La SEC met à jour discrètement ses règles ! Goldman Sachs et Morgan Stanley peuvent revendiquer la « maîtrise » des clés privées des utilisateurs

La Securities and Exchange Commission (SEC) a mis à jour discrètement le 17 décembre la FAQ sur les actifs cryptographiques, clarifiant comment des courtiers comme Morgan Stanley, Goldman Sachs, et autres répondent aux exigences de garde et de capital pour les titres liés aux actifs cryptographiques. La transformation clé réside dans le fait que : les courtiers peuvent revendiquer la « maîtrise » des actifs cryptographiques de leurs clients via des « lieux de contrôle qualifiés » et des instructions écrites, sans avoir à détenir réellement la clé privée. La SEC a également retiré la dépendance à l’égard du safe harbor pour les Special Purpose Broker-Dealers (SPBD).

De la possession réelle au contrôle écrit : une révolution réglementaire

(Source : SEC)

L’essence de cette mise à jour réside dans le fait de redéfinir la « maîtrise » en passant de « détention réelle de la clé privée » à « capacité de contrôle démontrée par contrat et procédure ». Pour les titres liés aux actifs cryptographiques, les agents indiquent que, même si l’instrument ne possède pas de certificat, un courtier peut établir une « maîtrise » en utilisant un lieu de contrôle qualifié conformément à la règle 15c3-3©. Cette formulation, apparemment technique, change en réalité la nature même de la garde.

Dans la conception traditionnelle de la cryptographie, « Not your keys, not your coins » (pas vos clés, pas vos pièces) est une règle d’or. Mais la nouvelle réglementation de la SEC permet aux courtiers de revendiquer la maîtrise par le biais de : clés dans un HSM (module de sécurité hardware), lieux de contrôle bancaires avec instructions écrites, ou encore par des signatures multiples et procédures visant à satisfaire aux attentes de contrôle via des arrangements de multi-signatures.

Que cela signifie-t-il ? En pratique, Morgan Stanley ou Goldman Sachs peuvent signer un contrat avec une banque ou une institution de garde, stipulant « nous avons le droit d’ordonner le transfert des actifs cryptographiques du client », sans détenir réellement la clé privée. Tant que la formulation du contrat, les procédures internes, et la traçabilité d’audit respectent les exigences de la SEC, cela suffit à satisfaire la norme de « maîtrise ».

Trois modes de contrôle de clé privée sous la nouvelle réglementation SEC

Mode auto-gardé par le courtier : contrôle direct des clés privées (HSM ou multi-signatures), fournissant une preuve directe conforme à 15c3-3©, mais avec des risques liés à la gestion du réseau et à l’assurance

Mode sous-traitance bancaire : la banque détient la clé dans un lieu de contrôle, le courtier dispose d’un droit d’instruction via contrat, avec une compréhension claire de la portée de la garde, mais le contrat doit démontrer la capacité de contrôle

Mode de garde par contrat intelligent : multi-signatures entre le courtier et l’agent de transfert, contrôlables par programme, mais la manière dont l’équipe d’audit teste la « maîtrise » reste floue

Ce changement met davantage l’accent sur la formulation contractuelle, la gouvernance clé, et la capacité à prouver un contrôle durable via une traçabilité d’audit. Les résumés de cabinets d’avocats comme Sullivan & Cromwell ou Sidley Austin soulignent que cette approche élargit les moyens pour un courtier classique de prouver sa maîtrise sans dépendre du statut de SPBD comme position par défaut.

Impacts profonds de la suppression du safe harbor SPBD

Les agents indiquent que cette approche réduit la dépendance au safe harbor pour les SPBD, qui était la principale voie pour démontrer la maîtrise de ces titres. Les SPBD sont un cadre réglementaire conçu pour la garde d’actifs numériques, avec des exigences strictes, notamment des exigences de capital indépendantes, des systèmes de contrôle des risques spécialisés, et des inspections réglementaires régulières.

La suppression du statut de SPBD comme voie nécessaire semble réduire la barrière d’entrée pour les courtiers dans la garde cryptographique, mais crée en réalité une zone grise plus grande. Sous le cadre SPBD, les règles étaient claires et strictes, et tant les courtiers que les régulateurs comprenaient bien les standards. Désormais, la « maîtrise » devient une question d’« formulation contractuelle » et de « procédures internes », avec une marge d’interprétation beaucoup plus grande.

La déclaration conjointe de la SEC et de la FINRA de décembre 2019 sur la garde de titres numériques par des courtiers a été officiellement retirée de la page de la SEC, et la FINRA a publié une notification similaire. Ce document de 2019 était considéré comme la « boussole » réglementaire pour l’industrie, fournissant des directives claires. Son retrait réduit la « boussole » réglementaire à un cadre FAQ, beaucoup moins contraignant juridiquement que la déclaration officielle.

Le timing de ce retrait est stratégique. La politique pro-cryptomonnaie du gouvernement Trump, le changement de président de la SEC à Paul Atkins, et la rétractation par la Fed de la politique de 2023 limitant les activités bancaires en crypto, s’inscrivent dans une tendance à « réduire les barrières et encourager la participation ». Mais à quel prix ? La baisse des barrières pourrait signifier une réduction du niveau de protection des clients.

Vacuums de protection pour les cryptomonnaies non-soumis aux titres

Pour les cryptomonnaies non-soumis aux titres, la règle 15c3-3(b) « possession ou contrôle » n’est pas applicable, ce qui signifie que ces cryptomonnaies ne sont pas soumises aux mécanismes de protection des clients régis par la garde des titres. La portée de cette déclaration est cruciale mais souvent ignorée : lorsque vous déposez du Bitcoin ou de l’Ethereum chez Morgan Stanley pour la garde cryptographique, ces actifs ne bénéficient pas des protections classiques de la garde de titres.

La garde traditionnelle de titres impose des exigences strictes d’isolation, où les actifs clients doivent être séparés des actifs propres du courtier, et en cas de faillite du courtier, les actifs clients ne doivent pas être liquidés. Les cryptomonnaies non-soumis aux titres sont exclues de ces protections. En cas de faillite ou de piratage, les clients risquent de perdre leurs actifs sans recours.

La mise à jour du 17 décembre clarifie la situation pour les entreprises orientées retail, qui doivent encore divulguer clairement quelles protections s’appliquent ou non. Mais combien d’investisseurs retail liront attentivement ces divulgations ? La majorité verra « Morgan Stanley custody » et supposera une protection bancaire de niveau, alors que ce n’est peut-être pas le cas.

Hester Peirce, commissaire de la SEC, décrit la FAQ comme une démarche progressive, soulignant que cette orientation peut réduire les frictions pour les acteurs du marché qui tentent d’intégrer leurs activités on-chain dans le cadre réglementaire existant. Cette déclaration officielle insiste sur la « réduction des frictions » et « l’incitation à participer », mais minimise la possible atténuation de la protection des clients.

Pour les courtiers qui dépendent de la sous-traitance bancaire comme lieu de contrôle, la Fed a retiré le 24 avril 2025 une notification préalable concernant la régulation de certains actifs cryptographiques, orientant la participation bancaire vers des voies réglementaires plus classiques. Ce changement raccourcit le dialogue entre concept et régulation bancaire, facilitant l’entrée des banques de Wall Street dans le marché de la garde cryptographique.

Les courtiers doivent continuer à démontrer leur contrôle et leur traçabilité de la règle 15c3-3© par des contrôles testables. Dans les 12 à 18 prochains mois, le marché de la garde pourrait se structurer autour de ceux capables de produire des preuves de contrôle reproductibles, tout en maîtrisant les risques réseau et opérationnels. La question clé : qui définit les standards pour « preuves de contrôle reproductibles » ? Avant que ces standards ne soient clarifiés, le risque pour les actifs des clients pourrait être largement sous-estimé.