Depuis le 30 décembre 2024, chaque transfert de crypto-actifs traité par un prestataire établi dans l’Union européenne est soumis à un flux d’informations obligatoire sur l’émetteur et le bénéficiaire. Cette obligation, issue du règlement (UE) 2023/1113, transpose dans le droit européen la recommandation 16 du GAFI (Groupe d’Action Financière) : c’est ce que l’industrie appelle la Travel Rule, ou TFR (Transfer of Funds Regulation) dans son acception européenne. Concrètement, les CASP (Crypto-Asset Service Providers) doivent faire circuler des données d’identification avec chaque transaction, à la manière d’un bordereau d’expédition attaché à chaque colis.
Ce texte décrit le cadre réglementaire en vigueur, les obligations opérationnelles pour les acteurs, le traitement des wallets non-custodial, ainsi que l’état de l’art technique. Il s’adresse aux équipes compliance, aux développeurs d’infrastructures et aux dirigeants de CASP qui préparent leur dossier d’autorisation MiCA avant le 1er juillet 2026.
Origines et fondement réglementaire
La Travel Rule tire son nom d’une réglementation bancaire américaine de 1996 (31 CFR 103.33) qui obligeait les établissements financiers à faire voyager les informations sur le donneur d’ordre avec chaque virement. Le GAFI a étendu ce principe aux actifs virtuels dans sa recommandation 16 révisée, formellement intégrée à son cadre normatif en 2019 sous le terme VASP (Virtual Asset Service Provider).
Au niveau européen, le règlement (UE) 2023/1113 (Journal officiel du 9 juin 2023, entrée en application le 30 décembre 2024) remplace l’ancien règlement (UE) 2015/847 sur les virements de fonds et étend explicitement son champ aux crypto-actifs. Ce texte est indissociable de MiCA (règlement 2023/1114) : les deux sont entrés en vigueur simultanément pour les dispositions CASP. Pour comprendre l’architecture complète de la réglementation crypto européenne, voir notre article sur MiCA et la régulation européenne des crypto-actifs.
En juin 2025, le GAFI a adopté une révision de sa recommandation 16 lors de sa plénière. Les changements annoncés portent sur trois axes : extension explicite à la prévention de la fraude (en plus du blanchiment et du financement du terrorisme), harmonisation des champs d’information pour les paiements transfrontaliers entre particuliers dépassant 1 000 USD/EUR, et nouvelles exigences de protection technologique des messages de paiement. Ces révisions devront être transposées par chaque juridiction membre selon un calendrier à définir. Elles ne modifient pas immédiatement le TFR européen, mais tracent la direction de la prochaine refonte réglementaire.
Ce que le règlement 2023/1113 exige concrètement
Le TFR impose aux CASP de collecter, vérifier et transmettre un ensemble de données structurées pour chaque transfert de crypto-actifs qu’ils traitent. Le périmètre couvre tous les transferts dont au moins l’un des deux prestataires (émetteur ou récepteur) est établi dans l’UE.
Données obligatoires du côté émetteur :
- Nom complet de l’émetteur
- Numéro de compte (adresse blockchain ou identifiant interne)
- Adresse physique, numéro d’identification national ou date et lieu de naissance
Données obligatoires du côté bénéficiaire :
- Nom complet du bénéficiaire
- Numéro de compte (adresse blockchain ou identifiant interne)
Le point structurant du TFR européen est le seuil zéro : contrairement au GAFI qui recommande un déclenchement à partir de 1 000 USD, l’UE exige la transmission des données sur la totalité des transferts CASP-à-CASP, y compris les micro-transactions. C’est la position la plus stricte au monde.
| Juridiction | Seuil de déclenchement | Entrée en vigueur |
|---|---|---|
| Union européenne (TFR 2023/1113) | 0 euro (seuil zéro) | 30 décembre 2024 |
| États-Unis (FinCEN Travel Rule) | 3 000 USD (dépôt) / 1 000 USD (transmission) | En vigueur depuis 1996, extension crypto en cours |
| Royaume-Uni (FCA) | 1 000 GBP | 1er septembre 2023 |
| Singapour (MAS) | 1 500 SGD | Septembre 2023 |
| Suisse (FINMA) | 1 000 CHF | Janvier 2023 |
Les CASP doivent également mettre en place des procédures de blocage lorsque les données sont incomplètes ou manquantes : si le CASP bénéficiaire reçoit un transfert sans les informations requises, il doit décider, selon une analyse de risque, de compléter les données, de retourner les fonds ou de suspendre la transaction.
Wallets non-custodial : le régime différencié
Le traitement des wallets auto-hébergés (self-hosted ou unhosted wallets) est l’un des points les plus techniques du TFR. Ces adresses appartiennent à des individus ou entités qui ne passent pas par un CASP tiers et englobent les wallets matériels (Ledger, Trezor) comme les wallets logiciels non-custodial (MetaMask, Phantom).
Le règlement 2023/1113 distingue deux paliers selon son article 19 :
Transferts inférieurs à 1 000 euros vers ou depuis un wallet non-custodial : le CASP doit collecter et conserver les informations sur son propre client (l’émetteur ou le bénéficiaire selon le sens du flux), mais n’est pas tenu de vérifier techniquement que l’adresse blockchain appartient bien à ce client.
Transferts égaux ou supérieurs à 1 000 euros vers ou depuis un wallet non-custodial : le CASP doit vérifier que son client contrôle effectivement l’adresse de destination ou d’origine. Les méthodes de vérification acceptées incluent : la signature cryptographique d’un message avec la clé privée correspondante, la preuve de possession via un micro-dépôt, ou le recours à des outils d’analyse on-chain documentés.
L’article 37 du règlement mandate la Commission européenne pour remettre, avant le 30 juin 2027, un rapport d’évaluation des risques liés aux wallets non-custodial. Ce rapport pourrait déboucher sur un renforcement des obligations, notamment une extension de la vérification obligatoire aux montants inférieurs à 1 000 euros. Les CASP doivent anticiper un potentiel durcissement de ce volet.
La question des wallets non-custodial est directement liée aux enjeux de sécurité traités dans notre revue Ledger vs Trezor.
Mise en conformité : le calendrier critique pour les CASP français
En France, les prestataires opéraient sous le régime PSAN (Prestataire de Service sur Actifs Numériques) institué par la loi PACTE. L’AMF a rappelé explicitement que la période transitoire permettant aux PSAN enregistrés de continuer à exercer sans autorisation MiCA prend fin le 1er juillet 2026. Passé cette date, seuls les CASP titulaires d’une autorisation délivrée par l’AMF sous MiCA peuvent légalement opérer.
La conformité Travel Rule est une condition nécessaire (mais non suffisante) à l’obtention de l’agrément CASP. Le dossier d’autorisation soumis à l’AMF doit documenter :
- Les procédures de collecte et de vérification des données IVMS101
- Les accords avec une ou plusieurs solutions Travel Rule (protocole utilisé, périmètre couvert)
- Les politiques de gestion des transferts avec contreparties non-conformes ou dans des juridictions à haut risque
- Le dispositif de traitement des wallets non-custodial au-dessus du seuil de 1 000 euros
L’ACPR intervient en parallèle sur les aspects LCB-FT (lutte contre le blanchiment et le financement du terrorisme) liés aux obligations du TFR. Les manquements graves peuvent constituer des infractions pénales au titre des articles L.561-1 et suivants du Code monétaire et financier.
Pour la fiscalité des opérations sur crypto-actifs, le cadre réglementaire complémentaire est détaillé dans notre article sur la fiscalité crypto et le formulaire 2086.
Implémentation technique : protocoles et interopérabilité
La conformité Travel Rule ne se réduit pas à un processus administratif : elle implique l’intégration d’une infrastructure technique capable d’échanger des données structurées en temps quasi réel avec des contreparties mondiales.
Le format de données : IVMS101
L’Inter-VASP Messaging Standard 101 (IVMS101), développé par le groupe de travail interVASP avec le soutien de GLEIF et SWIFT, est le schéma de données standardisé pour les échanges Travel Rule entre VASP et CASP. Il définit les champs obligatoires, leur format (ISO 8601 pour les dates, codes pays ISO 3166-1, etc.) et les règles de validation. La majorité des solutions du marché le supportent comme format natif.
Les protocoles de messagerie
Plusieurs protocoles d’échange coexistent sans interopérabilité native :
- TRP (Travel Rule Protocol) : protocole REST/HTTPS ouvert, porté par des acteurs comme Notabene et 21Analytics, le plus répandu en Europe
- Sygna Bridge : solution propriétaire de CoolBitX, dominante en APAC
- OpenVASP : protocole décentralisé (transport Waku/libp2p depuis la v2, après abandon d’Ethereum Whisper déprécié en 2020), moins déployé en production
- TRUST : réseau fermé américain (Coinbase, Kraken, Gemini, etc.), non accessible aux CASP européens par défaut
L’absence d’interopérabilité native entre ces protocoles est le problème opérationnel central : un CASP sur TRP qui reçoit un transfert d’un VASP sur Sygna doit soit intégrer les deux protocoles, soit passer par une passerelle. Des solutions comme Notabene (passerelle multi-protocoles) ou 21Analytics (IVMS101, LEI, ISO 24165/DTI et TRP) permettent de gérer plusieurs protocoles depuis un point d’intégration unique.
L’enjeu du “sunrise problem”
Le GAFI désigne sous le terme « sunrise problem » la situation d’asymétrie de conformité : un CASP conforme qui envoie un transfert vers une juridiction où la Travel Rule n’est pas encore appliquée ne peut pas recevoir les données en retour. Le TFR prévoit que le CASP destinataire peut, dans ce cas, conserver les fonds en attente ou les retourner selon sa politique de gestion du risque. La couverture législative Travel Rule progresse régulièrement dans le réseau mondial GAFI, mais reste incomplète, notamment dans plusieurs juridictions d’Asie du Sud-Est et d’Afrique subsaharienne.
Enjeux pour les acteurs DeFi et les CASP natifs blockchain
Le TFR s’applique aux « crypto-asset service providers » au sens de MiCA. Les protocoles DeFi purs (smart contracts autonomes sans opérateur central identifiable) n’entrent pas dans le champ de ce règlement au sens strict. Mais la frontière est mouvante : une interface frontend exploitée par une entité juridique identifiée, un agrégateur de liquidité avec des opérateurs de relais, ou une plateforme de staking « as a service » peuvent tomber dans le périmètre CASP si leur activité est qualifiée de prestation de service sur actifs numériques.
Pour les CASP qui offrent des services d’accès à la DeFi (agrégateurs, wallets custodial avec accès DEX intégré), la question de la traçabilité des flux entre le compte custodial et les protocoles on-chain se pose concrètement. La position actuelle des régulateurs est que le CASP est responsable des obligations Travel Rule sur la portion de flux qu’il contrôle, c’est-à-dire le transfert entre son compte omnibus et le wallet du client.
Les implications pour les stablecoins et les usages B2B des CASP sont détaillées dans nos analyses sur les stablecoins USDC/USDT/DAI pour l’entreprise et sur l’état de la régulation crypto européenne.
Panorama des sanctions et supervision
La supervision du TFR est assurée par les autorités compétentes désignées sous MiCA dans chaque État membre. En France : l’AMF pour les services CASP, l’ACPR pour les aspects prudentiels et LCB-FT. Les autorités peuvent :
- Retirer ou suspendre l’agrément CASP
- Prononcer des injonctions de mise en conformité
- Infliger des amendes administratives pouvant atteindre 5 millions d’euros ou 10 % du chiffre d’affaires annuel total (selon les dispositions nationales de transposition)
- Publier des décisions (name-and-shame)
Au niveau européen, l’ESMA et l’EBA publient des orientations contraignantes sur le TFR. L’EBA a publié en 2024 des guidelines sur les exigences d’information pour les transferts de fonds et de crypto-actifs, qui précisent les modalités d’application du règlement : traitement des champs manquants, gestion des erreurs, et obligation de conservation des données pendant cinq ans (article 22 du règlement 2023/1113).
La Travel Rule n’est pas une contrainte accessoire : elle conditionne directement l’accès au marché européen. Pour les PSAN français qui n’ont pas encore initié leur transformation en CASP, le délai avant le 1er juillet 2026 est très court au regard de la complexité des intégrations techniques requises.