Exigences AML pour les entreprises de crypto dans l'UE : ce qu'il faut savoir en 2025

Les exigences AML pour les entreprises de crypto dans l'UE ont radicalement changé en 2025

Si vous gérez une entreprise de crypto dans l'Union européenne, vous ne pouvez plus ignorer les règles de lutte contre le blanchiment d'argent. Ce n'est plus une question de conformité optionnelle ou d'attente prudente. Depuis 2024, la réglementation est obligatoire, rigoureuse, et appliquée de manière uniforme dans les 27 pays membres. Les entreprises qui ne se sont pas adaptées sont soit fermées, soit en cours de sanction. Les autres ont dû investir des centaines de milliers d'euros pour se mettre en règle. Ce n'est pas une simple mise à jour de politique interne - c'est une refonte complète de la façon dont vous gérez vos clients, vos transactions et vos systèmes techniques.

Les trois piliers de la réglementation AML en 2025

La réglementation actuelle repose sur trois textes fondamentaux qui s’entrecroisent : MiCA, l’AMLR et la Loi sur la résilience opérationnelle numérique (DORA). MiCA, entrée en vigueur en 2024, est le cadre principal qui oblige les fournisseurs de services sur actifs crypto (CASP) à obtenir une licence européenne pour opérer. Sans cette licence, vous ne pouvez pas proposer d’échange, de garde ou de transfert d’actifs crypto à des clients de l’UE. La loi AMLR, qui entrera en vigueur en juillet 2027, remplacera les anciennes directives et créera un seul ensemble de règles pour tout le bloc. En attendant, l’AMLR de 2025 a déjà renforcé les obligations existantes. DORA, quant à elle, exige que vos systèmes informatiques soient capables de résister à des cyberattaques majeures - pas seulement des failles mineures, mais des attaques conçues pour détruire vos données ou bloquer vos services pendant des jours.

Qui doit se conformer ? Tous les fournisseurs de services crypto

Avant 2020, seules les plateformes d’échange fiat-vers-crypto devaient s’enregistrer. Aujourd’hui, la liste est bien plus large. Tout ce qui touche aux actifs crypto est concerné : les échanges, les portefeuilles custodiaux, les plateformes de staking, les fournisseurs de services de transfert, les marchés de pairs à pairs qui facilitent les transactions, et même les plateformes de trading automatisé si elles gèrent des fonds d’utilisateurs. Même les entreprises qui pensent être « trop petites » ou « trop techniques » pour être concernées doivent se conformer. Une start-up de 5 personnes qui propose un outil de staking décentralisé doit demander une licence MiCA si elle touche des clients européens - même si elle n’a pas de siège en Europe. La règle est simple : si vous avez un client dans l’UE, vous êtes soumis à la loi européenne.

Le Travel Rule : pas de seuil, pas d’excuse

La règle du « voyage » (Travel Rule) est l’une des exigences les plus difficiles à mettre en œuvre. Contrairement aux États-Unis, où elle ne s’applique qu’aux transferts supérieurs à 3 000 dollars, l’UE l’applique à tous les transferts, sans exception. Même un transfert de 5 euros entre deux portefeuilles doit inclure les informations suivantes : nom de l’expéditeur, numéro de compte ou adresse physique, date de naissance, nom du bénéficiaire, numéro de compte ou adresse physique. Pour les transferts supérieurs à 1 000 euros, vous devez aussi vérifier que le portefeuille auto-hébergé du destinataire est réellement contrôlé par cette personne. Cela signifie que vous ne pouvez plus simplement envoyer des crypto sans savoir où elles vont. Les entreprises qui ont essayé de contourner cette règle en utilisant des protocoles décentralisés ont été sanctionnées. L’Autorité européenne de banque (EBA) a documenté plus de 12 cas en 2025 où des plateformes ont été punies pour avoir ignoré cette obligation.

La vérification des clients : trois niveaux, pas d’exceptions

Le processus de connaissance du client (KYC) n’est plus une simple demande d’identité. Il est structuré en trois niveaux, basés sur le montant de la transaction :

1. Moins de 1 000 € : Nom et adresse vérifiés via une pièce d’identité officielle (passeport, carte d’identité) et une preuve d’adresse (facture récente).
2. Entre 1 000 € et 10 000 € : Vérification renforcée : vous devez obtenir une copie du document d’identité, une preuve de résidence, et une déclaration sur l’origine des fonds.
3. Plus de 10 000 € : Vérification stricte. Vous devez obtenir des documents bancaires ou fiscaux prouvant la source des fonds, et obtenir l’approbation écrite d’un responsable senior. Un rapport d’activité suspecte doit être déposé automatiquement à l’unité nationale d’analyse financière (FIU).

Les entreprises qui tentent de contourner ces niveaux en fractionnant les transactions (« smurfing ») sont facilement détectées. L’Autorité européenne de lutte contre le blanchiment d’argent (AMLA) utilise des algorithmes pour repérer les schémas de fragmentation. En 2025, 17 entreprises ont été sanctionnées pour cette pratique.

Les coûts réels de la conformité - ce que personne ne vous dit

Obtenir une licence MiCA ne coûte pas 10 000 €. Ça coûte entre 350 000 € et 500 000 € en moyenne pour une petite entreprise. Cela inclut : les frais de dépôt de dossier, les consultants juridiques, les systèmes de KYC automatisés, les intégrations avec les FIU nationaux (il y en a 28), les formations annuelles pour le personnel, et les audits internes. Kraken a dépensé 2,1 millions d’euros pour connecter ses systèmes aux 28 FIU de l’UE. Une start-up de 8 personnes a dû embaucher 4 personnes dédiées à la conformité - une dépense qu’elle ne pouvait pas absorber. Résultat : 42 % des startups de crypto avec moins de 10 employés ont réduit leurs opérations en Europe ou ont déménagé en Suisse ou à Singapour. Ce n’est pas une question de volonté - c’est une question de ressources.

Les failles restantes : DeFi et les technologies de confidentialité

Malgré tout ce qui a été fait, des failles persistent. Les protocoles DeFi (finance décentralisée) ne sont pas encore pleinement régulés parce qu’ils n’ont pas d’entité centrale à sanctionner. Des hackers ont utilisé des protocoles DeFi pour blanchir 180 millions d’euros en 2024, selon BaFin, l’autorité allemande. Les technologies de confidentialité comme les mixeurs de crypto ou les blockchains à confidentialité renforcée (Zcash, Monero) sont interdites en Europe. Si votre plateforme permet de transférer des Monero, vous êtes en violation. AMLA a annoncé en septembre 2025 qu’elle publiera des directives spécifiques sur la détection de ces technologies en 2026. Les entreprises qui pensent pouvoir « rester en marge » en utilisant des protocoles décentralisés se trompent. Les autorités européennes ont déjà identifié des adresses de portefeuilles liées à des services non régulés et ont commencé à bloquer les accès bancaires aux entreprises qui leur fournissent des services.

La récompense : la confiance et le marché

Malgré les coûts, la conformité a payé. En 2023, seulement 41 % du volume de crypto en Europe provenait de plateformes réglementées. En septembre 2025, ce chiffre est passé à 78 %. Les institutions financières, les fonds d’investissement et même les grandes entreprises préfèrent désormais travailler uniquement avec des CASP certifiés MiCA. Selon le rapport PwC de 2025, 89 % des clients institutionnels choisissent uniquement des fournisseurs réglementés. Les entreprises qui se sont conformées ont vu leur clientèle croître de 60 % en deux ans. Le marché européen est devenu le plus grand et le plus sûr au monde pour les actifs crypto - mais seulement pour ceux qui respectent les règles.

Qu’attendre en 2026 et 2027 ?

En 2026, AMLA lancera sa première inspection coordonnée de tous les CASP de l’UE. Elle se concentrera sur la mise en œuvre du Travel Rule et la vérification des bénéficiaires effectifs. En juillet 2027, l’AMLR entrera en vigueur et imposera un délai de cinq jours ouvrables pour répondre aux demandes des FIU - contre des délais variables aujourd’hui. Un plafond européen de 10 000 € pour les paiements en espèces sera instauré, et les paiements en espèces de 3 000 € ou plus devront être vérifiés. Les plateformes de crowdfunding et même les agents de football professionnels devront aussi se conformer. Ce n’est pas une fin - c’est le début d’un nouveau cycle de régulation plus profonde.

Que faire maintenant ?

Si vous êtes une entreprise de crypto en Europe :

• Si vous n’avez pas encore de licence MiCA, commencez le processus immédiatement - les délais d’attente dépassent 12 mois.
• Intégrez un système de vérification des transactions conforme au Travel Rule. Les solutions comme Traveler ont réduit les coûts de mise en œuvre de 6 mois à 8 semaines.
• Formez votre équipe : 40 heures de formation AML par an pour les compliance officers, 16 heures pour les opérationnels.
• Ne sous-estimez pas les risques de non-conformité : sanctions financières, interdiction d’opérer, réputation détruite.

La réglementation n’est pas un obstacle - c’est la clé pour accéder à un marché de 68 millions de consommateurs et des milliards d’euros d’investissements institutionnels. Ceux qui ont choisi de se conformer ont gagné. Ceux qui ont attendu ont perdu.