Comment faire en sorte que la « société de paiement en stablecoins » opère légalement et conformément à Singapour : une liste concrète pour les fondateurs

Rédigé par : Maître Yang Qi

Les stablecoins sont de plus en plus utilisés par les entreprises pour la compensation, les paiements transfrontaliers, la gestion des fonds et les paiements B2B. Mais à Singapour, « utiliser des stablecoins pour le paiement » n’est souvent pas une simple question de produit, mais un projet complexe combinant frontières réglementaires + AML/CFT (lutte contre le blanchiment d’argent et le financement du terrorisme) + gestion des risques technologiques.

Cet article explique le cheminement essentiel de manière « réalisable par un entrepreneur » : commencez par clarifier votre modèle d’affaires, puis mettez en place un système de licences et de conformité, ce qui réduit considérablement le risque de non-conformité et les coûts de rectification ultérieurs.

Note : Cet article est une information générale et ne constitue pas un avis juridique. La conformité finale dépend de votre processus de transaction, du type de clients, du flux et du contrôle des fonds / tokens.

1. Faites d’abord la étape la plus importante : « dessinez » votre activité

Avant de discuter des étapes concrètes, demandez à votre responsable opérationnel de rédiger une page décrivant le flux de fonds / tokens, en répondant au moins à ces questions :

• Qui sont vos clients : particuliers / commerçants / entreprises d’un secteur spécifique ?

• Possédez-vous ou contrôlez-vous les stablecoins de vos clients (custodie, contrôle des clés privées, permissions multi-signatures) ?

• Faites-vous des échanges fiat ↔ stablecoin ou stablecoin ↔ stablecoin ?

• Facilitez-vous des transferts (A vers B, paiements aux commerçants, paiements d’entreprise) ?

• Vos clients sont-ils à Singapour ou à l’étranger ? Proposez-vous « des services à l’étranger depuis Singapour » ?

• Êtes-vous émetteur de stablecoins ou utilisez-vous uniquement des stablecoins tiers (par ex. USDC/USDT) ?

Ce flux déterminera quelles activités réglementaires seront déclenchées et quels systèmes de conformité seront nécessaires.

2. Jugement sur la licence : la majorité des paiements en stablecoin relèvent du cadre PSA (possiblement aussi de la FSMA)

À Singapour, l’activité de paiement en stablecoin est généralement régulée par la « Payment Services Act » (PSA), notamment pour les activités liées aux « Digital Payment Tokens » (DPT) (transfert, échange, garde, etc.). De plus, si vous fournissez des services de tokens numériques à des clients étrangers depuis Singapour, cela peut également déclencher des obligations sous la FSMA.

Modèles d’affaires courants et « points de déclenchement réglementaire possibles » :

• Paiements + règlement / compensation en stablecoin : souvent déclencheur pour les services liés aux DPT ; si cela inclut l’acquisition, le transfert ou les remises transfrontalières, d’autres types de services PSA peuvent aussi s’appliquer.

• Portefeuille / garde (vous contrôlez les fonds du client) : généralement considéré comme un point à risque élevé (surtout si vous contrôlez les clés privées ou les permissions de transfert).

• OTC / échange / matching : généralement déclencheur pour les services liés aux DPT.

• Émission de votre propre stablecoin : cela soulève la question de l’intégration dans le « cadre réglementaire des émetteurs », avec une conformité beaucoup plus stricte.

Conseil pratique : ne partez pas de « quelle licence je souhaite demander », mais de « quelles activités réglementées j’ai réellement effectuées ». La régulation regarde toujours la substance de la transaction.

3. Si vous souhaitez émettre un stablecoin : décidez d’abord si vous voulez suivre la voie « régulée par MAS »

Si vous ne faites pas que utiliser des stablecoins existants, mais que vous envisagez d’émettre votre propre stablecoin, la voie de conformité sera totalement différente. Vous devrez généralement respecter des exigences plus strictes (réserves, mécanismes de rachat, divulgation d’informations, audits et gestion des risques opérationnels, etc.).

Conclusion simple :

• Ne pas émettre : concentrez-vous sur la conformité en tant que « fournisseur de DPT / services de paiement » (notamment AML et gestion des risques technologiques).

• Émettre : vous devrez structurer « réserves, rachats, audits, divulgation, gouvernance » selon un cadre institutionnel.

4. Pilier de conformité 1 : AML/CFT (doit être comme une institution financière)

Dans les activités liées aux stablecoins / tokens numériques, l’AML et la lutte contre le financement du terrorisme (CFT) sont les premières préoccupations réglementaires.

Vous devez disposer d’un système « opérationnel » comprenant :

1. Évaluation des risques au niveau de l’entreprise (EWRA)

• Risques liés aux produits, aux clients, aux régions, aux canaux

• Quels clients nécessitent une diligence renforcée (EDD) ? Qui doit être refusé ?

2. Diligence sur la clientèle (KYC / CDD / EDD)

• Identification et vérification d’identité, identification des bénéficiaires effectifs (ex. clients entreprises)

• Vérification des sanctions et des PEP (personnalités politiquement exposées)

• Règles de déclenchement pour les risques élevés (ex. anonymat, structures complexes, régions sensibles)

3. Surveillance des transactions et gestion des transactions suspectes (processus STR)

• Règles / scénarios de surveillance (ex. divisions fréquentes, flux rapides, adresses liées anormales)

• Gestion des cas et mécanismes d’escalade : qui enquête, qui approuve, comment conserver la chaîne de preuves

• Formation du personnel et révision annuelle / audit indépendant

4. Analyse on-chain / évaluation des risques des portefeuilles (fortement recommandé dès que possible)

• La « conformité légale » dépend du modèle d’affaires, mais du point de vue pratique, le suivi des fonds on-chain et l’évaluation des adresses se rapprochent de la « norme sectorielle », surtout si vous servez des secteurs à haut risque, faites du transfrontalier ou proposez des fonctions de garde / transfert.

5. Pilier de conformité 2 : conformité marketing — ne faites pas de « publicité cryptographique grand public »

À Singapour, la promotion des services liés aux tokens numériques est strictement surveillée. Beaucoup d’échecs ne viennent pas du produit, mais de la « stratégie de promotion » : marketing massif grand public, exagération des gains, minimisation des risques, incitation à la participation, etc., sont très sensibles.

Une approche plus prudente consiste à :

• Prioriser le B2B (commerçants, entreprises, institutions)

• Canaux plus « spécialisés » : conférences sectorielles, réunions privées, recommandations partenaires, marketing ciblé

• Divulgation claire des risques : pas de « minimisation », pas de « gains garantis », pas de « capital garanti »

En résumé : vous pouvez croître, mais pas avec une « narration spéculative » pour attirer de nouveaux clients.

6. Pilier de conformité 3 : gestion des risques technologiques, sécurité de la garde et externalisation (TRM + Outsourcing)

Les entreprises de paiement en stablecoin sont une combinaison de « finance + logiciel ». La régulation vérifie si vous disposez d’une capacité de gouvernance des risques technologiques au niveau institutionnel, notamment :

1. Gestion des portefeuilles et des clés (Custody / Key Management)

• Séparation des permissions, mécanismes d’approbation, multi-signatures / autorisations hiérarchisées

• Journalisation complète et traçabilité

• Vérification par deux personnes / approbation multi-parties pour les opérations critiques

2. Sécurité réseau et réponse aux incidents

• Gestion des vulnérabilités, tests de pénétration, gestion des correctifs et configurations

• Plans et exercices de réponse aux incidents (tabletop exercises)

• Sauvegarde, restauration, continuité des activités (BCP)

3. Gestion des fournisseurs / externalisation (très important) : vous externalisez probablement vers des fournisseurs cloud, KYC, outils d’analyse on-chain, infrastructure de portefeuilles, etc. La régulation portera sur :

• Diligence et évaluation des risques des fournisseurs

• Clauses contractuelles (droit d’audit, protection des données, restrictions de sous-traitance, mécanismes de sortie)

• Plans de secours et stratégies d’urgence pour les fournisseurs clés

7. Pilier de conformité 4 : protection des données personnelles (PDPA)

Tant que vous faites du KYC, collectez des informations clients, transactions ou données d’appareils, vous êtes soumis aux obligations du PDPA de Singapour. Deux actions « à faible coût et à haute valeur » sont recommandées :

• Désigner un DPO (délégué à la protection des données) et établir un canal de contact externe

• Réaliser une cartographie des données : qu’est-ce qui est collecté, à quelles fins, où sont stockées, avec qui sont partagées, combien de temps conservées

8. Plan d’action pour fondateurs : Day 0 → Day 90

Day 0–15 : clarifiez d’abord les frontières

• Dessinez le flux de fonds / tokens (Flow)

• Déterminez si vous faites de la garde, de l’échange, du transfert, si les clients sont à SG ou à l’étranger

• Faites une première évaluation des activités réglementées déclenchées

Day 15–45 : construisez le cadre de conformité

• AML/CFT : évaluation des risques, CDD/EDD, processus de surveillance et STR

• Risques technologiques : gestion des portefeuilles / clés, sécurité, réponse aux incidents

• Externalisation : diligence des fournisseurs, clauses contractuelles, plans d’urgence

• PDPA : DPO, politique de confidentialité, conservation et contrôle d’accès aux données

Day 45–90 : opérationnalisez la conformité

• Déployez outils de screening et de surveillance, établissez gestion des cas et traçabilité

• Formez le personnel, mettez en place un mécanisme de reporting et d’audit interne

• Préparez le dossier de licences / conformité (structure de gouvernance, politiques, architecture, processus, chaîne de preuves)

Conclusion : la conformité n’est pas une « dépense », mais une barrière pour faire grandir et durer

Les paiements en stablecoin peuvent être rapides, mais la conformité doit l’être encore plus. En maîtrisant bien les frontières réglementaires, l’AML et la gestion des risques technologiques, votre activité sera plus facile à faire collaborer avec des institutions, à passer les audits, et à résister aux contrôles à des moments clés.