection. Cette exigence est alignée sur DORA et représente un changement significatif pour les acteurs du secteur.
Règlement sur l'échange d'informations
Le règlement du 19 décembre 2025 met en œuvre l'article 93 de MiCA et organise la coopération et l'échange d'informations entre les autorités de supervision européennes.
Autorités concernées
- Autorités nationales : en France, AMF (marchés) + ACPR (stablecoins)
- ESMA : Autorité européenne des marchés financiers
- Autres autorités européennes : EBA, EIOPA, BCE
Principales dispositions
- Registre centralisé ESMA : liste publique des PSCA agréés/enregistrés dans l'UE + version confidentielle pour les autorités
- Notification automatique : toute autorisation, retrait, sanction, mesure d'urgence ou incident majeur transmis à l'ESMA
- Échange sécurisé : plateforme dédiée (infrastructure IT ESMA) pour les communications entre autorités
- Coordination transfrontalière : contrôles conjoints et enquêtes coordonnées
- Signalement des fraudes : alignement avec MAR (Market Abuse Regulation) pour les manipulations de marché crypto
L'ESMA tient désormais un registre public de tous les PSCA agréés ou enregistrés dans l'Union européenne. Ce registre permet aux investisseurs et aux entreprises de vérifier qu'un prestataire est bien autorisé à exercer ses activités dans l'UE.
Impact pour les acteurs français en 2026
Pour les PSAN français : les prestataires de services sur actifs numériques (PSAN) enregistrés auprès de l'AMF ou en cours de migration vers le statut MiCA doivent se mettre en conformité avec les nouvelles RTS prudentielles et cybersécurité avant le 30 juin 2026. L'année 2026 sera marquée par une mise en conformité lourde : audit, investissements IT, reporting ESMA.
Obligations selon le type d'acteur
| Type d'acteur | Obligations 2026 |
|---|---|
| PSCA agréés MiCA | Conformité RTS prudentielles et cybersécurité avant le 30/06/2026. Reporting ESMA selon nouveau format. |
| PSAN en transition | Migration vers statut MiCA + mise en conformité simultanée avec les RTS. |
| Émetteurs ART/EMT | Transmission des rapports à l'ACPR et à l'ESMA selon le nouveau format. |
| Plateformes étrangères (passporting) | Soumises aux mêmes échanges d'informations et contrôles coordonnés. |
Sanctions en cas de non-conformité
Le non-respect des exigences RTS prudentielles et de cybersécurité expose les PSCA à des sanctions administratives et pénales significatives prévues par MiCA et transposées en droit français :
- Amendes administratives : jusqu'à 5 millions d'euros ou 10 % du chiffre d'affaires annuel (le plus élevé)
- Retrait d'agrément : en cas de manquement grave ou répété
- Interdiction d'exercer : pour les dirigeants responsables
- Publication des sanctions : name and shame sur le site de l'AMF
Questions fréquentes
Ce qu'il faut retenir
Deux règlements européens adoptés fin 2025 complètent le cadre MiCA avec des normes techniques précises sur la résilience opérationnelle, la cybersécurité et la coopération entre superviseurs. Les PSCA français doivent se mettre en conformité avant le 30 juin 2026.
- Application : 1er janvier 2026
- RTS prudentielles : capital, risques opérationnels, BCP/DRP
- Cybersécurité : cold storage 90 %, notification incidents 4h
- Échange d'informations : registre ESMA, coopération transfrontalière
- Date limite conformité : 30 juin 2026
- Sanctions : jusqu'à 5 M€ ou 10 % du CA
Vous êtes un acteur du secteur crypto (PSAN, exchange, custody, stablecoin) et souhaitez être accompagné dans votre mise en conformité MiCA ? Le cabinet vous aide à préparer votre transition réglementaire.
Prendre rendez-vous