ItisPay
ItisPay
BLOGMenu
BLOG|
Juridique et conformité

Ce qu'une licence MiCA CASP exige réellement

Ce qu'une licence MiCA CASP exige réellement
Au 1er juillet 2026, chaque entreprise fournissant des services de crypto-actifs dans l'UE doit détenir une autorisation MiCA CASP. Pas d'exemptions, pas de prolongations. Combien réussiront réellement à l'obtenir ? Personne ne le sait vraiment. Pas beaucoup, à en juger par les chiffres. Au printemps 2026, environ 130 à 140 CASP ont reçu une autorisation MiCA complète dans les 27 États membres. Des centaines d'entreprises qui opéraient légalement sous les anciens registres VASP nationaux attendent toujours ou n'ont jamais soumis de demande. L'Italie avait plus de 150 enregistrements VASP avant MiCA, la France en avait 104. Pratiquement aucun n'a été converti. Ce n'est pas juste une question d'arriéré administratif. MiCA a été pensée pour les entités financières réglementées, pas pour les startups crypto. Un échange de 5 milliards d'euros et une app portefeuille de 10 personnes font face aux mêmes exigences en capital, gouvernance et technologie. C'est cette rigidité qui casse la plupart des demandes. ## Trois classes, trois niveaux de capital L'article 67 de MiCA lie les exigences de capital aux services offerts. Trois classes existent, et les fonds propres minimums dépendent de la classe : **Classe 1** : conseils et réception d'ordres. Fonds propres minimums : 50 000 euros. Couverture étroite — pas d'échange, pas de garde. Les entreprises d'information ou de signaux se situent ici. **Classe 2** : échange contre devises fiduciaires et autres crypto-actifs, exécution d'ordres clients, tenue de marché. Plancher : 125 000 euros. Les plateformes de trading au comptant, bureaux OTC et agrégateurs entrent dans cette catégorie. **Classe 3** : garde et administration des crypto-actifs pour les clients. Plancher : 150 000 euros. Toute entreprise détenant les clés privées des clients, exploitant un portefeuille custodial ou gérant les positions des clients est classe 3. Les chiffres paraissent raisonnables. Ils ne le sont pas pour deux raisons. Ces fonds propres doivent être ségrégés et réglementaires — pas du capital d'exploitation, pas des dépôts clients. Ils doivent être disponibles à l'autorité de contrôle sur demande. Pour une startup, immobiliser 125 000 à 150 000 euros de manière permanente est une véritable saignée. Ensuite, l'article 67(1)(b) impose un autre calcul : les fonds propres doivent égaler le maximum entre le plancher de classe et un quart des frais généraux fixes de l'année précédente. Une entreprise avec 600 000 euros de frais annuels a besoin de 150 000 euros, peu importe ses services. À mesure que l'entreprise grandit, les frais généraux grimpent sans qu'aucun changement de produit ne justifie cette hausse. Ajouter un service n'est pas anodin. Une entreprise classe 2 qui ajoute la garde a besoin d'une approbation entièrement nouvelle pour la classe 3. Les nouveaux services ne peuvent pas être lancés avant la fin de cet examen. La plupart des entreprises crypto construisant un produit complet — échange plus garde — sont classe 3 dès le départ, même si la garde représente une part mineure des revenus. Dès lors qu'un utilisateur peut détenir un solde après une transaction, vous fournissez de la garde. Le plancher de 150 000 euros et toute la gouvernance classe 3 s'appliquent immédiatement. ## La gouvernance n'est pas une case à cocher — l'article 68 impose une structure Le capital est le prix d'entrée. Les articles 68 à 71 décident si la demande aboutit vraiment. L'article 68 exige que l'organe de gestion ait une « réputation suffisamment bonne » et des « connaissances, compétences et expérience adéquates » au regard de la complexité du CASP. Les autorités veulent au minimum un PDG résidant dans l'EEE qui travaille réellement dans l'UE. Arriver en avion pour les réunions du conseil ne passe pas le test auprès de la Banque de Lituanie, de l'AFM ou de BaFin. Les normes techniques de l'ESMA selon l'article 68 exigent que les fonctions clés de contrôle interne aient des responsables nommés, des périmètres documentés et une indépendance structurelle. Le modèle des trois lignes de défense est attendu. Une fonction conformité qui rapporte au COO, qui gère aussi les revenus et le développement commercial, échoue le test d'indépendance auprès de la plupart des régulateurs. Le responsable conformité doit rapporter au conseil, pas aux opérations. Chaque titulaire de fonction clé subit une évaluation d'aptitude et moralité : PDG, CFO, responsable conformité, MLRO. Dans de nombreuses juridictions, aussi le responsable TI et le responsable garde si ces rôles touchent une activité réglementée. Chaque personne doit soumettre ses antécédents professionnels, qualifications et vérification d'antécédents criminels. Si quelqu'un échoue, toute la demande est gelée. Les articles 69 à 71 ajoutent : une procédure de réclamations avec escalades définies et délais de réponse ; des standards de communication client couvrant clarté et transparence ; une politique écrite de gestion des conflits d'intérêts avec examen périodique par le conseil.

Le MLRO a ses propres règles. La plupart des États membres de l'UE l'exigent comme poste nommé et dédié — distinct du CCO — avec accès au conseil d'administration et autorité documentée pour déposer des rapports d'activités suspectes indépendamment. Le déléguer à un conseil externe n'existe pas vraiment. Le MLRO doit être un salarié.

Rien de cela n'est techniquement difficile. Mais le construire à partir de zéro prend au minimum six mois, et l'NCA vérifiera que ça marche vraiment, pas juste que vous avez écrit les politiques.

À ce stade, la plupart des opérateurs découvrent comment ItisPay résout ce problème sans licence propre plutôt que de passer 12 mois à construire une organisation de conformité avant de savoir si l'NCA l'approuvera.

ICT et DORA : la couche technique que la plupart des opérateurs ignorent#

À partir du 17 janvier 2025, les CASP régulés par MiCA relèvent aussi du Digital Operational Resilience Act (DORA). MiCA exige un cadre de sécurité ICT comme condition d'autorisation. DORA dit ce qu'il doit contenir.

La soumission DORA — incluse dans la demande MiCA — doit couvrir :

  • Un cadre de gestion des risques ICT avec des politiques écrites sur l'identification, la protection, la détection, la réponse et la récupération
  • Des procédures pour détecter, classifier et signaler les incidents. Les incidents ICT majeurs doivent être signalés à l'NCA dans les délais impartis
  • Un plan de continuité des activités, testé chaque année
  • Un registre des risques ICT tiers pour chaque fournisseur matériel et prestataire cloud, avec un plan de sortie écrit
  • Des exercices de réponse aux incidents selon un calendrier défini

Pour les CASP « importants » au-delà des seuils fixés par l'NCA, les articles 24 à 27 de DORA exigent des tests de pénétration dirigés par les menaces tous les trois ans, via des prestataires externes approuvés. Un premier engagement TLPT — définition du périmètre, exécution, rapports de correction — coûte généralement entre 30 000 € et 80 000 €.

Construire un cadre ICT conforme à DORA à partir de zéro prend six à douze mois. L'NCA ne demande pas un modèle de politique : il veut une structure opérationnelle réelle. Les NCA veulent des enregistrements de tests et des journaux d'incidents. Les entreprises qui arrivent avec de la documentation mais sans preuve opérationnelle réelle sont rejetées au premier cycle d'examen formel.

Les exigences sur les risques tiers frappent dur les entreprises de crypto utilisant le cloud. Chaque dépendance — fournisseurs d'hébergement, fournisseurs KYC, fournisseurs de données blockchain, prestataires de conservation — nécessite une diligence raisonnable documentée, des droits d'audit dans les contrats et un plan de sortie écrit. Une entreprise qui ne peut pas prouver sa sortie d'AWS, Google Cloud ou Fireblocks ne passera pas le seuil de risque de concentration de DORA.

Ce qu'une licence MiCA CASP exige réellement

Pays par pays : les calendriers ne sont pas égaux#

MiCA s'applique à toute l'UE, mais l'autorisation dépend de chaque pays. Les délais varient énormément.

La Lituanie est la plus rapide. La Banque de Lituanie autorise généralement les CASP en six mois, parfois moins pour les dossiers complets. La période transitoire lituanienne s'est terminée le 1er janvier 2026. Toute entreprise encore en statut temporaire là-bas est déjà à risque. Si vous avez déposé avant février 2026 avec un dossier complet, la Lituanie est le seul endroit où vous pourriez théoriquement obtenir une licence avant juillet.

Les Pays-Bas viennent en deuxième. L'AFM a émis ses premières licences MiCA le 30 décembre 2024 et en avait approuvé 26 début mai 2026. Le traitement prend neuf à douze mois. Les conditions sont strictes : siège social enregistré, vrais employés locaux, présence opérationnelle réelle. Les structures fictives sont rejetées rapidement.

BaFin est la plus stricte. Le traitement prend douze à vingt-quatre mois. Un dossier complet fait généralement dépasser 200 pages avant le premier cycle de commentaires. L'Allemagne a autorisé 53 CASP en mai 2026 — chiffre qui reflète son secteur financier établi, pas une porte facile pour les nouveaux venus. Sans présence réelle en Allemagne, une demande BaFin est un projet de plusieurs années.

La France (AMF) et l'Italie (Banca d'Italia / Consob) prennent douze à dix-huit mois. Malte (MFSA) a publié des lignes directrices détaillées en mars 2025 et cultive une image pro-fintech, mais ses approbations restent loin derrière les trois grands marchés.

Le calcul est simple pour ceux qui n'ont pas encore déposé : aucune juridiction ne délivrera une licence CASP avant le 1er juillet 2026 sauf si votre dossier est déjà en cours d'examen avancé. La fenêtre est fermée partout, sauf marginalement en Lituanie.

Pologne : le vide réglementaire#

La Pologne est différente. Le 1er décembre 2025, le président Karol Nawrocki a rejeté la Loi sur le marché des cryptoactifs — la loi dont la Pologne avait besoin pour accepter les demandes CASP nationales en vertu de MiCA.

Ses objections étaient précises. Le bureau présidentiel a relevé une disposition permettant à l'KNF de bloquer les sites Web des VASP unilatéralement, et une autre permettant à l'KNF de geler les comptes pendant jusqu'à 96 heures en cas de délit d'initié, extensible à six mois sans vérification judiciaire.

Résultat : aucune autorité en Pologne n'accepte actuellement les demandes CASP. Les entreprises fonctionnant sous l'ancien statut VASP polonais sont dans le vide juridique. MiCA s'applique directement en Pologne — le règlement a force de loi dans tous les États membres. Mais sans autorité de contrôle désignée et sans règles de procédure nationales, il n'y a rien à soumettre.

En mai 2026, aucune loi révisée n'avait été adoptée. Les entreprises avec des opérations en Pologne font face au même problème du 1er juillet que les autres — mais plus serré. Les options sont : relancer la loi, se faire autoriser ailleurs, ou quitter le marché.

Les véritables obstacles derrière les chiffres#

Le capital minimum n'est généralement pas ce qui fait échouer une demande. Les vrais obstacles sont cinq exigences qui arrivent en même temps, et aucune ne cède à des raccourcis.

Le responsable de la conformité ne peut pas être partagé. Les régulateurs rejettent les demandes où la conformité est combinée avec une fonction génératrice de revenus ou répartie entre plusieurs entités. Un CCO dédié avec les qualifications requises et domicilié dans l'EEE coûte au minimum 80 000 à 120 000 euros par an. C'est une personne, à temps plein, dès le jour du dépôt. Pas des honoraires juridiques — un salaire.

Le dossier n'est pas un formulaire. Une demande complète couvre : gouvernance et organigramme, programme AML/CFT, cadre DORA ICT, preuve de capital et projections, plan d'affaires sur trois ans, dossier d'adéquation pour chaque cadre, politique de garde des actifs clients, procédure de réclamation, politique de gestion des conflits, et un livre blanc conforme si applicable. Plusieurs centaines de pages. La plupart des régulateurs demandent des informations supplémentaires au moins une fois, ce qui remet le compteur à zéro pendant plusieurs mois.

Le capital est immobilisé. Les fonds propres doivent rester en place pendant toute l'autorisation. Pour une startup ayant besoin de flexibilité, cela limite directement le financement disponible.

Les délais ne sont pas garantis. Les régulateurs peuvent prolonger l'examen à leur discrétion. Aucune juridiction ne propose de délai contractuel. Si vous aviez prévu un lancement Q3 2026, vous ne pouvez pas planifier autour d'une demande encore au premier stade.

La supervision n'est pas un simple contrôle ponctuel. Une fois opérationnel, le coût annuel comprend la surveillance continue, les tests informatiques récurrents, les audits obligatoires et l'équipe de conformité. Compter entre 150 000 € et 250 000 € par an. Le dépôt initial, lui, est distinct de ces frais récurrents.

Si votre équipe ne peut pas engager 300 000 € à 500 000 € dès le départ avec un calendrier flou, une alternative logicielle existe.

Trois options après le 1er juillet 2026#

Les entreprises sans autorisation CASP à cette date ont trois chemins possibles.

Quitter l'UE. Arrêter complètement les services destinés aux clients européens jusqu'à obtenir l'autorisation. C'est l'option la plus sûre mais aussi la plus coûteuse pour toute entreprise ayant une base d'utilisateurs actifs ou des flux de paiement qui passent par les banques européennes.

Passer par une filiale autorisée. Si vous avez une maison mère ou une filiale avec une autorisation CASP dans un État membre de l'UE, vous pouvez étendre les services à toute l'Union via le passeport MiCA. Mais il faut une vraie restructuration. Partager une marque ou une technologie ne suffit pas — l'entité autorisée doit avoir une présence économique solide. Les notifications de passeport doivent être acceptées par les autorités nationales de l'État d'origine et des États d'accueil. Si vous n'avez pas déjà cette entité, il faut l'acquérir ou la créer, ce qui remet le calendrier à zéro.

S'appuyer sur un partenaire autorisé. Vous pouvez passer par un CASP et une institution de paiement agréée par l'UE qui détient déjà les permis nécessaires pour proposer des services d'échange, de transfert ou de garde à vos clients. Le partenaire porte la charge réglementaire. Votre marque reste visible face aux clients.

Si construire votre propre système de conformité n'est pas pertinent maintenant, un partenariat avec un CASP et une institution de paiement autorisés est une option — c'est d'ailleurs pour cela qu'itispay.com/mica existe.

Cet article est informatif. Il ne remplace pas un avis juridique ou réglementaire. Consultez un conseil qualifié avant de décider.

Clara Whitfield

Clara Whitfield

Share this article:

The newsletter for crypto entrepreneurs

Join founders and innovators exploring crypto payments. Get insights, product updates, and stories from businesses building the future of digital commerce.

Unsubscribe anytime. By entering your email, you agree to receive marketing emails from ItisPay. By proceeding, you agree to the Terms and Conditions and Privacy Policy.

Ready to launch stablecoin-first payments under your brand?

Stablecoin-first infrastructure with 1:1 EUR/USD backing. Deploy in 1 week. Built for high-volume PSPs and neobanks with zero volatility risk.

Book a DemoTry API