Sélectionner une page

Le 7 mai 2019, la plateforme de change en cryptomonnaies maltaise Binance s’est faite pirater. Pour le premier hack de son histoire, 7 000 bitcoins ont été dérobés, soit 2% des bitcoins détenus par la plateforme.

Pour rappel, un détenteur de cryptomonnaies a quatre systèmes à sa disposition pour sécuriser et stocker ses actifs. Il peut utiliser un paper wallet, un hardware wallet, un desktop wallet ou bien un exchange wallet.

Ces méthodes de stockage se divisent en deux grandes catégories : le cold storage et le hot storage. Le cold storage représente une manière de détenir et de stocker ses clés privées sur un support déconnecté d’Internet. À l’inverse, le hot storage désigne une manière de stocker ses clés privées sur un périphérique connecté à Internet, ou directement en ligne.

Il s’agit justement du cas de figure des exchange wallets. Le client de la plateforme de change confie ses clés privées au tiers, elles sont directement stockées sur l’exchange. Il ne les détient plus. Généralement les exchanges conservent la majorité de leurs actifs dans des cold walletsa priori inaccessible pour un pirate ; or, pour permettre l’exécution des transferts rapidement, une partie plus infime des crypto-actifs restent à dispositions sur des hot wallets.

Dans le cas du piratage de Binance, les clés privées des clients victimes du vol de bitcoins étaient stockées sur un hot wallet.

Le dépôt sur une plateforme de trading comporte un risque avéré de piratage – donc de pertes pour l’utilisateur -, qui s’est réalisé de multiples reprises. La plateforme Bitstamp en a fait l’objet en 2015, des cryptoactifs ayant été dérobés sur celle-ci pour une valeur de 5 millions de dollars ; en 2016, Bitfinex a subi une perte équivalente à 72 millions de dollars ; en 2018, Coincheck a marqué l’histoire du plus gros hack avec 534 millions de dollars dérobés [1].

Ces affaires conduisent à s’interroger quant à la responsabilité des plateformes de change en cas de piratage des fonds : de quels outils dispose l’utilisateur floué pour engager celle-ci ?

Plusieurs pistes peuvent être envisagées. Il s’agira de mobiliser le droit des contrats et de la consommation d’une part (I), le droit bancaire de l’autre (II).

I. Protections offertes par le droit des contrats et de la consommation

L’inscription du client sur la plateforme de trading noue la relation contractuelle avec l’utilisateur.

La plateforme s’engage principalement à exécuter les ordres de ses clients.

Une obligation de conservation des clés privées est aussi à sa charge, puisque celle-ci est nécessaire pour exécuter les opérations sur le portefeuille du client. Ainsi, en cas de défaillance de son système de sécurité, quand bien même il serait optimal au regard de l’état de l’art, la plateforme ferait contractuellement défaut.

La responsabilité contractuelle est régie en droit français par les articles 1231 et suivants du Code civil.

La mise en œuvre de cette responsabilité repose sur la démonstration de l’inexécution contractuelle de l’une des parties au contrat.

Pour faire valoir son droit à réparation, l’autre partie doit mettre en évidence une inexécution ou une mauvaise exécution des engagements par la partie adverse, un préjudice de cette violation contractuelle et un lien de causalité.

Dans le contrat, des clauses relatives à cette responsabilité contractuelle peuvent être insérées.
Il peut s’agir d’une clause de non-responsabilité, qui stipule que le débiteur qui n’exécute pas son obligation n’est pas tenu à réparation.
Celles-ci peuvent également prendre la forme d’une clause limitative de responsabilité, qui fixe à l’avance un montant maximal de dommages et intérêts.

Les conditions d’utilisation de ces plateformes (cf. Binance [2] ; Kraken [3]) prévoient des clauses de non-responsabilité et de limitation de responsabilité.

Le contrat de Binance prévoit que la plateforme « n’est pas responsable de dommages – dommages pour perte de données, informations, revenus – découlant des services ou liés à ceux-ci, sauf dans la mesure où il a été déterminé par un tribunal que ces dommages résultent de la négligence grave, de fraude, d’une faute intentionnelle ou d’une infraction délibérée de la plateforme à la loi ».

La plateforme qui justifierait, à la suite d’un hack, avoir mis en place un niveau de sécurité optimale ne pourrait être tenue pour responsable selon ces termes.

Pour autant, la question de savoir si l’obligation de conservation des fonds relève d’une obligation de moyens ou de résultat n’est pas évidente.

La distinction tend à caractériser la faute en matière contractuelle : l’obligation est « de résultat » lorsque le débiteur, ici la plateforme, est contraint d’atteindre un résultat déterminé.

L’obligation est « de moyens » lorsque le débiteur s’engage à mobiliser toutes les ressources dont il dispose pour accomplir la prestation, sans garantie du résultat.

Dans cette dernière hypothèse, la plateforme peut se dédouaner en justifiant avoir mis en place les protections standards de l’industrie pour ces services.

Pour caractériser une obligation de moyens ou de résultat, la jurisprudence utilise plusieurs critères non cumulatifs : la volonté des parties, l’existence d’un aléa dans l’exécution et le rôle actif – ou passif – du créancier.

En l’espèce, les conditions d’utilisation de Binance stipulent que :

« Binance vise à maintenir la sécurité de ces fonds utilisateur qui lui sont confiés et à la mise en place des protections standard de l’industrie. Cependant, il y a des risques qui sont créés par des actions de l’utilisateur. Vous acceptez de considérer vos informations d’identification telles que le nom d’utilisateur et mot de passe comme des informations confidentielles et de ne pas les divulguer à des tiers. Vous acceptez également que vous êtes seul responsable de prendre les mesures de sécurité nécessaires pour protéger votre compte et vos informations personnelles ».

Néanmoins, les conditions générales ne lient pas la qualification juridique, d’autant qu’en l’espèce, la faille ne venait pas d’un manque de diligence d’un des clients.

À ce titre, il n’y avait ni aléa, ni rôle actif du créancier susceptible d’emporter la qualification d’obligation de moyens.

Il en résulte que la plateforme était tenue d’une obligation de résultat, et qu’en conséquence, les clients peuvent lui opposer un manquement contractuel.

De plus, cette clause limitative de responsabilité s’applique souvent à des personnes qualifiées de consommateurs au sens de la loi française, c’est-à-dire une personne physique n’agissant pas dans le cadre de son activité professionnelle.

Par conséquent, le Règlement Rome I de 2008 [4] s’applique. L’article 6 dispose que la loi applicable est celle du pays où le consommateur a sa résidence habituelle, à condition que le professionnel exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans le cadre de cette activité. C’est le cas de la plateforme qui dirige son activité vers les consommateurs français.

Dès lors, cette clause limitative de responsabilité pourrait-elle être opposable à un consommateur français ? Est-ce une clause abusive, c’est-à-dire génère-t-elle un déséquilibre significatif entre les droits et obligations des parties ?

Selon l’article L. 212-1 du Code de la consommation, une clause est abusive lorsqu’elle crée, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Deux décrets pris en Conseil d’Etat déterminent une liste de clauses grises [5] et de clauses noires [6]. Les clauses noires sont interdites : elles sont inopposables aux consommateurs, sans contestation possible du professionnel et réputées non écrites. Constitue une telle clause celle qui « supprime ou réduit le droit à réparation du consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations » [7].

En l’espèce, l’exonération de responsabilité de la plateforme et le droit à réparation du client en cas de vol de ces crypto-actifs pourrait être qualifiée de clause abusive par un juge français.

Par conséquent, cette clause serait inopposable aux consommateurs français, la responsabilité de la plateforme pourrait être engagée.

Certaines plateformes, telles que Binance, ont anticipé la mise en œuvre de ces règles dans l’espace. Les clauses d’exclusions et de limitations de dommages ne s’appliquent pas aux clients dont les juridictions nationales sont plus protectrices du consommateur.

Le consommateur français n’est dès lors pas visé par cette clause limitative de responsabilité.

La responsabilité contractuelle est un premier levier de protection pour le client.  Pour autant, comme dans le domaine bancaire, la protection du consommateur exige encore la mise en place de mesures régulatoires.


II. Protections offertes par le droit bancaire

L’opportunité d’une intervention des autorités bancaires et financières (A), de même que la mise en place d’obligation de fonds de garantie des dépôts inspirée du droit bancaire (B), peuvent être interrogées en l’espèce.


A. La compétence des autorités bancaires et financières

Deux autorités françaises peuvent être sollicitées pour remédier à cette situation : l’Autorité des marchés financiers et l’Autorité de contrôle prudentiel et de résolution.

L’Autorité des marchés financiers (AMF) est une autorité publique indépendante, qui est chargée de veiller à la protection de l’épargne investie en produits financiers, à l’information des investisseurs et au bon fonctionnement des marchés [8].

L’Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, est l’autorité administrative qui contrôle les secteurs de la banque et de l’assurance et veille à la stabilité financière.
L’ACPR est également chargée de la protection de la clientèle des établissements contrôlés et assure la mission de lutte contre le blanchiment des capitaux et le financement du terrorisme. Elle est aussi dotée de pouvoirs de résolution [9].

L’AMF et l’ACPR ont pour mission commune la protection des clients dans les secteurs de la banque, de l’assurance et des services financiers.

En tant qu’autorité chargée de délivrer les agréments aux prestataires de services de paiement en France, l’ACPR a pris position sur le cas des plateformes d’échange.

« Dans le cadre d’une opération d’achat/vente de bitcoins contre une monnaie ayant cours légal, l’activité d’intermédiation consistant à recevoir des fonds de l’acheteur de bitcoins pour les transférer au vendeur de bitcoins (visé à l’article L314-1, II,3°, c du code monétaire et financier) relève de la fourniture de services de paiement » [10].

L’exercice de cette activité à titre habituel en France implique donc de disposer d’un agrément de prestataire de paiement.

La délivrance de cet agrément est notamment conditionnée à des règles de gouvernance, à la structure financière, à la mise en place d’un dispositif de contrôle interne et à des mesures de vigilance en matière de lutte contre le blanchiment et le financement du terrorisme. Pour autant, aucune autorité ne veille à la sécurité informatique garantie et mise en œuvre par ces plateformes.

A fortiori, l’AMF et l’ACPR ont confirmé, lors de nos échanges téléphoniques, qu’elles étaient incompétentes en pareille situation car le piratage subi par la plateforme est d’ordre informatique.

Seules les dispositions relatives au piratage informatique prévues aux articles 323-1 à 323-7 du Code pénal sont applicables.

Il incombe dès lors à la victime de porter plainte auprès d’une autorité judiciaire en joignant l’ensemble des éléments susceptibles d’étayer les pertes subies et de faire apparaître un faisceau d’indices : montant investi, preuves de virement, captures d’écran, etc.

En parallèle, la victime peut simplement suivre la procédure de réclamation prévue par la plateforme.


B. Préconisation en matière régulatoire : création de fonds de garantie des dépôts

Dans le cas du hack de Binance, aucun client n’a souffert des conséquences du vol. Leurs fonds dérobés ont été couverts par le fonds SAFU (Secure Asset Fund for Users) de la plateforme.

Ce fonds, créé en juillet 2018, est alimenté et géré par Binance. Cette plateforme d’envergure [11] a pris d’elle-même les mesures nécessaires pour assurer les capitaux de ses clients, en dépit des moyens de sécurité informatique mis en place.

Ce fonds de secours n’est toutefois pas la norme. Dans de nombreux autres cas similaires, les détenteurs de cryptomonnaies n’ont pu en bénéficier ; en témoigne l’affaire MtGox [12]. Engager la responsabilité de la plateforme sur le terrain contractuel fut alors la seule issue.

Au regard de ces expériences, il conviendrait, a minima, que les régulateurs engagent les plateformes de change à conserver la totalité des cryptomonnaies appartenant à leurs clients sur des hardware wallets.  

Il serait également pertinent d’imposer un système de couverture, sur le modèle des dépôts bancaires couverts par le fonds de garantie des dépôts [13].

Chaque plateforme aurait ainsi l’obligation d’auto-assurer une partie des dépôts de leurs clients. Ce système d’autoprotection présente un double avantage :

D’abord, celui d’assurer la pérennité de la plateforme, qui aurait simplement à prélever le montant de la somme dérobée dans son fonds de garantie ; le risque de faillite de la structure en serait d’autant limité ;

Ensuite, celui de rembourser les déposants en cas d’une défaillance des systèmes de sécurité, ce qui constitue un gage de confiance et de sécurité pour les clients.

En conclusion, le client victime d’un vol bénéficie de plusieurs leviers de protection.

  • Engager la responsabilité contractuelle de la plateforme apparaît la voie de recours la plus pertinente.
  • Il peut également en parallèle, comme le recommande l’AMF, porter plainte auprès des autorités judiciaires de son pays.
  • Enfin, et cela est l’option la plus enviable, si la plateforme en dispose, il peut bénéficier du fonds de garantie des dépôts en suivant simplement la procédure de réclamation mise en place.

Il est nécessaire de rappeler qu’en matière de sécurité le risque zéro n’existe pas.
Il est conseillé à un détenteur de crypto-actifs de choisir sa plateforme de trading avec soin, notamment en fonction de sa réputation.

S’il détient un capital important, il est pertinent de répartir les sommes sur plusieurs plateformes, dans le but de limiter le risque de perte. Un investisseur long terme, qui ne souhaite pas trader de manière régulière, a tout intérêt à sécuriser ses cryptomonnaies sur un cold wallet.

Par Lory Feuvrier, “Hacking des plateformes de change en cryptomonnaies – Quelle(s) protection(s) pour les clients ?”, Brève DL4T n°02/2019, 6 juin 2019. 

À propos de Lory Feuvrier

Lory Feuvrier

Lory Feuvrier est consultante juridique spécialisée dans les projets utilisant les crypto-actifs et protocoles blockchain depuis 2017.

Diplômée d'un Master I en Droit des Affaires obtenu au sein de l'université Toulouse I Capitole. Elle a poursuivi ses études avec un Master II spécialisé en Droit Bancaire et Financier auprès de la faculté de droit de Nice Sophia Antipolis.

En parallèle de ses études, Lory s'est intéressée et spécialisée dans ces nouvelles formes d'actifs numériques en travaillant pour les entités Journal du Coin, BitConseil et DL4T.

Vous pouvez bénéficier d'une consultation juridique offerte afin d'évaluer et clarifier les besoins de votre projet blockchain en cliquant ici.