Rédigé par : Huang Wenjing
À l’approche de la fin 2025, les géants du secteur continuent d’accélérer leur « obtention de licences » : de Zodia Custody, l’entité de custody sous l’égide de Standard Chartered, à la société de paiement Stripe, en passant par Coinbase, Kraken, Circle et autres entreprises natives de la cryptomonnaie, qui ont tous obtenu des licences clés telles que la MiCA ou des licences bancaires américaines.
Cependant, « obtenir une licence » n’est que le début, et non la fin. La licence ne garantit pas seulement l’accès, mais impose aussi une responsabilité de conformité à long terme. Dans un contexte de réglementation de plus en plus stricte, si une entité licenciée ne continue pas à respecter ses obligations réglementaires, la licence en sa possession peut devenir une « raison valable » pour des sanctions réglementaires.
En repensant à l’accord de règlement de Binance pour 4,3 milliards de dollars, ainsi qu’à l’amende infligée à Binance TR en Turquie, l’accusation centrale des régulateurs pointe vers une même lacune : l’absence d’un mécanisme efficace de déclaration des transactions suspectes. STR et SAR — ces deux acronymes qui mettent les responsables conformité sur les nerfs — ne se limitent pas à remplir des formulaires.
Quels sont les enjeux réglementaires et les risques pratiques derrière ces mécanismes ? Cet article, en s’appuyant sur la pratique juridique, vous propose une analyse approfondie.
Clarification des concepts : la différence entre STR et SAR
Ces deux termes sont souvent confondus dans l’industrie, mais dans différents systèmes juridiques et réglementaires, ils ont des focalisations distinctes.
STR(Suspicious Transaction Report) (Rapport de transaction suspecte) est courant dans des régions influencées par le système de common law, comme Hong Kong, Singapour ou Dubaï. Il concerne principalement la suspicion autour d’une transaction déjà effectuée.
Exemple : lorsqu’un système détecte qu’un compte effectue fréquemment des entrées et sorties de fonds en peu de temps, avec des parcours financiers impliquant des adresses à haut risque (comme des mixers ou le dark web), il faut alors soumettre un STR pour cette transaction spécifique.
SAR(Suspicious Activity Report) (Rapport d’activité suspecte) est davantage utilisé dans certains systèmes juridiques (par exemple, le système FinCEN aux États-Unis), qui mettent l’accent sur la suspicion d’un comportement en soi, même en l’absence de transaction concrète. L’affaire Binance en est un exemple.
Exemple : si un utilisateur teste à plusieurs reprises les limites de la vérification d’identité (KYC), change fréquemment d’IP pour contourner des restrictions régionales, ou interroge le service client sur la possibilité d’envoyer des fonds vers une zone restreinte, cela peut déclencher une obligation de SAR.
Mankiw souligne : utiliser le système basé sur le concept de STR ne signifie pas se limiter à examiner les flux financiers. En réalité, tous les systèmes de conformité insistent sur la substance plutôt que la forme. Si l’on ne se concentre que sur les mouvements de fonds, tout en ignorant l’identité et le comportement de l’utilisateur, on risque de manquer des signalements importants, avec des risques de non-conformité.
Les indicateurs de tendance réglementaire : points clés selon le type de licence
Dans le processus d’expansion Web3, le choix de la région pour obtenir une licence impose de respecter ses règles réglementaires fondamentales. Les priorités varient selon les régions :
Amérique du Nord : « Surveillance à 360° » par FinCEN
Noyau réglementaire : respecter la « Bank Secrecy Act » (Loi sur le secret bancaire), remplir les obligations de déclaration d’activités suspectes, avec la logique du « tout signaler ».
Défi principal : le système FinCEN doit traiter un volume massif de rapports et permettre le partage de données entre départements, ce qui exige des capacités de surveillance et de reporting très élevées. Toute activité impliquant des utilisateurs américains doit être strictement conforme.
Mankiw souligne : dès qu’une activité touche des utilisateurs américains, il faut appliquer rigoureusement la surveillance et la déclaration d’activités suspectes. La leçon de l’affaire Binance montre que si une entité connaît des risques (par exemple, des zones sous sanctions) mais ne signale pas, cela sera considéré comme une violation intentionnelle, avec des conséquences graves.
Union européenne : « Règle de voyage » et intégration approfondie
Noyau réglementaire : le STR doit être étroitement lié à la « Travel Rule », surtout après la mise en œuvre de la réglementation MiCA.
Défi principal : lorsque des utilisateurs transfèrent plus de 1000 euros vers un portefeuille non hébergé, la plateforme doit vérifier la propriété du portefeuille. En cas d’incapacité à vérifier ou si un risque est détecté, la transaction doit être bloquée et un rapport suspect doit être soumis.
Mankiw souligne : pour appliquer la Travel Rule tout en maintenant une bonne expérience utilisateur, il est crucial de coordonner la déclaration des transactions suspectes avec ces exigences, afin d’équilibrer conformité et activité commerciale.
Dubaï : délai de 48 heures et responsabilité « localisée »
Noyau réglementaire : insistance sur une réponse très rapide (par exemple, rapport dans les 48 heures) et sur la présence effective d’un responsable anti-blanchiment local.
Défi principal : si le MLRO (Money Laundering Reporting Officer) est un simple nom sur le papier, et que la gestion réelle est effectuée par une équipe étrangère, cela peut entraîner la révocation de ses qualifications personnelles et affecter la licence de l’entité.
Mankiw souligne : la conformité peut être externalisée, mais le MLRO local doit en assurer la supervision finale, sans se décharger sur des « problèmes systémiques ».
Turquie : lutte contre les fonds liés à la fraude et au jeu
Noyau réglementaire : considérer les fournisseurs de services d’actifs numériques comme des institutions financières strictement réglementées.
Défi principal : la réglementation évolue en fonction des priorités nationales (fraude, jeux d’argent), imposant des exigences supplémentaires, comme la déclaration de toute transaction, quel que soit le montant, si elle concerne ces activités.
Mankiw souligne : dans le cadre établi, il faut suivre activement l’évolution réglementaire, maintenir le dialogue avec les autorités, et renforcer la surveillance et la déclaration des risques spécifiques.
Points sensibles du secteur : vigilance face à la « déclaration défensive »
Dans la pratique, de nombreux professionnels ont tendance à « tout déclarer dès qu’un système déclenche une alerte », dans une optique de couverture. Cette pratique, appelée « déclaration défensive », comporte de grands risques.
Les organismes de renseignement financier et les régulateurs sont composés de professionnels qui doivent traiter efficacement l’information. Si une entité soumet un grand volume de rapports de faible qualité, sans valeur ajoutée pour l’enquête, cela peut entraîner une suspicion de la part des régulateurs : est-ce une mauvaise configuration du système de contrôle, ou un manque de jugement de la part du personnel ?
Ainsi, la qualité des rapports prime sur leur quantité. Déclarer à tort ou en excès ne sert pas la gestion des risques, mais peut révéler des failles internes et attirer une surveillance accrue.
Conseils pratiques de Mankiw : comment établir un système de déclaration efficace ?
Pour équilibrer coûts de conformité et sécurité réglementaire, les équipes de conformité dans le secteur crypto doivent se concentrer sur quatre points clés :
- Intégrer la surveillance « on-chain + off-chain »
Éviter de séparer la surveillance des comportements on-chain et des transactions internes, sous prétexte de réduire les coûts. Cette séparation nuit à la vision globale du risque, et impacte la qualité des STR/SAR. Il faut connecter les données pour obtenir une vue d’ensemble.
- Ajuster dynamiquement les seuils de surveillance
Des règles rigides génèrent beaucoup de faux positifs, provoquant la « fatigue des alertes » et risquant de manquer de véritables risques. Il est conseillé de créer un environnement de test interne, de revoir régulièrement les paramètres en fonction de l’évolution réglementaire et des retours d’enquêtes, pour optimiser la précision des alertes.
- Développer une capacité de rapport « narrative »
Un rapport de qualité ne consiste pas à accumuler des données, mais à raconter une histoire cohérente. Il doit répondre aux questions 5W1H : qui, quoi, quand, où, pourquoi suspect, comment. La « raison du soupçon » est centrale, elle doit être logique, conforme aux exigences réglementaires et aux risques de l’entité, pour prouver la « diligence raisonnable » accomplie.
- Mettre en place une trace de « non-déclaration »
Parfois, ne pas déclarer est aussi important que de déclarer. Après vérification manuelle, si la décision est de ne pas signaler, il faut documenter précisément la raison et conserver les preuves. Cela constitue une pièce essentielle pour faire face à d’éventuelles vérifications réglementaires et protéger l’entreprise et ses responsables conformité.
En suivant ces quatre principes, une organisation peut construire un système de déclaration conforme, solide, et capable de se justifier elle-même.
Conclusion
La conformité anti-blanchiment n’admet pas de raccourcis, et il n’y a pas de place pour la complaisance sous prétexte de « l’impunité collective ».
D’après la pratique réglementaire mondiale, le contrôle du secteur crypto va jusqu’à exiger la fourniture de toutes les données transactionnelles, et l’utilisation de modèles internes pour une analyse en profondeur. L’attention portée aux STR/SAR ne se limite plus au volume ou à la rapidité, mais porte sur la question précise : « cette transaction doit-elle être déclarée ? » et « pourquoi ne pas l’avoir été ? ».
Comprendre la différence entre STR et SAR n’est qu’un point de départ. L’enjeu véritable est de bâtir un système de surveillance et de déclaration qui réponde à la fois aux besoins réglementaires et permette une activité fluide — c’est désormais une compétence incontournable pour chaque institution.
