Source: OJ L, 2025/305, 31.3.2025

Current language: FR

Article 4 Informations sur le dispositif de gouvernance, les mécanismes de contrôle interne et les conflits d’intérêts

Summary What does Article 4 of the RTS on CASP authorisation say?

Article 4 covers two interconnected disclosure requirements for crypto-asset service provider applicants: governance arrangements and internal controls on one hand, and conflicts of interest management on the other.

Applicants must submit detailed information about their organisational structure, the qualifications of those heading internal functions, compliance policies, record-keeping arrangements, and how their management body oversees the effectiveness of internal controls.

The second part of the article requires applicants to provide their conflicts of interest policy, demonstrating how it identifies, prevents, manages and discloses conflicts — including ensuring that remuneration arrangements do not themselves generate conflicts.

This article directly supports the authorisation requirements set out in Article 62(2) of Regulation (EU) 2023/1114, translating those high-level requirements into specific documentary submissions.

Important points:

  • Submit a comprehensive picture of your governance structure, including organisational charts, CVs of heads of internal functions, compliance policies, record-keeping arrangements, and details of how internal control functions report independently to the management body.
  • Provide a conflicts of interest policy that covers identification, prevention, management and disclosure of conflicts, and demonstrate that remuneration arrangements do not create conflicts of interest.
  • Internal control functions must be shown to operate independently, have access to necessary resources, and be able to report directly to the management body at least once a year and on an ad hoc basis.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Aux fins de l’article 62, paragraphe 2, points f) et i), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente les informations suivantes sur leur dispositif de gouvernance et leurs mécanismes de contrôle interne:

      1. une description détaillée de la structure organisationnelle du demandeur englobant, le cas échéant, le groupe, y compris l’indication de la répartition des tâches et des pouvoirs, les liens hiérarchiques pertinents et les dispositifs de contrôle interne mis en œuvre, ainsi qu’un organigramme;

      2. les données personnelles des responsables des fonctions internes (fonctions de direction, de surveillance et de contrôle interne), y compris leur localisation et un curriculum vitæ indiquant leurs études et leur formation et expérience professionnelles pertinentes, ainsi qu’une description des connaissances, des compétences et de l’expérience nécessaires à l’exercice des responsabilités dont ils seront investis;

      3. des informations sur la mise en place de politiques et de procédures suffisamment efficaces pour garantir le respect du règlement (UE) 2023/1114 conformément à l’article 68, paragraphe 4, dudit règlement et une description détaillée des dispositifs garantissant que le personnel concerné a connaissance des procédures à suivre pour s’acquitter correctement de ses responsabilités, notamment une description détaillée des procédures permettant au personnel du demandeur de signaler des infractions réelles ou potentielles au règlement (UE) 2023/1114, conformément à l’article 116 dudit règlement;

      4. une description détaillée des dispositifs permettant l’enregistrement des activités et de l’organisation interne du demandeur conformément à l’article 68, paragraphe 9, du règlement (UE) 2023/1114, y compris les dispositifs d’enregistrement dont il doit se doter conformément au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 68, paragraphe 10, premier alinéa, point b), du règlement (UE) 2023/1114;

      5. la description des dispositifs permettant à l’organe de direction d’évaluer et de réexaminer périodiquement, conformément à l’article 68, paragraphe 6, du règlement (UE) 2023/1114, l’efficacité des dispositifs et procédures stratégiques mis en place pour se conformer au titre V, chapitres 2 et 3, dudit règlement, incluant tout ce qui suit:

        1. l’identification des fonctions de contrôle interne chargées du suivi de ces dispositifs et procédures stratégiques, ainsi que l’étendue de leur responsabilité et les liens hiérarchiques avec l’organe de direction du demandeur;

        2. l’indication de la périodicité des rapports des fonctions de contrôle interne à l’organe de direction du demandeur concernant l’efficacité de ces dispositifs et procédures stratégiques;

        3. une explication précisant:

          1. comment le demandeur veillera à ce que les fonctions de contrôle interne opèrent de manière indépendante et distincte des fonctions qu’elles contrôlent;

          2. si les fonctions de contrôle interne ont accès aux ressources et informations nécessaires;

          3. si ces fonctions de contrôle interne peuvent rendre compte directement à l’organe de direction du demandeur au moins une fois par an, ainsi que de manière ad hoc, notamment lorsqu’elles détectent un risque important de manquement du demandeur aux obligations qui lui incombent en vertu du règlement (UE) 2023/1114;

        4. une description des systèmes, garanties et contrôles de TIC mis en place pour suivre les activités du demandeur et se conformer aux dispositions du titre V, chapitres 2 et 3, du règlement (UE) 2023/1114, notamment une description des systèmes de sauvegarde, des systèmes de TIC et des contrôles de risques, lorsqu’elle n’est pas fournie conformément à l’article 9 du présent règlement;

      6. le cas échéant, une description des dispositifs mis en place pour prévenir et détecter les abus de marché, conformément à l’article 92 du règlement (UE) 2023/1114;

      7. si le demandeur a désigné ou désignera des auditeurs externes et, si tel est le cas, leur nom et leurs coordonnées, s’il en dispose;

      8. les politiques et procédures comptables selon lesquelles le demandeur enregistrera et communiquera ses informations financières, y compris les dates de début et de fin de l’exercice comptable appliqué.

    1. Conformément à l’article 72 du règlement (UE) 2023/1114, afin de détecter, de prévenir, de gérer et de communiquer les conflits d’intérêts, les demandeurs fournissent à l’autorité compétente toutes les informations suivantes sur la gestion des conflits d’intérêts:

      1. une copie de la politique du demandeur en matière de conflits d’intérêts, décrivant en quoi cette politique:

        1. garantit que le demandeur détectera, préviendra et gérera les conflits d’intérêts, conformément à l’article 72, paragraphe 1, du règlement (UE) 2023/1114, et les communiquera conformément à l’article 72, paragraphe 2, dudit règlement;

        2. est proportionnée à l’ampleur, à la nature et à l’éventail des services sur crypto-actifs que le demandeur a l’intention de fournir et des autres activités du groupe auquel il appartient;

        3. garantit que les politiques, procédures et dispositifs de rémunération ne généreront pas de conflits d’intérêts;

      2. en quoi la politique du demandeur en matière de conflits d’intérêts garantit le respect du règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 72, paragraphe 5, du règlement (UE) 2023/1114, y compris des informations sur les systèmes et dispositifs mis en place par le demandeur pour:

        1. surveiller, évaluer et réexaminer l’efficacité de sa politique en matière de conflits d’intérêts et remédier à toute lacune;

        2. l’enregistrement des cas de conflits d’intérêts, ce qui inclut leur détection, leur évaluation, leur résolution et le fait qu’ils sont communiqués aux clients.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod