La récente proposition de l'Union européenne exigeant que les bourses de cryptomonnaie centralisées et les fournisseurs de portefeuilles de garde recueillent et vérifient les informations personnelles des détenteurs de portefeuilles de garde autonomes montre les dangers du recyclage des règles de la finance traditionnelle (TradFi) et de leur application aux cryptomonnaies sans apprécier les différences conceptuelles. Nous pouvons nous attendre à voir davantage de cela alors que les pays cherchent à mettre en œuvre la Travel Rule du Groupe d'action financière (GAFI), qui était initialement conçue pour les virements électroniques, aux transferts de cryptoactifs.
Le lien (manquant) entre le self-custody, le contrôle et l'identité
L'objectif des règles proposées par l'UE est de « garantir que les cryptoactifs puissent être tracés de la même manière que les transferts d'argent traditionnels ». Cela suppose que chaque portefeuille autogéré peut être lié à l'identité vérifiable d'une personne et que cette personne contrôle nécessairement le portefeuille. Cette hypothèse est fausse.
À lire également : Les autorités cherchent à combler les lacunes des portefeuilles non hébergés
Dans TradFi, un compte bancaire est lié à l'identité vérifiée de son titulaire, ce qui lui donne le contrôle de ce compte. Par exemple, le fait de partager vos coordonnées bancaires en ligne avec votre partenaire ne fait pas de lui le titulaire du compte. Même si votre partenaire modifie les données de connexion, vous pouvez reprendre le contrôle en prouvant votre identité à la banque et en lui demandant de réinitialiser les données. Votre identité vous donne le contrôle ultime qui ne peut être perdu ou volé de façon permanente. Bien sûr, en échange de la protection de la banque, vous perdez votre souveraineté sur vos actifs.
Le self-custody des cryptoactifs est différent. Le contrôle (c'est-à-dire la capacité d'effectuer des transactions) du portefeuille autogéré est exercé par la personne qui possède les clés privées de ce portefeuille. Le contrôle n'est lié à l'identité de personne et il n'y a personne à qui prouver son identité. Il vous suffit de télécharger un logiciel et de stocker vos clés privées en toute sécurité. En échange de cette responsabilité, vous conservez une souveraineté autonome.
Mise en œuvre des règles proposées
Voyons comment un fournisseur de portefeuille hébergé pourrait se conformer à la proposition de l'UE. Supposons qu'Alice veuille envoyer 0,3 Ether (ETH) de son portefeuille hébergé au portefeuille non hébergé de Bob pour payer les services de conseil de ce dernier. Avant que le transfert ne soit effectué, le fournisseur du portefeuille hébergé devra 1) recueillir le nom, l'adresse du portefeuille, l'adresse résidentielle, le numéro d'identification personnel, la date et le lieu de naissance de Bob, et 2) vérifier l'exactitude de ces informations. En gros, les mêmes informations seraient nécessaires pour un transfert du portefeuille de Bob vers le compte du portefeuille hébergé d'Alice. Alice devrait probablement demander à Bob de lui envoyer ses coordonnées, et Alice les fournirait ensuite au fournisseur du portefeuille hébergé - comme l'a récemment recommandé un fournisseur de portefeuille hébergé dans un contexte similaire.
Les règles s'appliqueraient même aux plus petites transactions - il n'y a pas de seuil minimum. Les fournisseurs de portefeuilles hébergés pourraient également être amenés à retenir les transferts entrants (ce qui augmenterait les risques de garde) et à les renvoyer au portefeuille non hébergé en cas d'échec de la vérification.
À lire également : La cryptomonnaie au Canada : Où en sommes-nous aujourd'hui, et où allons-nous ?
L'identité n'est pas synonyme de contrôle, ce qui rend la conformité impossible
Si la collecte de données et la rétention potentielle de transferts entrants sont contraignantes sur le plan opérationnel, il est potentiellement impossible de se conformer à l'obligation de vérification. Dans la TradFi, le but de la vérification d'identité est de s'assurer que la personne qui a la main sur un compte bancaire est la même que celle qui prétend en être titulaire. Mais comment le fournisseur du portefeuille hébergé pourrait-il remplir l'obligation de vérification si le contrôle du portefeuille non hébergé de Bob ne dépend pas de son identité ?
Même si le fournisseur de portefeuille hébergé a réussi à confirmer que Bob est bien la personne qu'il prétend être, cela ne signifie pas qu'il contrôle le wallet. Ce dernier pourrait être contrôlé par une organisation autonome décentralisée qui redistribue les paiements à des membres comme Bob ou par un groupe criminel, Bob n'étant qu'un simple pion sur un échiquier complexe. Il n'y a pas de tierce partie à laquelle il faut prouver l'identité de Bob pour effectuer une transaction - la personne qui contrôle les clés privées est la « banque ».
Exposer les utilisateurs légitimes à des risques de sécurité disproportionnés
Supposons que les fournisseurs de portefeuilles de dépôt parviennent à se conformer aux règles proposées, ou à une version moins stricte de celles-ci qui n'exige pas de vérification. Les fournisseurs de portefeuilles de garde devraient conserver d'importantes bases de données d'utilisateurs de portefeuilles de garde, ce qui exposerait les utilisateurs au risque de violation des données. Pour les utilisateurs légitimes, c'est-à-dire ceux qui déclarent leur véritable identité et qui contrôlent aussi effectivement le portefeuille non hébergé concerné, ce risque a des conséquences bien plus importantes que la collecte de données par la TradFi (par exemple, la règle de Travel Rule du GAFI pour les virements électroniques).
Dans la TradFi, si un criminel se sert du compte ou de la carte bancaire d'une personne, il n'ira pas bien loin car la banque peut bloquer le compte. Par définition, les portefeuilles auto-souverains n'ont pas cette caractéristique. La propriété auto-souveraine, sécurisée par la cryptographie et la propre vigilance de l'utilisateur, est considérée comme un avantage par des dizaines de millions d'utilisateurs dans le monde, y compris ceux qui sont exclus du système bancaire. Cependant, l'auto-souveraineté suppose le respect de la vie privée.
Une fois que la vie privée est compromise - par exemple, en piratant la base de données des utilisateurs de portefeuilles autogérés du fournisseur de portefeuilles de dépôt - les utilisateurs sont exposés à un niveau de risque inéquitable par rapport à la TradFi. Le fait de connaître le nom, l'adresse, la date de naissance et le numéro d'identification d'une personne, ainsi que son activité on-chain, permettrait aux criminels de lancer plus facilement des attaques de phishing hautement personnalisées, en ciblant les appareils des utilisateurs pour récupérer les clés privées, ou de les faire chanter, y compris en menaçant leur sécurité physique. Une fois que les clés privées sont compromises, l'utilisateur perd irréversiblement le contrôle de son portefeuille.
À lire également : La perte de la vie privée : Pourquoi nous devons nous battre pour un avenir décentralisé
Étant donné que les criminels trouveront des moyens de contourner les règles - par exemple, en faisant fonctionner leurs propres nœuds pour interagir avec la blockchain sans jamais avoir à faire appel à des fournisseurs de portefeuilles hébergés ou à des logiciels de portefeuilles non hébergés - ce ne seront que les utilisateurs légitimes qui devront supporter ces risques de sécurité.
Les incohérences avec le cadre politique propre à l'UE
Outre la sécurité, la proposition soulève des préoccupations plus larges en matière de protection de la vie privée. L'obligation de déclaration entrerait en conflit avec les principes du Règlement général sur la protection des données (RGPD) tels que la minimisation des données, qui exige que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire aux fins de leur collecte. Si l'on ignore un instant l'argument selon lequel la collecte de données ne sert pas à grand-chose, étant donné le lien manquant entre le contrôle de l'autodéfense et l'identité, il est difficile de voir - même selon les normes de TradFi - en quoi l'adresse résidentielle, la date de naissance et le numéro d'identification d'une personne sont pertinents ou nécessaires pour effectuer un transfert. Alors que les banques conservent régulièrement ces données sur les détenteurs de chaque compte, vous, en tant que détenteur du compte, n'avez pas besoin de demander (et de connaître !) ces détails pour envoyer de l'argent ou payer un service.
On ne sait pas non plus pendant combien de temps les fournisseurs de portefeuilles hébergés devraient conserver les données - en vertu du GDPR, les données personnelles ne doivent être conservées que pendant la durée nécessaire pour atteindre l'objectif de la collecte. On ne voit pas non plus comment les droits individuels des utilisateurs au titre du GDPR, tels que le « droit à l'oubli » et le « droit de rectification », pourraient être respectés si leurs données personnelles sont liées à leur historique sur la chaîne, qui ne peut être modifié.
À lire également : Les cookies de navigation ne sont pas un consentement : La nouvelle voie vers la protection de la vie privée après l'échec du règlement européen sur les données
L'absence d'évaluation fondée sur le risque ou de seuil minimal (contrairement au seuil de 1 000 euros pour les transferts en monnaie fiduciaire) n'est pas non plus conforme aux principes politiques de l'UE. La proposition semble traiter tous les transferts de cryptomonnaie avec suspicion simplement parce qu'ils impliquent des cryptoactifs.
Il est temps de s'engager auprès des décideurs politiques
Face à la perspective de développer des processus de conformité coûteux qui ne parviendraient probablement pas à mettre en œuvre efficacement les règles, et de risquer des pénalités pour non-conformité et des violations potentielles de données, les fournisseurs de portefeuilles hébergés basés dans l'UE peuvent décider de restreindre complètement les transferts depuis et vers les portefeuilles non hébergés. Ils pourraient également commencer à servir les utilisateurs de l'UE à partir de l'extérieur de l'UE. Cela envoie de mauvais signaux au secteur de la cryptomonnaie et risque de décourager les talents et les capitaux technologiques de l'UE, à l'instar du récent départ de certains opérateurs de cryptomonnaie du Royaume-Uni.
À lire également : Consolidation et centralisation : Comment la nouvelle réglementation européenne en matière de lutte contre le blanchiment d'argent affectera les cryptomonnaies
Un plus grand nombre d'utilisateurs pourraient également se tourner vers les transactions de pair à pair et les acteurs décentralisés pour éviter les règles contraignantes. Bien que cela puisse être bénéfique pour certains utilisateurs, l'UE devrait encourager une interconnexion fluide entre les acteurs centralisés et décentralisés et promouvoir la liberté des utilisateurs de choisir la manière dont ils souhaitent effectuer leurs transactions.
La proposition est maintenant passée aux négociations entre les organes législatifs de l'UE à partir du 28 avril, le texte final étant attendu pour la fin juin. Si la règle est adoptée sous sa forme actuelle, il sera toujours possible de la réexaminer dans les 12 mois suivant son entrée en vigueur. Cependant, nous ne pouvons pas compter sur cela - il est maintenant temps pour l'industrie européenne de la cryptomonnaie de se coordonner et de s'engager avec les décideurs politiques. Au lieu d'appliquer de force les règles du TradFi à une technologie en développement, nous devrions promouvoir des politiques fondées sur les résultats qui permettent l'émergence de nouvelles solutions de conformité respectant le fonctionnement de la cryptomonnaie.
Cet article ne contient pas de conseils ou de recommandations en matière d'investissement. Tout investissement et toute opération de trading comportent des risques, et les lecteurs doivent effectuer leurs propres recherches avant de prendre une décision.
Les points de vue, réflexions et opinions exprimés ici n'engagent que l'auteur et ne reflètent ni ne représentent nécessairement les points de vue et opinions de Cointelegraph.