À la date d’avril 2026, les principales juridictions, dont les États-Unis, l’Union européenne, Hong Kong et Singapour, ont en grande partie finalisé leurs cadres réglementaires relatifs aux actifs numériques, marquant ainsi le passage du secteur d’une phase exploratoire à une conformité généralisée. Le 28 avril 2026, CertiK a publié son rapport « State of Digital Asset Regulation 2026 », qui présente de manière systématique ces évolutions. Le rapport souligne que la lutte contre le blanchiment d’argent (AML) a supplanté la classification des titres financiers comme principal risque réglementaire, et que les audits de sécurité des smart contracts évoluent d’une bonne pratique sectorielle vers une exigence obligatoire pour l’obtention de licences et l’inscription de tokens.
Pourquoi la lutte contre le blanchiment d’argent (AML) a-t-elle dépassé la SEC comme principal risque réglementaire pour l’industrie crypto ?
Le rapport de CertiK identifie l’année 2025 comme un tournant majeur en matière de priorités réglementaires. La Securities and Exchange Commission (SEC) des États-Unis a fortement réduit ses actions de répression liées aux crypto-actifs, n’initiant que 13 procédures en 2025 — soit une baisse de 60 % par rapport aux 33 actions de 2024, et le niveau le plus bas depuis 2017. Concernant les sanctions, les amendes infligées par la SEC dans le secteur crypto ont chuté de 97 % d’une année sur l’autre, totalisant 142 millions de dollars en 2025 contre environ 490 millions en 2024.
À l’inverse, le Department of Justice (DOJ) et le Financial Crimes Enforcement Network (FinCEN) américains ont imposé plus de 900 millions de dollars d’amendes et de règlements liés à l’AML sur le seul premier semestre 2025. Certains médias évoquent même un montant supérieur à 1,06 milliard de dollars. Parallèlement, les amendes AML en Europe ont bondi de 767 % sur la même période, tandis que les transactions crypto liées à des sanctions ont augmenté de plus de 400 % en un an. Ce basculement — recul des actions de la SEC et montée en puissance de la répression AML — indique clairement que la lutte contre le blanchiment d’argent a remplacé l’approche antérieure de la SEC centrée sur la qualification de titres.
Comment le leadership en matière de répression est-il passé de la SEC au DOJ et à FinCEN ?
Ce changement d’orientation réglementaire n’est pas fortuit, mais résulte d’une évolution des politiques et de la logique de contrôle. Après la nomination de Paul Atkins à la présidence de la SEC par le président Trump en 2025, la SEC a rapidement ajusté sa stratégie : sur les 13 nouvelles actions engagées cette année-là, cinq provenaient de dossiers ouverts sous l’ancienne présidence de Gensler, et seulement huit ont été initiées durant les 11 mois de mandat d’Atkins. La SEC s’est retirée de plusieurs procédures contre de grandes plateformes, notamment en suspendant ou abandonnant partiellement les poursuites contre Coinbase et Binance. L’approche réglementaire s’éloigne ainsi d’une logique de divulgation d’informations généralisée et de qualification des titres (« la substance prime sur la forme ») pour privilégier un cadre AML « neutre technologiquement et axé sur les comportements ».
Dans le même temps, le DOJ et FinCEN exploitent le Bank Secrecy Act (BSA) et la réglementation sur la transmission non autorisée de fonds pour occuper le vide laissé par la SEC. Au premier semestre 2025, OKX a conclu un accord à l’amiable de 504 millions de dollars avec le DOJ, et KuCoin a versé 297 millions — deux affaires portant sur la transmission non autorisée de fonds et des violations du BSA. Le DOJ a évoqué plus de 5 milliards de dollars de flux suspects dans le dossier OKX, pointant directement des défaillances dans la surveillance des transactions et la déclaration d’activités suspectes. L’attention des autorités s’est déplacée des débats théoriques sur la nature de l’actif (titre ou non) vers des questions pratiques : les fonds sont-ils d’origine licite et les systèmes de surveillance efficaces ?
Comment les audits de smart contracts évoluent-ils d’une bonne pratique à une exigence obligatoire ?
Le rapport de CertiK recense la montée en puissance des audits de sécurité des smart contracts comme l’un des quatre axes majeurs de l’évolution réglementaire mondiale. À ce jour, sept juridictions — Hong Kong, Émirats arabes unis (VARA et ADGM), Singapour, Union européenne, Brésil, Turquie et États-Unis (État de New York, NYDFS) — ont instauré des obligations légales ou quasi-légales d’audit. Par exemple, Hong Kong impose un audit de sécurité des smart contracts aux émetteurs de stablecoins, la Virtual Asset Regulatory Authority de Dubaï exige des audits réguliers et des tests d’intrusion pour les entités agréées, et la banque centrale du Brésil fait de la certification technique indépendante (couvrant cybersécurité, conservation ségréguée et gestion des clés) une condition sine qua non pour la licence des prestataires de services sur actifs virtuels. Le règlement DORA de l’UE impose quant à lui des obligations renforcées de gestion des risques TIC et de tests de sécurité aux institutions financières et prestataires associés.
Les données sectorielles confirment la nécessité de rendre les audits obligatoires. L’analyse par CertiK des 100 protocoles ayant subi les attaques les plus graves révèle que 80 % n’avaient jamais fait l’objet d’un audit formel avant leur compromission, ces protocoles non audités concentrant 89,2 % des pertes totales. Par type de perte, les incidents d’infrastructure (fuites de clés privées, défaillances du contrôle d’accès) représentent désormais 76 % de la valeur perdue, dépassant les vulnérabilités classiques du code. Cela montre que les attentes réglementaires en matière d’audit s’étendent du simple examen de code à une évaluation globale incluant la gestion des clés, le contrôle d’accès et la sécurité opérationnelle. L’audit de sécurité n’est plus une étape ponctuelle avant le lancement, mais un coût de conformité récurrent pour les activités réglementées.
Comment le GENIUS Act et le cadre MiCA façonnent-ils la régulation mondiale en 2026 ?
La régulation mondiale des stablecoins converge rapidement vers deux principes : « réserves intégralement adossées » et « émission sous licence ». Aux États-Unis, le GENIUS Act, promulgué en juillet 2025, établit un cadre fédéral pour les stablecoins de paiement. Les émetteurs doivent obtenir une licence via un établissement bancaire ou une structure non bancaire agréée au niveau fédéral, les réserves étant limitées à la monnaie fiduciaire, dépôts réglementés, bons du Trésor américain à court terme et autres actifs hautement sûrs, et il est explicitement interdit de verser des intérêts aux porteurs. Dans l’UE, le règlement MiCA est désormais pleinement appliqué : les stablecoins adossés à une seule devise sont qualifiés de jetons de monnaie électronique et soumis à des exigences spécifiques, tandis que les jetons dits « significatifs » font l’objet d’obligations supplémentaires en matière de fonds propres, de liquidité et de reporting.
Malgré ces avancées, les écarts de conformité entre juridictions restent importants. Le modèle américain « piloté par les banques », le modèle européen « open licensing » et le régime d’agrément de Hong Kong diffèrent fondamentalement quant aux standards de réserve, aux cadres de gouvernance et à l’autorité de supervision. Cela implique que les prestataires de services d’actifs numériques opérant sur plusieurs marchés doivent créer des entités juridiques distinctes, des structures de conformité et des dispositifs d’audit propres à chaque région, ce qui accroît sensiblement les coûts et la complexité opérationnelle. Le rapport de CertiK identifie cette asymétrie transfrontalière comme un défi central, la capacité à obtenir des licences multi-juridictionnelles devenant un véritable avantage concurrentiel pour les acteurs institutionnels.
Quels enseignements structurels révèle la courbe de la répression 2021–2025 ?
L’analyse des tendances de la SEC entre 2021 et 2025 montre que 2023 fut l’année du pic, avec 47 actions engagées et jusqu’à 101 avocats impliqués dans les enquêtes crypto. En 2024, les actions sont légèrement retombées à 33, mais les amendes ont atteint environ 470 millions de dollars. En 2025, les trois indicateurs chutent nettement : 13 actions (–60 %), 142 millions de dollars d’amendes (–97 %) et 33 avocats mobilisés, soit le plus bas niveau depuis 2017. Ce « décrochage » coïncide avec le dépassement des 900 millions de dollars d’amendes AML infligées par le DOJ/FinCEN, marquant un transfert structurel du leadership réglementaire et le passage d’une « domination de la SEC » à une « gouvernance multi-agences » de la régulation crypto aux États-Unis.
Parallèlement, les normes prudentielles du Comité de Bâle sur les actifs numériques sont entrées en vigueur le 1er janvier 2026 : les actifs du groupe 2 (dont BTC et ETH) sont soumis à des exigences de fonds propres proches de 100 %, tandis que les actifs du groupe 1 (instruments traditionnels tokenisés et stablecoins éligibles) relèvent des pondérations de risque standard. Ce cadre mondial de fonds propres bancaires aura un impact structurel profond sur la liquidité des différentes classes d’actifs crypto au niveau institutionnel.
Comment les exchanges et projets doivent-ils structurer leur conformité en 2026 ?
Alors que la question n’est plus « faut-il se conformer ? » mais « comment mettre en œuvre la conformité ? », les acteurs du secteur doivent dépasser l’interprétation superficielle des textes pour bâtir des systèmes opérationnels. Le rapport de CertiK recommande de renforcer les capacités de conformité selon quatre axes clés.
Premièrement, procéder à une montée en gamme complète des dispositifs AML. Mettre en place des systèmes standardisés de surveillance des transactions, de déclaration d’activités suspectes et de filtrage des sanctions. Au premier semestre 2025, les amendes cumulées d’OKX et de KuCoin ont approché 800 millions de dollars, établissant une référence pour les sanctions liées à l’insuffisance de la surveillance des transactions. Ce niveau rejoint désormais celui de certains cas historiques de fraude sur titres, modifiant radicalement la logique de retour sur investissement de la conformité : des coûts de conformité s’établissant à 1 % des charges fixes deviennent la norme dans l’ère de la conformité renforcée.
Deuxièmement, faire évoluer l’audit de sécurité d’une opération ponctuelle à une exigence continue tout au long du cycle de licence. Les conditions de maintien de licence dans plusieurs juridictions incluent désormais des évaluations régulières, comme l’obligation annuelle d’audit de smart contracts imposée par la VARA de Dubaï. L’analyse de CertiK sur les 100 protocoles les plus attaqués montre que les protocoles non audités concentrent 89,2 % des pertes, illustrant les conséquences extrêmes d’une négligence en la matière. Les entreprises visant une activité d’envergure dans les paiements, les stablecoins ou le trading réglementé doivent intégrer l’audit dès la conception produit et adopter une démarche Security-by-Design pour un investissement continu.
Troisièmement, anticiper la différenciation réglementaire en structurant la conformité multi-juridictionnelle. Le modèle bancaire du GENIUS Act, la logique « open licensing » de MiCA et le régime d’agrément de Hong Kong diffèrent fortement sur les règles de réserve, la gouvernance et les procédures opérationnelles. Les entreprises planifiant une expansion internationale doivent constituer à l’avance des entités juridiques locales indépendantes et concevoir des dispositifs de conformité parallèles pour répondre aux exigences régionales, évitant ainsi les adaptations a posteriori coûteuses et risquées.
Quatrièmement, intégrer des opérations de sécurité de niveau institutionnel au cadre de conformité. Les incidents d’infrastructure représentant désormais 76 % des pertes, les attentes des régulateurs envers les entités agréées dépassent le simple audit de code pour englober la gestion des clés, le contrôle d’accès et la résilience opérationnelle. Les entreprises doivent simultanément renforcer la gestion interne de la sécurité opérationnelle et les dispositifs de réponse aux incidents.
Conclusion
Le rapport 2026 de CertiK sur la régulation mondiale des actifs numériques offre une vision claire de « l’ère de la conformité renforcée » du secteur. La lutte contre le blanchiment d’argent et les audits de smart contracts s’imposent comme deux piliers structurants, faisant passer la régulation crypto mondiale de « contraintes souples » à des « obligations strictes ». Le recul structurel de la répression par la SEC, conjugué à l’intervention vigoureuse du DOJ/FinCEN et à plus de 900 millions de dollars d’amendes, marque le transfert du leadership réglementaire des débats sur la qualification des titres vers la surveillance des flux et la mise en œuvre de systèmes de conformité. Si le paysage réglementaire mondial, façonné par le GENIUS Act, MiCA et l’ordonnance de Hong Kong sur les stablecoins, est désormais largement en place, la fragmentation de la conformité transfrontalière pourrait encore relever les seuils d’agrément. Le défi central pour les exchanges et projets n’est plus « faut-il se conformer ? », mais « comment construire rapidement et systématiquement la conformité comme compétence institutionnelle ».
FAQ
Q : Quel est le principal risque réglementaire pour les entreprises crypto en 2026 ?
Selon le rapport de CertiK, la lutte contre le blanchiment d’argent (AML) est désormais le risque réglementaire majeur. Sur le seul premier semestre 2025, les amendes AML ont dépassé 900 millions de dollars, tandis que les sanctions de la SEC sur les crypto-actifs ont chuté de 97 % sur un an, traduisant un basculement complet de la répression.
Q : Les audits de smart contracts sont-ils devenus obligatoires ?
Oui. Sept juridictions — dont Hong Kong, les Émirats arabes unis (VARA), Singapour, l’UE (DORA), le Brésil, la Turquie et l’État de New York aux États-Unis — ont instauré des obligations légales ou quasi-légales d’audit. Les preuves d’audit et leur qualité sont désormais des critères centraux pour l’obtention et le maintien des licences.
Q : Quelle est la portée des affaires d’amende OKX et KuCoin ?
Les deux affaires totalisent près de 800 millions de dollars et portent sur la transmission non autorisée de fonds et des violations du BSA. Elles illustrent que la surveillance des transactions et la déclaration d’activités suspectes sont devenues des risques réglementaires majeurs pour les plateformes, bien au-delà de simples contrôles internes de routine.
Q : Quelles sont les principales différences entre les cadres GENIUS et MiCA ?
GENIUS repose sur un modèle d’agrément « piloté par les banques », imposant aux émetteurs d’obtenir une licence via un établissement bancaire, de limiter les réserves à des actifs hautement sûrs et d’interdire le versement d’intérêts. MiCA distingue les jetons de monnaie électronique et les jetons adossés à des actifs, permettant à des émetteurs non bancaires d’opérer dans le cadre réglementaire européen et autorisant l’émission multi-devises et les scénarios de staking.
Q : Où les entreprises doivent-elles prioriser la construction de la conformité à ce stade ?
Il est recommandé d’avancer simultanément sur trois axes : déployer un dispositif AML complet de surveillance des transactions, intégrer l’audit de sécurité dans le cycle de développement produit et garantir sa continuité, et préparer une gouvernance juridique et des systèmes de conformité indépendants pour les opérations multi-régions. La conformité n’est plus un simple outil de gestion des risques, mais une condition centrale pour l’agrément et la pérennité des activités.
