Menu
Quand l’absence d’agrément PSCA suffit : la faute autonome d’exercice illégal
Retour
Articles
24 juillet 2025

Quand l’absence d’agrément PSCA suffit : la faute autonome d’exercice illégal

William O'Rorke
Auteur
William O’Rorke

Le 26 juin 2025, la cour d’appel de Grenoble a condamné une plateforme crypto au remboursement intégral d’un utilisateur victime d’un piratage, en se fondant sur une faute autonome d’exercice illégal de l’activité de prestataire de services sur actifs numériques (PSAN), indépendamment de toute faute de vigilance ou de sécurisation.

Rendu en l’absence de représentant de la plateforme à l’audience, cet arrêt éclaire la responsabilité civile des prestataires de services sur crypto-actifs. Il soulève également des enjeux stratégiques pour l’ensemble des prestataires de service sur crypto-actifs (PSCA), qu’ils soient déjà enregistrés, en cours de mise en conformité sous MiCA, ou actifs dans le champ de la finance décentralisée.

La chronologie des événements

  • 2017 : ouverture du compte client sur la plateforme.
  • 21 janvier 2021 : connexion suspecte depuis le Luxembourg et détournement de 28 000 € en ETH. La plateforme alerte l’utilisateur mais laisse les retraits se poursuivre.
  • 4 mars 2024 : le tribunal judiciaire de Grenoble déboute la victime, qui fait appel
  • 26 juin 2025 : la cour d’appel infime la décision de première instance et condamne le la plateforme à rembourser intégralement son client sur le fondement d’une faute autonome de fourniture illégale d’un service sur crypto-actifs.

Statut réglementaire lors du hack

La plateforme n’a obtenu l’enregistrement PSAN que le 7 février 2023. À la date du hack, 2 ans auparavant, elle n’était donc pas autorisée à fournir ses services vers le marché français.

Que nous apprend cet arrêt ? 

L’arrêt de la Cour d’appel de Grenoble — à interpréter avec prudence (voir infra sur le champ de l’exercice illégal) — consacre une faute autonome d’exercice illégal, distincte des fondements classiques de responsabilité pour défaut de vigilance ou de sécurisation. Cette distinction renforce la responsabilité des prestataires sur la conformité de leurs services.

La faute autonome d’exercice illégal d’un service régulé

La cour rappelle que l’offre de services sur crypto-actifs est subordonnée (jusqu’en 2024) à une autorisation préalable comme PSAN et, désormais, à une autorisation MiCA. Elle constate que « la plateforme a ainsi exercé illégalement cette activité » et juge que cette irrégularité suffit à fonder sa responsabilité civile, sans qu’il soit nécessaire d’établir un manquement technique ou juridique spécifique.

Ainsi, cette faute est à la fois automatique (l’absence d’enregistrement ou d’agrément suffit, sans entrer dans le champ des obligations concrètes) et entière (le prestataire est intégralement responsable). Pour retenir ce champ d’application, la cour estime que

  • La réglementation PSAN interdisait au prestataire d’accepter ce client (ce qui est contestable, voir Champ de l’exercice illégal plus bas) ; 
  • Le non respect de la réglementation a rendu possible la réalisation du dommage dans son intégralité ;
  • En conséquence, cette faute d’exercice illégale permet d’engager la responsabilité de la plateforme sur l’intégralité du dommage. 

Une responsabilité cumulative en cas de défaut de vigilance

L’arrêt confirme que les manquements aux obligations de vigilance (authentification renforcée dans le cadre de DORA, gel préventif, contrôle des retraits) peuvent également être invoqués à titre complémentaire. Les juges procèdent alors à une appréciation concrète, au regard des éléments produits par les parties. En l’espèce, la Cour a estimé que la plateforme avait réagi de manière suffisamment diligente, excluant ainsi toute faute sur ce fondement.

Ainsi, sans la faute d’exercice illégal, cet acteur aurait vraisemblablement pu écarter sa responsabilité.

Le champ de l’exercice illégal

Ciblage du marché européen ou français. La cour relève que cette plateforme « propose en France, à destination des utilisateurs français, des services de conservation et d’échange ». Cette affirmation, à notre sens, reste discutable. Dans le cadre d’une procédure contradictoire, le prestataire aurait pu contester cette qualification en démontrant l’absence de toute démarche active de prospection sur le territoire français, à l’aide des critères du règlement général de l’AMF (langue du site, réseau de distribution, communication commerciale, etc.).

Un pourvoi en cassation pourrait, à ce titre, faire valoir qu’un prestataire luxembourgeois opérant exclusivement dans le cadre de la reverse solicitation (i.e., sans cibler le marché français) ne saurait voir sa responsabilité engagée au titre de la fourniture illégale de services.

Fourniture illicite d’un service régulé. La notion d’exercice illégal ne se limite pas aux services sur crypto-actifs : elle peut également s’appliquer à tout service d’investissement soumis à autorisation, tels que la gestion de portefeuille, la gestion collective, la négociation sur dérivés ou la réception-transmission d’ordres. À titre d’exemple, un protocole DeFi offrant une activité assimilable à de la gestion collective, sans agrément, ou un CASP proposant de tels services à ses clients, pourrait relever de cette faute autonome d’exercice illégal, avec les mêmes conséquences (remboursement intégral du client en cas de perte.

Conséquences pratiques pour les CASP

Pour les CASP agréés

Pour les acteurs autorisés à fournir des services sur crypto-actifs en Europe, le risque d’entrer dans le champ de cette faute autonome se limite à : 

  • la fourniture de services crypto antérieurement à l’obtention de l’autorisation ; 
  • la fourniture de services régulés, comme des services d’investissement sur des security token ou des produits de gestion collective, hors du champ de leur agrément.

Pour les prestataires non agréés

Pour ces acteurs, cet arrêt vient rappeler que le risque ne réside pas tant dans une action du régulateur mais également dans les actions en responsabilité intentées par leurs utilisateurs.

Ces acteurs doivent s’abstenir de fournir leurs services à un client européen, sauf  si l’initiative vient exclusivement du client (reverse sollicitation).

Les lignes directrices ESMA du 26 février 2025 précisent les six critères cumulatifs qui permettent de ne pas entrer dans le champ de la réglementation européenne :

  • absence de communication en langues de l’UE ;
  • pas de campagne marketing active vers l’UE (publicité, influenceurs, SEO) ;
  • géo-blocage des IP européennes ;
  • refus systématique des IBAN/SEPA ;
  • disclaimers clairs d’inéligibilité ;
  • conservation d’un registre des demandes entrantes.

La combinaison d’une offre active (site FR, app store local, support EUR) et de l’absence d’autorisation expose le prestataire à :

  • l’engagement de sa responsabilité civile automatique envers les clients français ;
  • son inscription sur la liste noire AMF, assortie de sanctions pécuniaires pouvant atteindre 12,5 % du CA (art. L.573-40 CMF) ;
  • le blocage de son nom de domaine en Europe, ainsi que des flux par les prestataires de services de paiement.

Pour un CASP, la maîtrise de sa communication est donc un élément essentiel.

Pour les acteurs non CASP (ex. DeFi)

Le caractère « décentralisé » ne constitue pas une immunité, et il est probable que les régulateurs et les juges apprécient strictement le caractère décentralisé d’un projet. En ce sens, MiCA précise que l’exclusion de son champ d’application ne concerne que les services fournis « de manière entièrement décentralisée sans aucun intermédiaire ».

Pour les projets centralisés, même partiellement, les utilisateurs lésés disposeront du fondement de la faute autonome pour obtenir réparation sans démontrer de négligence système. Pour se défendre, les responsables des front-ends, oracles ou multisigs exposés devront documenter l’absence de contrôle centralisé.

Comment gérer ce risque pour un CASP ?

Pour les acteurs crypto, les moyens de défense reposeront principalement sur la démonstration : 

  • de l’absence de targeting (pour les acteurs hors UE) : en pratique, les preuves reposent sur un faisceau d’indices permettant d’exclure le targeting : géo-blocage, statistiques d’audience, paramétrage des canaux de communication et de distribution, communication policy, languages, etc..
  • du caractère entièrement décentralisée : pour la DeFi, démontrer que l’opérateur ne dispose pas d’un pouvoir de contrôle (smart contract immuable, clé brûlée) et que l’utilisateur agit en connaissance de cause.
  • du respect de son obligation de vigilance : journalisation 2FA, alertes multiples, options de gel manuel, logs, information des utilisateurs, etc. Le respect de cette obligation implique d’auditer régulièrement ces procédures et ces Terms & Conditions à la lumière de ce régime spécifique aux activités financières.
Nos derniers articles
Tous les articles
Les crypto-actifs au coeur de la métamorphose de la cybercriminalité
Newsletters
24 juillet 2025
[Edito] Les crypto-actifs au coeur de la métamorphose de la cybercriminalité
Newsletters
Juillet 2025
Consulter
DoRA CASP
Articles
2 juillet 2025
Conformité DORA : guide pour les CASP