Le 18 juin 2026, cinq agences fédérales américaines — FinCEN, l'OCC, la Réserve fédérale, la FDIC et la NCUA — ont publié conjointement un avis de proposition de réglementation qui réécrit les règles de conformité pour tous les émetteurs de stablecoins opérant aux États-Unis. La proposition a été enregistrée au Federal Register le 22 juin sous le numéro de dossier 2026-12460. La période de commentaires se clôt le 21 août 2026.

La règle n'est pas une clarification technique. C'est un changement structurel : pour la première fois, les Émetteurs de Stablecoins de Paiement Autorisés (PPSIs) seraient classés comme institutions financières en vertu du Bank Secrecy Act et tenus d'exploiter des Programmes d'Identification des Clients (CIP) équivalents dans leur substance à ceux maintenus par les banques commerciales.

Si vous émettez, rachetez, convertissez ou assurez la garde d'un stablecoin de paiement aux États-Unis, cette proposition concerne directement votre infrastructure d'onboarding.

Ce que le GENIUS Act a Réellement Accompli

Le Guiding and Establishing National Innovation for US Stablecoins Act, promulgué en 2026, a établi le premier cadre fédéral de licences pour les stablecoins de paiement. Parmi ses dispositions, la loi a chargé les régulateurs bancaires fédéraux et FinCEN de traiter les PPSIs comme des institutions financières en vertu du Bank Secrecy Act.

Cette désignation a des conséquences concrètes : elle implique des exigences de programme LCB, des obligations de signalement d'activités suspectes et — via la proposition CIP NPR — une identification obligatoire du client avant l'ouverture de compte. Une réglementation parallèle publiée en avril 2026 a traité les exigences de programme LCB/FT et de conformité aux sanctions.

Ensemble, les deux règles amènent les émetteurs de stablecoins au même niveau de conformité de base que les banques avec lesquelles ils coexistent.

Les Quatre Piliers de la Règle CIP Proposée

Les exigences du Programme d'Identification des Clients proposé pour les PPSIs s'articulent autour de quatre obligations opérationnelles que chaque équipe conformité d'un émetteur de stablecoins doit cartographier face à son flux d'onboarding actuel.

1. Politique CIP Écrite et Basée sur le Risque

Les émetteurs doivent maintenir un CIP écrit intégré dans leur programme LCB/FT plus large. La politique doit être fondée sur le risque : les clients à risque plus élevé nécessitent des procédures de vérification plus intensives ; les clients à risque standard peuvent être traités avec une vérification allégée, mais dans des limites définies. La politique écrite doit être révisée et mise à jour au fur et à mesure que les profils de risque évoluent.

Il s'agit d'une exigence opérationnelle significative pour les émetteurs qui s'appuient actuellement sur des processus d'onboarding informels ou des flux gérés par des tiers sans documentation de politique interne.

2. Collecte de Données Obligatoire Avant l'Ouverture de Compte

Avant d'ouvrir un compte, les émetteurs doivent collecter :

Élément de données	Obligatoire
Nom légal complet	Oui
Date de naissance	Oui
Adresse (résidentielle ou professionnelle)	Oui
Numéro d'identification délivré par le gouvernement	Oui

Pour les personnes américaines, le numéro d'identification gouvernemental est un numéro d'identification fiscale (SSN, ITIN ou EIN). Pour les personnes non américaines, les agences proposent d'accepter un numéro de passeport ou un document officiel étranger équivalent, accompagné du pays d'émission.

Cette exigence de collecte s'applique à l'ouverture du compte. La règle proposée ne permet pas de différer la collecte jusqu'à ce que le client ait initié des transactions.

3. Vérification d'Identité dans un Délai Raisonnable

Collecter des données ne suffit pas. Les émetteurs doivent vérifier que le client est bien qui il prétend être. La règle proposée adopte le standard du « délai raisonnable » utilisé dans les règles CIP bancaires : la vérification doit avoir lieu avant ou peu après l'ouverture de compte.

Les méthodes de vérification acceptables comprennent la vérification documentaire (contrôle des documents d'identité), la vérification non documentaire (requêtes de bases de données, agences de crédit, registres publics) ou une combinaison des deux. Pour les émetteurs numériques opérant sans agences physiques, la vérification non documentaire — consultation de sources gouvernementales faisant autorité, vérification biométrique ou détection de vivacité — est le standard pratique attendu.

Les agences ont explicitement reconnu que les émetteurs de stablecoins opèrent différemment des banques de détail et que les méthodes de vérification à distance et automatisées seront la norme.

4. Conservation des Dossiers, Vérification sur Listes Gouvernementales et Avis au Client

Au-delà de la collecte et de la vérification, la règle proposée exige :

Conservation des dossiers : Les dossiers CIP doivent être conservés pendant cinq ans après la clôture du compte.
Vérification sur listes gouvernementales : Les clients doivent être vérifiés contre les listes désignées à des fins CIP, ce qui en pratique inclut au minimum les listes de sanctions de l'OFAC.
Avis au client : Les émetteurs doivent informer les clients que leurs informations d'identité seront collectées et vérifiées à des fins CIP.
Délégation : Les émetteurs peuvent s'appuyer sur d'autres institutions financières réglementées au niveau fédéral pour effectuer des fonctions CIP, à condition qu'un accord formel de délégation soit en place.

La disposition de délégation est opérationnellement importante pour les émetteurs qui distribuent par l'intermédiaire d'intermédiaires réglementés ou de prestataires de conservation. Lorsque l'intermédiaire effectue le CIP, l'émetteur peut s'appuyer sur ce travail — mais l'accord doit être documenté et l'émetteur conserve la responsabilité ultime en cas de défaillance de l'intermédiaire.

L'Exclusion du Marché Secondaire

L'une des décisions de périmètre les plus significatives de la règle proposée est ce qu'elle ne couvre pas : l'activité sur le marché secondaire.

La proposition limite explicitement les obligations CIP aux relations de marché primaire — les cas où le PPSI a une relation directe avec un client via l'émission, le rachat, la conversion, le rachat, le brûlage, la réémission ou la fourniture de services de conservation. La simple détention ou le contrôle d'un stablecoin dans une transaction de marché secondaire ne crée pas, en soi, une relation de compte déclenchant les exigences CIP.

De manière cruciale, les agences ont également proposé que les interactions avec des contrats intelligents sur les marchés secondaires — même lorsque le stablecoin de l'émetteur est l'actif sous-jacent — ne déclenchent pas d'obligations CIP.

Il s'agit d'un allègement significatif pour l'activité sur les exchanges décentralisés. Un émetteur n'a pas besoin d'appliquer le KYC à chaque portefeuille qui détient ou négocie son stablecoin sur une plateforme secondaire. L'obligation ne s'applique que là où il existe une relation client directe et intentionnelle.

Cependant, les équipes conformité doivent lire ceci attentivement. Là où un émetteur exploite des services de conservation, des portails mint/redeem ou une distribution directe au consommateur — même via un tiers — ces relations constituent une activité de marché primaire et entrent dans le périmètre.

Pourquoi le Calendrier Compte

La proposition a été publiée le 22 juin 2026. Les commentaires se clôturent le 21 août 2026. Les agences ont proposé que toute règle définitive entre en vigueur douze mois après sa publication — ce qui place l'échéance de conformité réaliste au début ou au milieu de 2027.

Cette marge de douze mois est moins généreuse qu'elle n'y paraît. Construire un CIP conforme from scratch — politique documentée, systèmes de vérification intégrés, vérification OFAC, infrastructure de conservation des dossiers — nécessite six à neuf mois minimum pour un émetteur de taille moyenne. Les organisations qui ne commencent qu'après la publication de la règle définitive seront sous pression.

La période de commentaires n'est pas non plus un délai. La règle proposée reflète des mois de coordination interagences suite à l'adoption du GENIUS Act. La période de commentaires existe pour affiner les paramètres techniques, pas pour reconsidérer l'exigence fondamentale.

Ce que Cela Signifie pour le Paysage KYC Crypto

La règle CIP du GENIUS Act arrive à un moment où le paysage de conformité crypto au sens large s'est déjà considérablement durci. La Travel Rule MiCA est entrée pleinement en vigueur pour les CASPs enregistrés dans l'UE plus tôt cette année, exigeant des données d'identité vérifiées pour chaque transfert crypto sans seuil minimum. Les amendements aux MLR britanniques ont étendu les règles de relations correspondantes pour les entreprises crypto avec effet au 30 juin. Pour une vision plus large de la façon dont ces obligations s'articulent, notre rapport État du KYC dans la Crypto 2026 couvre l'ensemble du paysage.

La règle américaine ajoute une nouvelle dimension : pour la première fois, le plus grand marché de stablecoins au monde dispose d'un mandat KYC domestique au niveau de l'émetteur. Auparavant, les émetteurs de stablecoins aux États-Unis opéraient sous un patchwork de licences étatiques de transmission de fonds avec des exigences de vérification d'identité incohérentes. Le GENIUS Act et la règle CIP proposée créent un plancher fédéral qui remplace ce patchwork par un standard uniforme.

Les émetteurs qui ont construit des onboardings légers au fil des années antérieures — collecte minimale de données, aucune politique de vérification formelle — portent désormais un écart de conformité rétroactif. Une exigence CIP impose généralement la re-vérification des titulaires de comptes existants qui ne satisfont pas au nouveau standard. Le coût opérationnel de la remédiation d'une base clients qui n'a jamais été correctement soumise au KYC est bien plus élevé que de le construire correctement dès le départ.

Le Risque de Fraude qui Motive la Réglementation

La logique réglementaire derrière la règle CIP n'est pas purement bureaucratique. Le Centre des Services Financiers de Deloitte projette que les pertes liées à la fraude alimentée par l'IA aux États-Unis atteindront 40 milliards de dollars annuellement d'ici 2027, contre 12,3 milliards en 2023. Les banques signalent désormais environ 1 tentative de vérification sur 20 comme potentiellement frauduleuse. La proportion de tentatives de fraude impliquant des identités synthétiques générées par IA — documents générés par IA, clones vocaux, vidéos deepfake — a dépassé 50 %.

Les émetteurs de stablecoins, qui ont historiquement opéré avec des contrôles d'identité plus faibles que les banques, ont été une cible prévisible. Sans CIP obligatoire, un fraudeur peut acquérir des stablecoins auprès d'un émetteur primaire en utilisant une identité synthétique, les convertir en d'autres actifs, et sortir du périmètre réglementé avant d'être détecté. La règle proposée ferme cette brèche.

L'environnement de fraude signifie également que la conformité CIP n'est pas qu'une question de forme réglementaire — c'est une question d'efficacité de détection. Un processus formellement conforme qui collecte un nom et une identification gouvernementale mais ne vérifie pas l'authenticité du document, ne contrôle pas la vivacité biométrique ni ne filtre par médias adverses offre une couverture légale mais une protection minimale contre la fraude. Pour une analyse détaillée de ce qui se passe lorsque les systèmes de vérification échouent, notre article sur la fraude d'identité synthétique et la réponse KYC couvre les mécanismes en profondeur.

Les Exigences Techniques pour la Conformité

Satisfaire à la règle CIP proposée nécessite une infrastructure d'identité avec des capacités spécifiques que de nombreux émetteurs de stablecoins ne possèdent pas actuellement.

Vérification de documents : L'émetteur doit être capable d'authentifier les documents d'identité délivrés par le gouvernement. Cela nécessite l'accès à des bases de données de documents, une analyse d'images forensique et la capacité de détecter les documents générés ou manipulés par IA.

Détection de vivacité biométrique : Pour la vérification à distance, la correspondance biométrique avec un selfie ou une vidéo, combinée à la détection de vivacité qui exclut les attaques par rejeu ou deepfake, est la méthode pratique pour relier un document au client qui le présente.

Vérification OFAC : La vérification en temps réel ou quasi réel contre la liste des Ressortissants Spécialement Désignés de l'OFAC, ainsi que d'autres listes gouvernementales désignées, est requise à l'onboarding et de façon continue.

Gestion automatisée des cas : Le volume d'onboarding pour un émetteur de stablecoins à adoption massive rend la révision humaine de chaque cas non viable opérationnellement. Le KYC agentique — systèmes IA qui automatisent la vérification, la notation du risque et le routage des cas — est de plus en plus la façon dont les émetteurs conformes gèrent l'échelle sans augmenter proportionnellement les effectifs.

La Période de Commentaires et Ce qu'il Faut Observer

La période de commentaires se clôture le 21 août 2026. Plusieurs questions ouvertes dans la règle proposée devraient attirer des commentaires significatifs :

Délai de vérification : Le standard du "délai raisonnable" pour la vérification post-ouverture est une source d'ambiguïté depuis des décennies dans les règles CIP bancaires.
Personnes non américaines : La règle proposée exige un numéro de passeport ou équivalent pour les personnes physiques non américaines. Pour les clients institutionnels de juridictions aux normes de documentation différentes, l'application pratique reste floue.
Bénéficiaires effectifs : La règle proposée n'impose pas d'exigences de propriété effective pour les clients personnes morales au-delà de ce qu'exigent les réglementations existantes.
Interopérabilité avec les régimes étatiques : Les émetteurs déjà soumis aux exigences CIP étatiques ont demandé des clarifications sur quand la conformité CIP fédérale satisfait aux exigences étatiques.

Foire aux Questions

La règle CIP du GENIUS Act s'applique-t-elle à tous les émetteurs de stablecoins ?

Non. Elle s'applique aux Émetteurs de Stablecoins de Paiement Autorisés — entités détenant une licence ou approbation fédérale en vertu du cadre GENIUS Act pour émettre des stablecoins de paiement. Les émetteurs opérant sous des régimes étatiques ne sont pas directement couverts par cette règle spécifique.

Quand la règle définitive entrera-t-elle en vigueur ?

Les commentaires se clôturent le 21 août 2026. La proposition prévoit une période de mise en œuvre de douze mois après la publication de la règle définitive, de sorte que la date d'entrée en vigueur probable se situe au milieu ou à la fin de 2027.

La règle couvre-t-elle les protocoles de stablecoins décentralisés ?

La règle a pour périmètre les entités agissant en tant que PPSIs en vertu du GENIUS Act. Les protocoles purement décentralisés sans entité émettrice identifiable ne sont pas clairement couverts. Cependant, toute entité effectuant des fonctions d'émission, de rachat ou de conservation peut être traitée par les régulateurs comme un PPSI fonctionnel.

Qu'advient-il de l'activité sur le marché secondaire ?

Le trading sur le marché secondaire est explicitement exclu du périmètre CIP proposé. La règle s'applique là où l'émetteur a une relation directe avec le titulaire de compte, pas là où le token de l'émetteur change de mains dans une transaction secondaire.

Un émetteur peut-il s'appuyer sur un prestataire KYC tiers pour la conformité CIP ?

Oui. La règle proposée inclut une disposition de délégation : les émetteurs peuvent s'appuyer sur d'autres institutions financières réglementées au niveau fédéral pour effectuer des fonctions CIP, à condition qu'un accord écrit soit en place. L'émetteur conserve la responsabilité ultime de la conformité CIP, même en s'appuyant sur un tiers.

Quelles données la règle exige-t-elle de collecter ?

Pour les clients personnes physiques : nom légal complet, date de naissance, adresse résidentielle et numéro d'identification délivré par le gouvernement. Pour les clients personnes morales : nom de l'entité, adresse du siège social principal et numéro d'identification fiscale ou équivalent.

Emily Carter