RiffLab Media

MiCA vu du SI : une contrainte réglementaire qui peut redevenir un levier de souveraineté

Date Published

# MiCA vu du SI : une contrainte réglementaire qui peut redevenir un levier de souveraineté

*Depuis l'entrée en vigueur complète du règlement MiCA (Markets in Crypto-Assets) fin 2024 et ses premiers effets opérationnels concrets sur les entreprises européennes en 2025-2026, les DSI et CTO de PME/ETI se retrouvent face à un défi inattendu : leur stack crypto existante — souvent construite à la va-vite, sur des briques américaines ou offshore — n'est plus conforme. Nous avons interrogé un DSI d'une ETI européenne active dans les paiements B2B pour comprendre ce que MiCA change vraiment dans les choix d'architecture et de dépendance technologique.*


RiffLab : Quand MiCA a commencé à s'appliquer concrètement dans votre organisation, qu'est-ce qui a craqué en premier dans votre stack ?

Ce qui a craqué, c'est la couche de custody — la conservation des actifs numériques. Nous avions une solution intégrée via un prestataire américain, très bien positionné commercialement, que tout le monde utilisait parce que l'intégration API était simple. MiCA impose désormais que les prestataires de services sur crypto-actifs — les PSCA — soient enregistrés et autorisés auprès d'une autorité compétente d'un État membre. Notre prestataire américain n'avait pas ce statut. Nous avions six mois pour migrer. Ce n'est pas un délai confortable quand on parle de custody.

Ce que ça révèle, c'est quelque chose que beaucoup de DSI ont sous-estimé : on avait externalisé une fonction régalienne — la garde d'actifs — à un acteur qui n'était soumis à aucune obligation prudentielle européenne. MiCA a rendu ce risque visible. Il existait avant, simplement personne ne le regardait.


RiffLab : MiCA crée donc mécaniquement une pression vers des acteurs européens agréés. Est-ce que ça se traduit par un marché de substitution crédible, ou est-ce une injonction sans offre en face ?

La situation est honnêtement contrastée. Sur la custody institutionnelle, il existe des acteurs européens qui ont obtenu ou sont en cours d'obtention d'agrément PSCA — en France, en Allemagne, aux Pays-Bas. Ce n'est pas le vide. Mais la profondeur de l'offre n'est pas encore comparable à ce que proposent les grands acteurs américains en termes d'intégration, de documentation, de support.

Là où ça devient intéressant du point de vue souverainiste, c'est que MiCA crée une barrière réglementaire que les acteurs américains ne peuvent pas franchir simplement en achetant un label. Ils doivent soit s'implanter en Europe avec une structure réelle, soit laisser de la place. C'est structurellement différent de ce qu'on a vécu avec le cloud, où AWS ou Azure ont ouvert des régions européennes tout en conservant un contrôle juridictionnel américain sur les données. Avec MiCA, le droit européen s'applique à la fonction, pas seulement à l'hébergement. C'est un levier différent.


RiffLab : Justement, la comparaison avec le cloud est pertinente. Vous avez l'impression que MiCA desserre des dépendances, ou qu'il en crée de nouvelles, différentes ?

Les deux, et c'est important de ne pas se raconter d'histoires. MiCA desserre certains verrouillages parce qu'il invalide des contrats et des architectures qui étaient construits autour d'acteurs non conformes. C'est une opportunité de remise à plat qu'on n'aurait jamais prise volontairement.

Mais il crée aussi des risques de nouvelles dépendances. Je pense notamment aux solutions de conformité elle-mêmes — les outils de surveillance des transactions, de reporting réglementaire, de KYC crypto. Ce marché est en train de se structurer rapidement, et les acteurs américains y sont très présents. Si demain ma stack de conformité MiCA repose sur un outil américain, j'ai juste déplacé la dépendance : de la custody vers le compliance. Ce n'est pas une victoire, c'est une translation.

La question que tout DSI devrait se poser : est-ce que ma chaîne MiCA — custody, reporting, monitoring — est souveraine de bout en bout, ou est-ce que j'ai recréé une dépendance sous une nouvelle forme réglementaire ?


RiffLab : Sur le plan contractuel, MiCA change-t-il quelque chose dans les rapports de force avec les fournisseurs ?

Oui, et c'est sous-estimé. MiCA introduit des obligations de transparence sur les actifs sous-jacents, sur les politiques de conservation, sur les conflits d'intérêts. Pour négocier avec un PSCA, vous avez maintenant un corpus réglementaire qui vous donne des droits et impose des obligations au prestataire. C'est très différent d'un contrat SaaS standard où le rapport de force est entièrement en faveur du fournisseur.

Concrètement, j'ai pu renégocier des clauses d'audit et de réversibilité que j'aurais été incapable d'obtenir avant MiCA. Le prestataire ne pouvait pas refuser sans se mettre lui-même en difficulté vis-à-vis du régulateur. C'est un effet de levier réel. Il faut l'utiliser, et pour ça, il faut avoir des juristes qui connaissent MiCA dans le détail — ce qui reste rare dans les PME/ETI.


RiffLab : Vous parlez de juristes : est-ce que MiCA ne crée pas finalement une dépendance nouvelle envers les cabinets de conseil et d'audit, souvent eux-mêmes dominés par des structures anglo-saxonnes ?

C'est une vraie question et je n'ai pas de réponse satisfaisante. Il y a un risque réel que la complexité réglementaire de MiCA devienne une rente pour les grands cabinets, qui ont les ressources pour produire les frameworks d'interprétation que les régulateurs eux-mêmes n'ont pas encore stabilisés.

Ce que je vois dans la pratique, c'est que les ETI qui s'en sortent le mieux sont celles qui ont investi dans une montée en compétence interne — pas pour tout faire in-house, mais pour ne pas être en situation de dépendance totale vis-à-vis d'un cabinet externe qui facture l'interprétation d'une règle que votre propre équipe devrait maîtriser. MiCA n'est pas un règlement ésotérique. Il est dense, mais il est lisible. Se l'approprier, c'est aussi une forme de souveraineté.


RiffLab : Si vous deviez formuler une recommandation structurelle à un CTO qui démarre sa mise en conformité MiCA aujourd'hui, ce serait laquelle ?

Ne traitez pas MiCA comme un projet de conformité isolé. Si vous le traitez comme ça, vous allez cocher des cases, dépenser un budget, et vous retrouver avec une architecture qui a juste absorbé la contrainte réglementaire sans la transformer en avantage.

MiCA est peut-être la première occasion depuis longtemps où le droit européen vous donne une raison légitime — et urgente — de remettre en question des dépendances que vous ne questionneriez jamais en temps normal. La contrainte crée un momentum. Ce momentum ne durera pas : dans deux ou trois ans, les acteurs américains auront trouvé leur chemin vers la conformité MiCA, probablement en rachetant des acteurs européens agréés. La fenêtre pendant laquelle le tissu des prestataires européens est structurellement favorisé est courte.

La vraie question n'est pas « comment se mettre en conformité avec MiCA ». C'est : « est-ce que MiCA me permet enfin de construire une architecture où je contrôle les fonctions critiques de mon SI crypto, avec des acteurs sur lesquels le droit européen s'exerce réellement ? » Si la réponse est oui, alors la conformité et la souveraineté convergent. C'est rare. Il faut en profiter.


*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a souhaité conserver l'anonymat.*

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.