Article 721-7
I. - Le prestataire de services sur actifs numériques respecte les exigences suivantes :
1° Il dispose d'au moins un dirigeant effectif. Celui-ci a la responsabilité de s'assurer que l'entreprise se conforme à ses obligations légales et réglementaires. Il est tenu d'évaluer et de contrôler périodiquement l'efficacité des dispositifs et des procédures mentionnés dans le présent titre. Les incidents significatifs sont portés sans délai à la connaissance du ou des dirigeants effectifs ;
2° Il dispose en permanence de moyens humains et techniques suffisants et adaptés aux services qu'il fournit ;
3° Il établit, met en œuvre et maintient opérationnels des mécanismes de contrôle interne appropriés et des procédures permettant de s'assurer qu'il se conforme à ses obligations légales et réglementaires. Lorsque le prestataire de services sur actifs numériques est un prestataire de services d'investissement, le dispositif de conformité mentionné à l'article 312-1 inclut les services sur actifs numériques ; et
4° Il emploie un personnel disposant des qualifications, des connaissances et de l'expertise suffisantes pour exercer les responsabilités qui lui sont confiées. Il s'assure que le personnel a bien connaissance des procédures qui doivent être suivies en vue de l'exercice approprié de leurs responsabilités.
II. - Il établit, met en œuvre et maintient opérationnels des systèmes et des procédures permettant de sauvegarder la sécurité, l'intégrité et la confidentialité des informations de manière appropriée eu égard à la nature des informations concernées.
III. - Il établit, met en œuvre et maintient opérationnels des procédures et des dispositifs permettant de reprendre l'activité dans les plus brefs délais afin de garantir, en cas d'interruption des systèmes et procédures, la sauvegarde des données et fonctions essentielles et la poursuite des services sur actifs numériques ou, en cas d'impossibilité, afin de permettre la récupération en temps utile de ces données et fonctions et la reprise en temps utile des activités.
IV. - Il contrôle et évalue annuellement l'adéquation et l'efficacité des systèmes, mécanismes de contrôle interne et autres dispositifs mis en place en application des I à III, et prend des mesures appropriées pour remédier à d'éventuelles défaillances.
V. - Il tient compte de la taille, de l'organisation, de la nature, de l'importance et de la complexité de son activité pour le respect des exigences mentionnées au présent article.
Article 721-8
Le prestataire de services sur actifs numériques respecte les exigences suivantes :
1° Il dispose de ressources informatiques et humaines suffisantes pour s'assurer de la résilience et de la sécurité de ses systèmes informatiques, notamment par la réalisation de tests réguliers en vue d'analyser la vulnérabilité de ses systèmes informatiques en cas de cyberattaques ;
2° Il met en œuvre une stratégie informatique comportant des objectifs et des mesures clairement définis :
a) Qui est conforme à sa stratégie économique et à sa stratégie en matière de risques et adaptée à ses activités opérationnelles et aux risques auxquels il est exposé ;
b) Qui se fonde sur une organisation informatique fiable ; et
c) Qui correspond à une gestion efficace de la sécurité informatique.
3° Il établit et maintient des dispositifs appropriés de sécurité physique et électronique qui réduisent au maximum les risques d'attaques contre ses systèmes informatiques et inclut une gestion efficace en termes d'identification et d'accès. Ces dispositifs garantissent la confidentialité, l'intégrité, l'authenticité et la disponibilité des données ainsi que la fiabilité et la robustesse des systèmes informatiques du prestataire de services sur actifs numériques ;
4° Il informe sans délai l'AMF de toute atteinte importante à ses mesures de sécurité physique et électronique. Il fournit à l'AMF un compte rendu d'incident indiquant la nature de l'incident, les mesures adoptées après sa survenue et les initiatives prises pour éviter que des incidents similaires ne se produisent ; et
5° Il veille à être en mesure d'identifier toutes les personnes ayant des droits d'accès critiques à ses systèmes informatiques. Il restreint le nombre de ces personnes et surveille leur accès à ses systèmes informatiques pour que la traçabilité soit assurée à tout moment.
Le prestataire de services sur actifs numériques tient compte de sa taille, son organisation, la nature, l'importance et la complexité de son activité pour le respect des exigences mentionnées au présent article.
Article 721-9
Le prestataire de services sur actifs numériques établit, met en œuvre et maintient opérationnelle une politique efficace et adaptée de gestion des conflits d'intérêts.
Cette politique identifie les situations qui donnent ou sont susceptibles de donner lieu à un conflit d'intérêts préjudiciable aux intérêts des clients. Elle définit les procédures à suivre et les mesures à prendre en vue de prévenir ou de gérer ces conflits, y compris s'agissant des transactions personnelles susceptibles d'être réalisées par le prestataire ou par toute personne liée.
Lorsque ces mesures ne suffisent pas à garantir, avec une certitude raisonnable, que le risque de porter atteinte aux intérêts des clients sera évité, le prestataire informe clairement ceux-ci, avant d'agir en leur nom, de la nature générale ou de la source de ces conflits d'intérêts.
Lorsque le prestataire de services sur actifs numériques est un prestataire de services d'investissement, la politique de gestion des conflits d'intérêts prend en compte les risques de conflit d'intérêts entre les services sur actifs numériques et les services d'investissement et, pour les sociétés de gestion de portefeuille, entre les services sur actifs numériques et les activités de gestion de placements collectifs.
Article 721-10
En application du septième alinéa du I de l'article L. 54-10-5 du code monétaire et financier, le prestataire de services sur actifs numériques veille à ce que toute l'information, y compris à caractère promotionnel, qu'il adresse à des clients, remplisse les conditions suivantes :
1° L'information inclut le nom du prestataire de services sur actifs numériques et les services qu'il fournit. Elle indique clairement les services pour lesquels il a obtenu l'agrément et le niveau de protection associé dont bénéficient ses clients, et s'il a obtenu, le cas échéant, d'être enregistré par l'AMF ;
2° Lorsque l'information est composée d'éléments techniques, une définition de leurs termes est prévue de manière compréhensible ;
3° L'information comporte des avertissements clairs et intelligibles sur les risques associés aux actifs numériques ainsi qu'aux services sur actifs numériques fournis ;
4° L'information ne travestit, ni ne minimise, ni n'occulte certains éléments, déclarations ou avertissements importants ;
5° L'information est présentée en français ou, avec l'accord du client, dans une langue usuelle en matière financière aisément compréhensible par celui-ci, sur tous les supports et dans tous les documents publicitaires qui lui sont remis ;
6° Lorsque l'information contient une indication des performances passées d'un actif numérique ou d'un service sur actifs numériques, le prestataire de services sur actifs numériques précise que les performances passées ne sont pas un indicateur fiable des résultats futurs et que cette indication porte sur les performances brutes, elle précise l'effet des commissions, des honoraires et des autres frais.
Les informations sur les performances futures reposent sur des hypothèses raisonnables fondées sur des données objectives ; et
7° L'information n'utilise pas le nom de l'AMF d'une manière qui puisse indiquer ou laisser entendre que cette autorité approuve ou cautionne le choix des actifs numériques ou des services proposés par le prestataire à ses clients.
Article 721-11
Le prestataire de services sur actifs numériques établit, met en œuvre et maintient opérationnelle une politique de gestion des réclamations adressées par ses clients en vue de leur traitement rapide. Cette politique est publiée sur le site internet du prestataire. Il tient un registre des réclamations reçues et des mesures prises pour leur résolution.
La politique de gestion des réclamations fournit des informations claires, précises et à jour sur le processus de traitement des réclamations. Cette politique est validée par les dirigeants du prestataire de services sur actifs numériques.
Il permet à ses clients de déposer une réclamation sans frais.
Il traite la réclamation dans un délai de deux mois et indique au client les options dont il dispose, et notamment du fait que le client peut saisir le médiateur de l'AMF mentionné à l'article L. 621-19 du code monétaire et financier.
Article 721-12
Le prestataire de services sur actifs numériques publie ses politiques tarifaires sur son site internet et communique en temps utile au client des informations sur tous les coûts et frais liés à ses services.