Source: OJ L, 2025/1125, 15.9.2025Current language: FR
- Markets in crypto-assets
ART/EMT issuer
- RTS on ART issuer authorisation
Article 5 Informations relatives au cadre de contrôle interne
Summary What does Article 5 of the RTS on ART issuer authorisation say?
This is a notably detailed article that sets out the operational resilience and internal control requirements that applicant issuers of asset-referenced tokens must document as part of their authorisation application.
Building on the governance and organisational requirements covered in Article 4, this article goes deeper into the practical frameworks that must be in place, covering internal controls, ICT systems, business continuity, DLT governance, and anti-money laundering arrangements with any associated crypto-asset service providers.
The breadth of coverage reflects the regulator's intent to ensure applicants can demonstrate genuine operational readiness, not just structural compliance.
Important points:
- Include a full internal control framework in your application, covering compliance, risk management, internal audit, and segregation of duties, along with a risk appetite statement and risk tolerance measures.
- Demonstrate compliance with DORA (Regulation (EU) 2022/2554) by documenting ICT systems, security policies, a business continuity plan, and, where a proprietary DLT is used, a technical and security audit report on its functioning.
- Where cooperation arrangements with crypto-asset service providers are envisaged, include a description of their anti-money laundering and counter-terrorist financing controls, along with a forward-looking assessment of their continued compliance over the three-year business plan horizon.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
La demande d’agrément contient une description complète du cadre de contrôle interne du candidat émetteur, notamment l’ensemble des éléments suivants:
une description complète de la fonction de vérification interne de la conformité dans le cadre du mécanisme de contrôle interne conformément à l’article 34, paragraphe 10, du règlement (UE) 2023/1114 disposant d’une autorité, d’un statut et de ressources suffisants, ainsi que d’un accès direct à l’organe de direction;
une description complète du cadre de gestion des risques et de la fonction de gestion des risques, lorsqu’elle est établie, ou, lorsqu’en vertu du principe de proportionnalité eu égard à la taille, à la complexité et au profil de risque, elle est confiée à un prestataire tiers, une description complète des accords correspondants conclus avec des tiers conformément à l’article 4, paragraphe 2;
une description complète des systèmes et contrôles de gestion des risques, expliquant la stratégie du candidat émetteur en matière de détection, d’évaluation, de suivi, d’atténuation et de déclaration de l’ensemble des risques auxquels il est ou pourrait être exposé, notamment les risques pour les détenteurs d’un jeton se référant à un ou des actifs, les risques de marché, de liquidité et de concentration, les risques opérationnels, les risques liés aux TIC, les risques pour la réputation, les risques juridiques, les risques concernant la conduite, la conformité et les critères ESG, les risques de blanchiment de capitaux et de financement du terrorisme, ainsi que les risques stratégiques;
une description complète de la fonction d’audit interne dans le cadre du mécanisme de contrôle interne conformément à l’article 34, paragraphe 10, du règlement (UE) 2023/1114, lorsque celui-ci est établi, ou, lorsque, en vertu du principe de proportionnalité eu égard à la taille, à la complexité et au profil de risque des activités du candidat émetteur, ce mécanisme a été confié à un prestataire tiers, une description complète des accords conclus avec ce tiers qui comprend tous les éléments visés à l’article 4, paragraphe 2, points a) à g), du présent règlement, ainsi que le nom et les coordonnées de l’auditeur externe désigné;
une explication du dispositif de gouvernance mis en œuvre pour assurer une séparation et une ségrégation adéquate entre, d’une part, les tâches dans les branches d’activité et les unités opérationnelles et, d’autre part, les fonctions de contrôle interne dans le cadre du mécanisme de contrôle interne conformément à l’article 34, paragraphe 10, du règlement (UE) 2023/1114 et une explication des dispositifs mis en œuvre pour garantir l’indépendance des fonctions de contrôle interne, notamment à travers leur accès direct à l’organe de direction dans sa fonction de gestion et dans sa fonction de surveillance.
Aux fins du point c), la description comprend également la déclaration d’appétence au risque du candidat émetteur et sa tolérance au risque, y compris les procédures et mesures envisagées pour gérer les risques détectés dans le cadre de l’appétence au risque.
La demande d’agrément comporte une description des dispositifs et des ressources humaines et de TIC affectées pour garantir que le candidat émetteur respecte le règlement (UE) 2022/2554, notamment toutes les informations suivantes relatives aux systèmes, protocoles et outils de TIC du candidat émetteur:
une documentation technique détaillée comprenant une description du cadre de gestion du risque lié aux TIC conformément à l’article 6, paragraphe 1, du règlement (UE) 2022/2554, démontrant la capacité du candidat émetteur à parer au risque lié aux TIC de manière rapide, efficace et exhaustive et à garantir un niveau élevé de résilience opérationnelle numérique;
des renseignements montrant que le candidat émetteur possède des systèmes, protocoles et outils de TIC tenus à jour qui sont adaptés, fiables, équipés d’une capacité suffisante pour traiter avec exactitude les données nécessaires à l’exécution des activités et à la fourniture des services en temps utile, et résilients sur le plan technologique, conformément à l’article 7 du règlement (UE) 2022/2254;
une description détaillée de la politique de sécurité démontrant que les systèmes et procédures du candidat émetteur sont en mesure de protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, des actifs informationnels et des actifs de TIC, y compris ceux de leurs clients, conformément à l’article 9, paragraphe 4, du règlement (UE) 2022/2554;
une description complète du processus et des systèmes de TIC démontrant leur capacité à fournir au candidat émetteur des informations et des données fiables à l’appui des exigences en matière de communication des données.
La demande d’agrément contient une description du plan et de la politique de continuité des activités garantissant la capacité du candidat émetteur à exercer ses activités de manière continue et à limiter les pertes en cas de graves perturbations des activités. À cette fin, le plan de continuité des activités comprend:
la cartographie des données et fonctions essentielles;
une vue d’ensemble des systèmes de sauvegarde et de récupération disponibles;
une description de la disponibilité du personnel clé dans les situations de continuité des activités conformément à l’article 34, paragraphe 8, du règlement (UE) 2023/1114 et à l’article 11, paragraphe 1, du règlement (UE) 2022/2554.
Lorsque des jetons se référant à un ou des actifs sont émis, stockés et transférés au moyen d’une technologie des registres distribués propriétaire ou d’une technologie similaire exploitée par le candidat émetteur ou par un tiers agissant pour son compte, la demande d’agrément démontre le fonctionnement de la technologie des registres distribués ou de la technologie similaire en couvrant l’ensemble des éléments suivants:
la description du titre juridique du candidat émetteur vis-à-vis de la technologie des registres distribués ou de la technologie similaire, qu’il s’agisse d’un droit de propriété ou d’autres relations contractuelles conférant au candidat émetteur le contrôle de la technologie des registres distribués ou de la technologie similaire, indépendamment du fait que la technologie des registres distribués est exploitée par une entreprise différente;
le nom et les coordonnées de l’opérateur ou des opérateurs de la technologie des registres distribués, s’il ne s’agit pas du candidat émetteur;
le plan du candidat émetteur ou de l’opérateur tiers en matière d’identification, de suivi, d’évaluation, d’atténuation et de prévention des risques, également en ce qui concerne les retombées potentielles sur d’autres crypto-actifs émis, transférés ou stockés au moyen de cette technologie des registres distribués et sur les prestataires de services sur crypto-actifs associés, et le plan concernant la maintenance et la mise à jour technologiques régulières de la technologie des registres distribués ou de la technologie similaire;
un rapport d’audit technique et de sécurité sur la conformité du fonctionnement de la technologie des registres distribués avec les normes de qualité en usage sur le marché, ainsi que sur le caractère approprié et adéquat des plans visés au point c);
si la technologie des registres distribués propriétaire est soumise à permission, une description détaillée des mécanismes de transparence.
Lorsque des accords de coopération entre le candidat émetteur et certains prestataires de services sur crypto-actifs sont envisagés, la demande d’agrément contient une description détaillée des mécanismes et procédures de contrôle interne actuels du prestataire de services sur crypto-actifs garantissant le respect des obligations en matière de prévention du risque de blanchiment de capitaux et de financement du terrorisme au titre de la directive (UE) 2015/849 et, le cas échéant, du règlement (UE) 2023/1113. Cette description détaillée comprend une évaluation prospective du respect continu de ces obligations pour l’horizon de trois ans du plan d’entreprise du candidat émetteur. Cette description et cette évaluation prospective préparées par le prestataire de services sur crypto-actifs concerné peuvent être échangées par l’autorité compétente avec les autorités compétentes en matière de lutte contre le blanchiment de capitaux et contre le financement du terrorisme, les cellules de renseignement financier ou d’autres organismes publics, conformément à l’article 20, paragraphe 2, deuxième alinéa, du règlement (UE) 2023/1114.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
fonds
(En. funds)
Definition
candidat émetteur
(En. applicant issuer)
Definition
offreur
(En. offeror)
Definition
échange de crypto-actifs contre des fonds
(En. exchange of crypto-assets for funds)
Definition
crypto-actif
(En. crypto-asset)
Definition
organe de direction
(En. management body)
Definition
offre au public
(En. offer to the public)
Definition
client
Definition
monnaie officielle
(En. official currency)
Definition
exécution d’ordres sur crypto-actifs pour le compte de clients
(En. execution of orders for crypto-assets on behalf of clients)
Definition
prestataire de services sur crypto-actifs
(En. crypto-asset service provider)
Definition
fourniture de conseils en crypto-actifs
(En. providing advice on crypto-assets)
Definition
technologie des registres distribués
(En. distributed ledger technology)
Definition
jeton se référant à un ou des actifs
(En. asset-referenced token)
Definition
autorité compétente
(En. competent authority)
- désignées par chaque État membre conformément à l’article 93 en ce qui concerne les offreurs, les personnes qui demandent l’admission à la négociation de crypto-actifs autres que les jetons se référant à un ou des actifs et les jetons de monnaie électronique, les émetteurs de jetons se référant à un ou des actifs ou les prestataires de services sur crypto-actifs;
- désignées par chaque État membre aux fins de l’application de la directive 2009/110/CE en ce qui concerne les émetteurs de jetons de monnaie électronique;
Definition
placement de crypto-actifs
(En. placing of crypto-assets)
Definition
jeton de monnaie électronique
(En. electronic money token)
Definition
exploitation d’une plate-forme de négociation de crypto-actifs
(En. operation of a trading platform for crypto-assets)
Definition
service sur crypto-actifs
(En. crypto-asset service)
- la conservation et l’administration de crypto-actifs pour le compte de clients;
- l’exploitation d’une plate-forme de négociation de crypto-actifs;
- l’échange de crypto-actifs contre des fonds;
- l’échange de crypto-actifs contre d’autres crypto-actifs;
- l’exécution d’ordres sur crypto-actifs pour le compte de clients;
- le placement de crypto-actifs;
- la réception et la transmission d’ordres sur crypto-actifs pour le compte de clients;
- la fourniture de conseils en crypto-actifs;
- la fourniture de services de gestion de portefeuille de crypto-actifs;
- la fourniture de services de transfert de crypto-actifs pour le compte de clients;
Definition
échange de crypto-actifs contre d’autres crypto-actifs
(En. exchange of crypto-assets for other crypto-assets)
Definition
émetteur
(En. issuer)