Travel Rule : Guide de Mise en Conformité pour les PSAN
Introduction
Tracer chaque transfert crypto, une obligation européenne désormais incontournable pour les PSAN.
La Travel Rule impose aux prestataires crypto de partager les informations sur les expéditeurs et bénéficiaires lors des transferts d'actifs numériques. Issue des recommandations du GAFI, elle est désormais obligatoire en France et renforcée par le règlement européen TFR. Ce guide pratique détaille les exigences et les solutions pour se conformer à cette obligation complexe.
Ce que vous allez apprendre :
- Les origines et le cadre légal de la Travel Rule
- Les seuils et informations à transmettre
- Les défis techniques spécifiques à la blockchain
- Les solutions et protocoles disponibles
- La mise en conformité pratique pour les PSAN
Sommaire
- Comprendre la Travel Rule
- Cadre réglementaire européen (TFR)
- Informations à collecter et transmettre
- Seuils et champs d'application
- Défis techniques spécifiques
- Solutions et protocoles
- Wallets non-custodial (unhosted)
- Mise en conformité pratique
- Sanctions et contrôles
- FAQ
1. Comprendre la Travel Rule
Des virements bancaires aux crypto-actifs, l'évolution d'une norme anti-blanchiment mondiale.
Origines : la recommandation 16 du GAFI
La Travel Rule trouve son origine dans la recommandation 16 du GAFI (Groupe d'Action Financière) :
« Les pays devraient s'assurer que les institutions financières incluent les informations requises et exactes sur le donneur d'ordre et le bénéficiaire lors des virements électroniques. » — GAFI, Recommandation 16
Historique :
| Date | Événement |
|---|---|
| 1996 | Création de la Travel Rule pour les virements bancaires |
| 2019 | Extension aux actifs virtuels par le GAFI |
| 2023 | Adoption du règlement TFR en Europe |
| 2024 | Entrée en vigueur du TFR |
| 2025 | Application complète avec contrôles renforcés |
Objectif : traçabilité des flux
Finalités de la Travel Rule :
- Lutte contre le blanchiment : identifier l'origine des fonds
- Lutte contre le financement du terrorisme : tracer les flux suspects
- Sanctions internationales : détecter les personnes sanctionnées
- Transparence : créer une piste d'audit
Spécificité crypto
Le défi unique de la Travel Rule appliquée aux crypto-actifs :
| Finance traditionnelle | Crypto-actifs |
|---|---|
| Réseau interbancaire (SWIFT) | Multiples blockchains |
| Identification des banques | Identification des VASP |
| Infrastructure centralisée | Infrastructure décentralisée |
| Standards établis | Protocoles en développement |
2. Cadre réglementaire européen (TFR)
Le TFR harmonise les obligations de traçabilité pour tous les CASP européens.
Le règlement TFR
Le règlement (UE) 2023/1113 sur les informations accompagnant les transferts de fonds (TFR - Transfer of Funds Regulation) étend la Travel Rule aux crypto-actifs :
« Le présent règlement établit des règles relatives aux informations sur les donneurs d'ordre et les bénéficiaires qui accompagnent les transferts de fonds et de crypto-actifs. » — Article 1, Règlement TFR
Champ d'application
Entités concernées :
- Prestataires de services sur crypto-actifs (CASP/PSAN)
- Établissements de crédit fournissant des services crypto
- Établissements de paiement
- Établissements de monnaie électronique
Transferts couverts :
- Transferts entre deux PSAN/CASP
- Transferts PSAN → wallet unhosted (avec conditions)
- Transferts wallet unhosted → PSAN (avec conditions)
- Transferts internes au sein du même PSAN
Articulation avec MiCA
┌─────────────────────────────────────────────────────────────┐
│ RÉGLEMENTATION CRYPTO UE │
│ │
│ ┌─────────────────────┐ ┌─────────────────────┐ │
│ │ MiCA │ │ TFR │ │
│ │ │ │ │ │
│ │ • Agrément CASP │ │ • Travel Rule │ │
│ │ • Gouvernance │ │ • Infos transferts │ │
│ │ • Protection client│ │ • Seuils │ │
│ │ • White papers │ │ • Wallets unhosted │ │
│ └─────────────────────┘ └─────────────────────┘ │
│ │ │ │
│ └────────────┬────────────┘ │
│ │ │
│ ▼ │
│ ┌─────────────────────────┐ │
│ │ CASP / PSAN conforme │ │
│ └─────────────────────────┘ │
└─────────────────────────────────────────────────────────────┘
3. Informations à collecter et transmettre
Nom, adresse, wallet : collectez et transmettez les données pour chaque transfert.
Informations sur le donneur d'ordre (originator)
Données obligatoires :
| Information | Personne physique | Personne morale |
|---|---|---|
| Nom | Prénom et nom | Dénomination sociale |
| Adresse | Adresse complète | Siège social |
| Numéro de compte | Adresse wallet / identifiant | Idem |
| Vérification | Document d'identité | Kbis, statuts |
| Numéro d'identification | Optionnel (date/lieu naissance) | SIREN/LEI |
Informations sur le bénéficiaire
Données obligatoires :
| Information | Exigence |
|---|---|
| Nom | Nom complet (PP) ou dénomination (PM) |
| Adresse wallet / identifiant | Obligatoire |
| Adresse | Si aucun numéro d'identification |
| Numéro d'identification | Alternative à l'adresse |
Format des données
Standards de formatage :
{
"originator": {
"name": "Jean Dupont",
"accountNumber": "0x1234...5678",
"address": {
"street": "12 rue de la Paix",
"city": "Paris",
"postalCode": "75002",
"country": "FR"
},
"dateOfBirth": "1985-03-15",
"placeOfBirth": "Lyon, France"
},
"beneficiary": {
"name": "Marie Martin",
"accountNumber": "0xabcd...ef01"
},
"transfer": {
"amount": "1.5",
"asset": "ETH",
"timestamp": "2025-01-15T10:30:00Z",
"txHash": "0x7890...1234"
}
}
4. Seuils et champs d'application
Zéro seuil : contrairement au fiat, tous les transferts crypto sont concernés.
Absence de seuil pour les crypto-actifs
Différence majeure avec les virements fiat :
| Type de transfert | Seuil Travel Rule |
|---|---|
| Virement bancaire classique | 1 000 € |
| Transfert crypto (TFR) | Aucun seuil |
⚠️ Point critique : Contrairement aux virements traditionnels, TOUS les transferts de crypto-actifs sont soumis à la Travel Rule, quel que soit le montant.
Exceptions et cas particuliers
Transferts exemptés :
- Cartes/instruments prépayés : si conditions strictes remplies
- Transferts internes : entre comptes du même client chez le même PSAN
- Conversion sans transfert : achat/vente sans mouvement on-chain
Seuil pour les wallets unhosted
Régime spécifique au-delà de 1 000 € :
Pour les transferts vers/depuis des wallets non hébergés (unhosted) :
- En dessous de 1 000 € : informations collectées mais non vérifiées systématiquement
- Au-dessus de 1 000 € : vérification de la propriété du wallet obligatoire
5. Défis techniques spécifiques
Identifier le PSAN destinataire avant le transfert blockchain, un défi majeur.
Le problème de l'identification des contreparties
Défi fondamental : Comment identifier le PSAN de destination avant d'effectuer le transfert blockchain ?
PSAN A (expéditeur) PSAN B (destinataire)
│ │
│ 1. Client demande envoi │
│ vers 0xABCD... │
│ │
│ 2. Qui contrôle 0xABCD... ? │
│ └──▶ INCONNU │
│ │
│ 3. Comment envoyer les infos │
│ Travel Rule ? │
│ └──▶ INCONNU │
│ │
▼ ▼
Transaction blockchain effectuée
│
└──▶ Trop tard pour la Travel Rule !
Solutions au problème d'identification
Approches développées :
- VASP Discovery : protocoles pour identifier le PSAN contrôlant une adresse
- Address Ownership Proof : preuves de contrôle des adresses
- Messaging Layer : couche de communication inter-PSAN
- Registres centralisés : bases de données d'adresses connues
Interopérabilité des protocoles
Fragmentation actuelle : Plusieurs protocoles Travel Rule coexistent sans interopérabilité parfaite :
| Protocole | Adoption | Régions | Interopérabilité |
|---|---|---|---|
| TRISA | Moyenne | US, Global | Via bridges |
| OpenVASP | Moyenne | Europe | Standard ouvert |
| Sygna | Moyenne | Asie | Propriétaire |
| Notabene | Élevée | Global | Multi-protocole |
| TRP (21 Analytics) | Moyenne | Europe | Standard ouvert |
6. Solutions et protocoles
TRISA, OpenVASP, Notabene : choisissez la solution adaptée à votre infrastructure.
Protocole TRISA (Travel Rule Information Sharing Alliance)
Caractéristiques :
- Open source
- Basé sur des certificats PKI
- Réseau décentralisé de nœuds
- Governance par consortium
Fonctionnement :
┌─────────────┐ ┌─────────────┐
│ PSAN A │ │ PSAN B │
│ │ │ │
│ 1. Lookup │──────────────────────▶│ │
│ TRISA │ │ │
│ │◀──────────────────────│ 2. Réponse │
│ │ (identité PSAN B) │ │
│ │ │ │
│ 3. Envoi │──────────────────────▶│ │
│ infos │ (données Travel │ │
│ Travel │ Rule chiffrées) │ │
│ Rule │ │ │
│ │◀──────────────────────│ 4. ACK │
│ │ │ │
│ 5. Transaction blockchain │ │
└─────────────┘ └─────────────┘
Protocole OpenVASP
Caractéristiques :
- Standard ouvert européen
- Basé sur Ethereum (initialement)
- Gouvernance par fondation suisse
- Interopérable avec d'autres protocoles
Solutions commerciales
Notabene :
- Leader du marché
- Interface unifiée multi-protocoles
- Intégration API simple
- Compliance dashboard
Chainalysis / TRM Labs :
- Intégration Travel Rule dans leurs suites
- Analytics + Compliance
- Détection des wallets unhosted
21 Analytics (TRP) :
- Solution européenne
- Focus réglementaire UE
- Open source (protocole TRP)
Tableau comparatif des solutions
| Solution | Type | Prix estimé | Points forts |
|---|---|---|---|
| Notabene | SaaS commercial | $$$ | Complet, multi-protocole |
| TRISA | Open source | $ (infra) | Décentralisé, gratuit |
| Sygna | SaaS commercial | $$ | Fort en Asie |
| 21 Analytics | Commercial + open | $$ | Focus Europe |
| Chainalysis | Suite intégrée | $$$$ | Analytics inclus |
7. Wallets non-custodial (unhosted)
Au-delà de mille euros, vérifiez la propriété du wallet unhosted.
Définition et enjeux
Wallet unhosted : Un wallet dont l'utilisateur contrôle directement les clés privées, sans intermédiaire (ex: MetaMask, Ledger, wallet papier).
Problématique réglementaire :
- Pas de PSAN contrepartie identifiable
- Risque d'utilisation pour contourner la Travel Rule
- Équilibre entre vie privée et traçabilité
Exigences TFR pour les wallets unhosted
Transferts > 1 000 € vers/depuis un wallet unhosted :
- Collecte des informations : nom, adresse du propriétaire du wallet
- Vérification de propriété : prouver que le client contrôle l'adresse
- Évaluation du risque : vigilance renforcée si nécessaire
- Documentation : conservation des preuves
Méthodes de vérification de propriété
Techniques acceptées :
| Méthode | Description | Fiabilité |
|---|---|---|
| Signature cryptographique | Message signé avec la clé privée | Élevée |
| Micro-transaction | Envoi d'un montant spécifique | Moyenne |
| Screenshot | Capture d'écran du wallet | Faible |
| Vidéo | Enregistrement de la transaction | Moyenne |
| Satoshi test | Micro-montant spécifique | Moyenne |
Signature cryptographique (recommandée) :
Message type :
"Je, [Nom], confirme être le propriétaire de l'adresse
0x1234...5678 pour [Nom PSAN] le [Date]."
Signature :
0x7890abcd...ef12
Vérification :
ecrecover(message, signature) == 0x1234...5678 ✓
Limites et risques
Failles potentielles :
- Le wallet peut être contrôlé par un tiers (prête-nom)
- Signatures réutilisées entre PSAN
- Wallets multi-sig avec bénéficiaires multiples
- Smart contracts complexes
8. Mise en conformité pratique
Trois à six mois pour intégrer la Travel Rule dans vos processus opérationnels.
Plan de mise en conformité
Phase 1 : Évaluation (1-2 mois)
- Cartographie des flux de transfert
- Identification des gaps actuels
- Choix de la solution technique
- Budgétisation
Phase 2 : Implémentation (2-4 mois)
- Intégration de la solution Travel Rule
- Développement des processus internes
- Formation des équipes
- Tests en environnement de préproduction
Phase 3 : Déploiement (1-2 mois)
- Mise en production progressive
- Monitoring des taux de matching
- Ajustements
- Documentation
Checklist de conformité
Processus :
- Procédure de collecte des informations originator
- Procédure de collecte des informations bénéficiaire
- Processus de transmission inter-PSAN
- Processus de réception et vérification
- Gestion des échecs de transmission
- Gestion des wallets unhosted
- Vérification de propriété (wallets unhosted > 1 000 €)
Technique :
- Solution Travel Rule intégrée
- API fonctionnelle avec les protocoles
- Logs et pistes d'audit
- Chiffrement des données en transit
- Stockage sécurisé des données
Organisationnel :
- Responsable Travel Rule désigné
- Équipe formée
- Procédures documentées
- Indicateurs de suivi définis
- Reporting aux autorités préparé
Indicateurs de suivi
KPIs Travel Rule :
| Indicateur | Cible | Description |
|---|---|---|
| Taux de matching | > 90% | Transferts avec infos complètes |
| Délai de transmission | < 24h | Temps entre demande et envoi |
| Taux d'échec | < 5% | Transferts sans réponse contrepartie |
| Vérifications unhosted | 100% | Wallets > 1 000 € vérifiés |
9. Sanctions et contrôles
Jusqu'à 5 millions d'euros d'amende ou retrait d'agrément en cas de manquement.
Régime de sanctions
Sanctions possibles en France :
| Infraction | Sanction |
|---|---|
| Non-conformité Travel Rule | Amende jusqu'à 5 M€ ou 10% CA |
| Transfert sans informations | Blocage possible par l'autorité |
| Absence de procédures | Avertissement, mise en demeure |
| Récidive | Retrait d'enregistrement |
Contrôles AMF/ACPR
Modalités de contrôle :
- Contrôles sur pièces (demande de documentation)
- Contrôles sur place (inspection)
- Tests de transactions (mystery shopping)
- Analyse des rapports d'activité
Points de contrôle typiques :
- Existence des procédures
- Application effective
- Taux de conformité des transferts
- Gestion des exceptions
- Formation du personnel
Jurisprudence émergente
⚠️ À surveiller : Les premières sanctions pour non-conformité Travel Rule commencent à tomber dans d'autres juridictions (Singapour, Corée du Sud). L'Europe devrait suivre.
10. FAQ
Questions générales
Q : La Travel Rule s'applique-t-elle aux transferts entre mes propres wallets ?
R : Si les deux wallets sont chez le même PSAN et appartiennent au même client, la Travel Rule ne s'applique pas (transfert interne). Si un des wallets est externe (autre PSAN ou unhosted), elle s'applique.
Q : Que faire si le PSAN destinataire ne supporte pas la Travel Rule ?
R : Vous devez quand même collecter les informations et tenter de les transmettre. En cas d'échec répété, une évaluation de risque renforcée s'impose, et vous pourriez devoir refuser le transfert.
Q : La Travel Rule s'applique-t-elle aux NFTs ?
R : Les NFTs qui constituent des crypto-actifs au sens de MiCA sont couverts. Les NFTs purement artistiques sans fonction de paiement pourraient être exclus, mais l'analyse est au cas par cas.
Questions techniques
Q : Comment identifier le PSAN de destination d'une adresse ?
R : Via les protocoles Travel Rule (TRISA, OpenVASP, etc.) qui permettent la "VASP discovery". Certaines solutions maintiennent aussi des bases de données d'adresses connues.
Q : Les transferts vers des DEX sont-ils couverts ?
R : Les DEX sans gardien (truly decentralized) ne sont pas des PSAN. Le transfert vers un smart contract DEX est traité comme un transfert vers wallet unhosted avec les vérifications associées.
Questions pratiques
Q : Quel budget pour la mise en conformité ?
R : Les solutions SaaS coûtent généralement entre 1 000 et 10 000 €/mois selon le volume. L'intégration technique représente 20-50 k€. Le total première année est de 50-150 k€ pour un PSAN moyen.
Q : Combien de temps faut-il pour se mettre en conformité ?
R : Entre 3 et 6 mois selon la complexité de votre infrastructure et le niveau de préparation existant.
Conclusion
La Travel Rule est désormais une obligation incontournable pour tout PSAN opérant en Europe. Malgré les défis techniques liés à la nature décentralisée des blockchains, des solutions existent et se standardisent progressivement.
Points clés à retenir :
- Obligation absolue : tous les transferts sont couverts (pas de seuil)
- Informations étendues : originator + bénéficiaire à chaque transfert
- Wallets unhosted : vérification de propriété > 1 000 €
- Solutions matures : Notabene, TRISA, OpenVASP et autres
- Interopérabilité : encore imparfaite, en amélioration
- Sanctions réelles : contrôles et amendes possibles
Recommandations pour les PSAN :
✅ Choisir une solution Travel Rule dès maintenant ✅ Intégrer la Travel Rule dans les processus existants ✅ Former les équipes opérationnelles ✅ Monitorer les taux de conformité ✅ Anticiper les évolutions réglementaires ✅ Participer aux groupes de travail sectoriels
La Travel Rule n'est pas qu'une contrainte réglementaire : elle contribue à la légitimation du secteur crypto et à la construction d'un écosystème de confiance.
Article mis à jour en décembre 2025. Les informations présentées sont à caractère éducatif et ne constituent pas un conseil juridique. Consultez un professionnel qualifié pour votre situation spécifique.