Écriture :邓小宇、李浩均
Introduction
Dans le cercle Web3, une illusion de conformité extrêmement dangereuse circule : tant que le projet externalise les activités KYC (vérification d’identité) et AML (lutte contre le blanchiment d’argent) à des organismes tiers de renommée internationale, cela revient à acheter une « assurance d’exonération pénale ». Si la plateforme se retrouve impliquée dans le blanchiment d’argent ou des fonds illicites, cette « casserole » devrait être supportée par le prestataire externalisé, permettant au projet de rester tranquillement « les bras croisés ».
Cette idée, vue par les avocats comme « naïve », par les autorités d’enquête comme « une fausse évidence », constitue en réalité une bombe à retardement prête à exploser à tout moment.
Au cours des deux dernières années, avec l’intensification constante des actions des autorités judiciaires contre les crimes liés aux monnaies virtuelles, notamment par des enquêtes approfondies sur les « infractions d’aide au crime », « dissimulation » et même « gestion illicite », cette logique de conformité « ostrichienne » est progressivement démantelée par une chaîne de preuves de plus en plus étroite. Les projets doivent prendre conscience : externaliser ne signifie pas conformité, encore moins exonération pénale.
Externaliser le KYC n’est pas une « carte blanche » : comment la loi pénale considère-t-elle les « comportements neutres » ?
Beaucoup de projets pensent : « J’ai payé, j’ai acheté un service, cela relève de la neutralité technique ou commerciale. » Mais l’avocat Mankiw vous rappelle : la neutralité comportementale a ses limites.
- La conformité formelle ne garantit pas la conformité substantielle
En se référant aux jurisprudences du secteur traditionnel des paiements et des paiements agrégés (paiements à quatre parties), les tribunaux traitant ce type de « défense de conformité externalisée » ont une logique cohérente : « Externaliser la technologie n’exonère pas la responsabilité de l’entité ». Dans la logique du droit pénal, si vous ne faites qu’externaliser un « simple passage en revue » du KYC pour faire semblant, cela peut facilement être considéré en pratique judiciaire comme « agir sous le nom de conformité, tout en laissant faire ». Ce que le tribunal regarde, c’est si vous avez rempli une « obligation de prudence substantielle », et non simplement le contrat d’externalisation.
- La détermination de la « connaissance subjective » face à la menace de la criminalité par l’IA
Avec le développement de la technologie IA, même en utilisant une interface KYC standard, les projets font face à de grands défis. Actuellement, les acteurs malveillants utilisent des outils comme ProKYC et OnlyFake pour générer à faible coût des faux passeports très réalistes, et utilisent la technologie de deepfake pour créer des vidéos de détection de vivacité, en injectant via une « caméra virtuelle » dans le système, contournant ainsi parfaitement la vérification automatisée.
Au début, les projets pouvaient dire « je ne comprends pas la technologie du crime organisé », mais dans le contexte où des outils comme ProKYC sont devenus une menace sectorielle, les autorités judiciaires considéreront que : en tant que projet professionnel, vous devriez prévoir que la « vérification statique » par le prestataire ne peut plus arrêter la falsification par IA.
Si la plateforme présente de nombreux signes techniques évidents, tels que « des arrière-plans de documents identiques mais des visages différents » ou « des environnements d’éclairage et d’ombre parfaitement identiques lors de la détection de vivacité de plusieurs utilisateurs », et que le projet n’a pas mis à jour ses « détections anti-injection » ou renforcé la vérification manuelle, cette « négligence technique » peut être facilement considérée en procédure pénale comme une « connaissance de la criminalité d’autrui avec aide ».
- La responsabilité pénale est intransmissible
De nombreux projets insèrent dans leurs contrats d’externalisation des clauses de « décharge de responsabilité » ou « indemnisation », déclarant que les conséquences juridiques dues à une vérification insuffisante par le prestataire seront supportées par celui-ci. Mais dans le système juridique pénal, ces clauses sont presque inutiles.
La responsabilité pénale est fortement personnelle. La qualification d’un individu ou d’une entité comme criminel dépend de la conformité de leur comportement aux éléments constitutifs du crime. On ne peut pas, par un contrat civil, transférer une obligation pénale légale.
Selon l’article 153 du Code civil, tout acte civil violant les dispositions légales ou réglementaires obligatoires, ou contraire à l’ordre public et aux bonnes mœurs, est nul. Toute clause contractuelle visant à échapper à la répression pénale ou à contourner les obligations de lutte contre le blanchiment d’argent, sera considérée comme invalide par les autorités judiciaires, et pourrait même constituer une preuve de « fuite à la régulation » avec une intention subjective malveillante.
Dans un projet Web3, si l’on qualifie l’entité de « crime organisé », selon le « double système de punition » prévu par le Code pénal pour les crimes d’entité, non seulement le projet lui-même sera sanctionné, mais aussi les « responsables directs » (CEO, CTO) et « autres responsables directs » (responsables conformité) seront les premières cibles de poursuites pénales. Le contrat d’externalisation ne vous sauvera pas, et pourrait même aggraver la responsabilité subjective en raison de votre « négligence sélective » dans le choix du tiers.
Les trois dimensions clés pour déterminer la responsabilité pénale : sauver sa vie ou y laisser sa peau ?
Lorsque le projet est interrogé pour « infractions d’aide au crime » ou « dissimulation », l’enquêteur doit principalement établir votre « connaissance subjective ». Externaliser le KYC, cela allège-t-il ou alourdit votre responsabilité ? Cela dépend souvent de la reconstitution des preuves suivantes :
- S’agit-il de respecter les standards sectoriels ou simplement de « se procurer une pièce » ?
Dans la conformité réglementaire, le choix du fournisseur reflète déjà une attitude de conformité.
Choisir des prestataires reconnus internationalement comme Sumsub, Jumio, Onfido, en payant le tarif du marché, témoigne d’une volonté subjective de respecter les normes les plus strictes, et d’avoir rempli une « obligation raisonnable de vigilance » ; opter pour de petits prestataires vantant un « taux de réussite élevé » ou une « tolérance large » peut être interprété comme une connaissance du risque, mais une volonté délibérée de réduire la défense en utilisant des fournisseurs de moindre qualité, avec une motivation évidente de « laisser faire ».
- Après un avertissement, optez-vous pour « bloquer » ou « faire semblant de mourir » ?
C’est l’étape clé pour juger de l’« infractions d’aide au crime ». Si les logs du backend enregistrent des milliers d’alertes « identité anormale », mais qu’aucune vérification manuelle n’est effectuée, et qu’aucune restriction n’est appliquée, le contrat d’externalisation devient une preuve irréfutable de votre « connaissance et tolérance ». Il faut donc mettre en place un mécanisme complet de « retour technique - traitement manuel ». Sans logs de traitement, la conformité de l’externalisation est nulle en droit.
- La source des profits comporte-t-elle une « contrepartie illicite » ?
Le flux financier est la dernière indication pour la responsabilité pénale. Si la plateforme tolère un « standard de conformité faible » pour obtenir des profits bien supérieurs à la moyenne sectorielle, le juge pourra considérer que ces profits ont une « nature de partage criminel ». Si les frais payés au fournisseur sont bien inférieurs aux coûts normaux, cette irrégularité commerciale brise directement le mythe de la « neutralité technique ».
Recommandations pratiques de Mankiw
Pour éviter que la conformité externalisée ne devienne une preuve de responsabilité pénale, voici quelques directives pour les projets :
-
Conserver les logs de diligence raisonnable : enregistrer les raisons du choix du prestataire, le processus d’évaluation des qualifications et le contrat officiel.
-
Mettre en place un mécanisme de double vérification : pour les utilisateurs « à haut risque » détectés par le système, conserver une trace de la vérification manuelle par l’équipe conformité interne.
-
Effectuer des audits réguliers de conformité : au moins une fois par an, faire auditer par un avocat ou une tierce partie, et produire un rapport, ce qui constitue une excellente preuve d’absence d’intention subjective.
-
Interdire l’« automatisation totale » : interdire la mise en place de scripts permettant de passer automatiquement toutes les vérifications. Tout service KYC à bas prix promettant un « passage à 100 % » sans défaillance constitue une incitation à la criminalité au sens pénal.
-
Répondre aux notifications réglementaires : en cas de demande d’enquête, couper immédiatement la connexion avec les comptes à risque, sans faire confiance à la chance.
Conclusion :
Le jeu de conformité dans l’industrie Web3 a depuis longtemps quitté l’époque où l’on pouvait tromper tout le monde avec un simple « contrat d’externalisation ».
Externaliser le KYC, c’est essentiellement acheter un service technologique, et non transférer le risque pénal. Si vous considérez votre prestataire comme un « pare-feu » pour échapper à la responsabilité, face à la traçabilité numérique pénétrante des autorités judiciaires, ce mur est souvent aussi fragile qu’un papier.
Pour finir, une phrase : la conformité coûte effectivement cher, mais comparé au prix de la perte de liberté, c’est toujours l’investissement le plus rentable. Face à la ligne rouge pénale, seule une conformité substantielle peut offrir une véritable sécurité aux projets.
