DeFi : une organisation décentralisée engage-t-elle sa responsabilité devant la justice ?
Est-il possible d'engager la responsabilité d'une organisation décentralisée (notamment dans le secteur DeFi) devant la justice ? Éléments de réponse.
La finance décentralisée (Decentralized Finance, abrégée en DeFi) est, ces derniers temps, devenue un incontournable des applications liées aux cryptomonnaies. Pour rappel, la DeFi permet la transmission d'une valeur entre particuliers, sans intermédiaire quelconque (ou presque). Par intermédiaire, on entend bien entendu les banques, mais aussi, et c'est la nouveauté, les plateformes d'échanges. Cette transmission va beaucoup plus loin que la simple transmission de valeurs. En effet, une personne A peut prêter ses crypto-actifs à une personne B, la personne A se rémunérant grâce aux intérêts perçus. Aussi grâce à l'absence d'intermédiaire, les protocoles étant mathématiques, il n'est pas possible qu'un prêt vous soit refusé. Tout le monde peut également créer ses propres services financiers en prêtant ses crypto-monnaies.
? Découvrir la finance décentralisée
La DeFi est rendue possible par la blockchain Ethereum et sa cryptomonnaie ETH (ainsi que bien d'autres crypto-monnaies) à travers l'exécution de smart contracts. C'est donc une grande avancée pour rendre les cryptos attractives aux yeux du grand public. Néanmoins, tout n'est pas toujours rose. En effet, certains tenants et aboutissants de la DeFi ne sont des plus honnêtes et de nombreuses arnaques ont été recensées. Lorsque B ne rembourse pas A, que se passe-t-il ? Des sanctions existent-elles ? Que se passe-t-il lorsqu'un protocole fait défaut et qu'il est hacké ? Surtout, une organisation décentralisée, donc sans statut juridique, siège social et dirigeant, peut-elle être tenue comme responsable devant la justice ? Cet article tente d'apporter certains éléments de réponse.
En préambule, marquons la différence entre un protocole DeFi sans structure légale et sans fondation (Uniswap), avec fondation (Marker DAO) et ce que l'on appelle une CeFi (Centralized Finance) et qui a une véritable structure légale (Celsius, BlockFi, Nexo...). La principale différence entre DeFi et CeFi est que l'investisseur reste propriétaire de ses crypto-actifs dans le premier cas, mais pas dans le second lorsqu'elles sont « confiées ».
Aussi il est important de noter que ce billet est une ébauche juridique, car la situation reste floue, voire inexistante. Si le plus grand soin a été apporté à sa rédaction, la conclusion ne peut être qu'une interprétation juridique personnelle de l'auteur qu'il estime être correcte, mais qui pourrait in fine être erronée. Aussi la législation peut évoluer et l'article peut être rendu caduc. Dans ce cas, ce dernier sera modifié en conséquence.
Organisation d'une application DeFi : de la décentralisation parfaite à la décentralisation imparfaite
L'objectif de cet article n'est pas de rédiger un descriptif complet de la DeFi, mais de se concentrer sur son statut juridique. Or, il ne sera pas étonnant d'apprendre qu'il n'y a, à ce jour, rien de clairement défini.
Si un protocole DeFi est entièrement décentralisé, alors il n'y a pas d'entité de contrôle. Chaque participant est son propre chef, choisit de prêter ses crypto-monnaies et le taux d’intérêt pratiqué. C'est la DeFi parfaite, sans aucun intermédiaire. Au contraire, le degré de décentralisation peut ne pas être aussi absolu et les participants effectuent leurs échanges sur une plateforme. Ces deux degrés de décentralisation entraînent des conséquences juridiques différentes.
On notera qu'est ici évoqué le degré de décentralisation et non pas l'organisation juridique pure. En effet, le statut juridique de la DeFi n'est pas défini et, à notre connaissance, aucun État n'a pris position. Il faut bien faire la différence entre la DeFi (aucun statut juridique) en elle-même et une plateforme qui permet son exploitation. Cette dernière peut être une société lambda... ou non. En effet, le protocole peut être créé par une personne anonyme, en interagissant, de manière automatique, avec des smart contracts. Nous sommes donc face à un quasi vide juridique, ce qui n'est pas sans conséquence pour déterminer la responsabilité en cas de dommage causé par l'utilisation de la DeFi.
La tentative d'une organisation décentralisée : le précédent The DAO
La décentralisation d'une activité, sans bureau ni conseil d'administration, n'est pas une nouveauté dans le monde de la blockchain. C'est même un fil rouge depuis la création du protocole Bitcoin en 2009, l'objectif ultime de se passer d'intermédiaire. Après la création de la blockchain Ethereum, une société entièrement dématérialisée a été créée. Son nom était The Decentralized Autonomous Organization, abrégée en The DAO.
Pour ceux qui suivent la « blockchain » depuis la première heure, son échec fait partie des événements les plus sombres de sa courte histoire. En juin 2016, après deux mois de financement participatif, The DAO est créée sans statut juridique, conseil d'administration, actionnaires ou toute autre forme physique et classique. L'objectif de The DAO est gigantesque : celui de permettre une autonomie totale de l'activité, sans intervention humaine et effectuée par l'exécution de smart contracts. Parmi les activités proposées figure le transfert d'ethers, un prémisse de la DeFi.
Si The DAO était décentralisée et dématérialisée, qui avait in fine le contrôle sur l'organisation ? Il s'agissait des 4 000 membres de sa communauté, proportionnellement à leur investissement. Ainsi, plus le nombre d'éthers alloués était important, plus l'investisseur possédait de tokens, et plus son pouvoir de décision et son pouvoir financier étaient importants. Ces 4 000 membres étaient alors assimilés aux actionnaires d'une société classique.
Aussi magique que cela puisse paraître à certains, le projet The DAO avait d'importantes lacunes. La principale fut l'impossibilité de récupérer des fonds alloués si le service n'a pas été correctement exécuté. Vous l'avez sûrement deviné, cela est dû à l'absence d'une structure juridique reconnue par le droit national. En effet, cette volonté de sortir du système permet de créer ses propres règles et donc de ne pas avoir à couvrir les éventuelles mauvaises exécutions, même intentionnelles.
Dès juillet 2016, à peine un mois après la création de The DAO, un piratage a vu s'évaporer 50 millions de dollars. Certains diront que c'était couru d'avance en raison de l'absence de prise en compte du risque. Le projet a été abandonné quelques semaines plus tard.
Autres exemples de failles exploitées :
- Harvest Finance attaqué pour 24M$, le FARM perd 67%
- Le protocole bZx subit une 3e attaque et perd 8 millions de dollars
La responsabilité d'une organisation décentralisée comme la DeFi en question
Sans faire une comparaison exagérée entre la DeFi et The DAO, l'échec de cette dernière nous a appris que la principale difficulté réside dans l'absence d'une structure juridique reconnue pour faire face aux éventuelles responsabilités en cas de dommages. Pour The DAO, personne n'avait de réponse claire si la responsabilité incombait aux membres de la communauté en fonction de leur nombre de jetons, aux créateurs, à chaque utilisateur pour sa propre transaction. En 2017, la SEC, équivalent américain de l'Autorité des Marchés Financiers (AMF) en France, ont considéré que les tokens attribués aux contributeurs à The DAO pouvaient être assimilés à des jetons de gouvernance.
La DeFi pose peu ou prou les mêmes difficultés. En cas de dommage causé par son utilisation, qui peut être jugé responsable devant la justice ? À ce jour, la réponse n'est pas faite. Néanmoins, il est possible de dégager quelques éléments de réponse.
Une responsabilité évolutive en fonction du degré de décentralisation
Plus la DeFi est décentralisée, moins engager sa responsabilité devant la justice est chose aisée. En effet, si chaque droit national a sa propre conception de l'action en justice, tous s'accordent sur la nécessité d'avoir une existence juridique afin de pouvoir engager la responsabilité d'une entité ou pour que cette dernière puisse exercer ses droits. Or, si la DeFi est purement décentralisée, elle n'a pas d'existence juridique officiellement reconnue. Quelle responsabilité pourrait alors être engagée ? Des avis de spécialistes et avocats circulent ici et là. Par exemple, on pourrait retenir la responsabilité de l'émetteur du prêt, de la personne qui, le cas échéant, ne rembourse pas ou, plus largement, des contributeurs en fonction du nombre de tokens possédés. Aussi les protocoles peuvent avoir eux-mêmes des failles, avec par exemple des smart contracts mal codés. Leurs évolutions peuvent être décidées par les utilisateurs, par exemple en fonction du nombre de leurs jetons possédés.
À travers ce dernier exemple, c'est la jurisprudence de la SEC à propos de The DAO qui entre en ligne. Si les tokens sont considérés comme des jetons de gouvernance, on peut assimiler les contributeurs à des actionnaires, ce qui, de fait, leur permet d'avoir des droits légaux, mais aussi d'engager leur responsabilité en cas de mauvaise exécution ou de fraude. Si cette option est juridiquement valable, en pratique, elle demeure difficile, les contributeurs (codeurs ou utilisateurs) pouvant être anonymes ou très difficiles à identifier. On est donc face à une immense difficulté pour engager une quelconque responsabilité.
Et si la décentralisation n'est pas aussi parfaite, à savoir que la DeFi se réalise à travers une plateforme ? Dans un tel cas, cela change (un peu). La plateforme doit avoir une structure juridique pour pouvoir exercer. Or, qui dit structure juridique dit possibilité d'exercer des droits légaux en justice et donc d'être potentiellement tenu responsable en cas de dommages. Ainsi, pour revenir à l'exemple de The DAO, si une structure juridique avait été établie aux États-Unis, la justice américaine aurait pu se prononcer sur la responsabilité liée à la fraude de 50 millions de dollars.
Les conditions pour engager la responsabilité d'une plateforme DeFi
Lorsque la décentralisation est imparfaite, l'existence de la plateforme permet, du moins théoriquement, d'éviter les fraudes massives sans possibilité de faire valoir ses droits. La première condition est de connaître le lieu d'établissement de la structure. En effet, c'est ce lieu qui va déterminer ce que l'on appelle en droit la compétence territoriale. À titre d'exemple, si la plateforme A est établie en Norvège, à travers son nom de domaine ou son site d'hébergement (localisation des serveurs) par exemple, c'est la justice norvégienne qui est saisie. Voici pour la théorie. Pour la pratique, ce n'est malheureusement pas toujours aussi simple (qui a dit que le droit était simple ?!).
D'une part, une compétence spéciale peut remplacer la compétence territoriale. Ainsi, en droit français de la consommation, le consommateur-personne physique peut saisir le tribunal à proximité de son domicile, et ce même si la société défenderesse (ou son nom de domaine et site d'hébergement) est établie au Panama. D'autre part, la compétence matérielle, soit la possibilité pour un tribunal d'être apte à juger une affaire, diffère selon les pays. Certains États pencheront pour le tribunal de commerce ou son équivalent, d'autres pour un tribunal civil ou pénal.
Pour revenir à notre DeFi, il n'y a donc pas de réponse toute faite. Tout dépend du droit national du pays dans lequel vous résidez. Si le particulier peut juridiquement, grâce au droit national, choisir le tribunal de saisine, il y a toutes les chances que l'action puisse être exercée dans votre pays de résidence, et ce peu importe si la plateforme est établie ou non dans votre pays.
Outre cette condition objective, il existe une condition subjective, celle de l'intérêt à agir. Dans un litige dont la faute incomberait à un protocole, il s'agit de la personne prétendant avoir subi un dommage par un acte commis sur la plateforme. Dit autrement, la personne a perdu de l'argent en raison, estime-t-elle, d'une négligence ou toute autre faute commise par le protocole.
La difficulté factuelle d'engager la responsabilité d'une plateforme DeFi
On sait déjà que le degré de décentralisation est essentiel pour pouvoir, en théorie, engager la responsabilité d'une plateforme DeFi. Mais même s'il est théoriquement possible d'attaquer une plateforme DeFi devant la justice, la pratique n'est pas aussi simple. En effet, engager la responsabilité est une chose, obtenir la condamnation en est une autre. On peut ainsi engager la responsabilité d'un protocole DeFi sans pour autant réussir à prouver sa faute.
Prenons un exemple pour y voir plus clair. Simon a « prêté » 100 ETH à Louis sur une plateforme DeFi. Mieux dit, Simon a déposé 100 ETH sans savoir que c'est Louis qui en a bénéficié. Problème, Louis n'a pas mis 100 ETH ou équivalent en collatéral. Qui est responsable ? A priori, il s'agit d'une mauvaise exécution du smart contract ou d'un piratage de ce dernier. Ainsi, la responsabilité en incombe aux personnes ayant codé le contrat, surtout s'il n'y a pas de plateforme derrière.
Néanmoins, on revient à la case départ et nous sommes face à une véritable limite. Comment engager la responsabilité, le cas échéant, de la plateforme si la négligence ou la non-exécution n'est pas de son fait ? Tout pourrait alors reposer sur la mauvaise exécution d'un smart contract... qui n'a toujours pas de force obligatoire s'il n'est pas accompagné d'un contrat classique ! Sans plateforme, comment engager la responsabilité des codeurs s'ils sont introuvables ?
Conclusion
Au moment où ces lignes sont écrites, la DeFi n'est pas juridiquement reconnue et sa responsabilité est impossible à engager. En cas de décentralisation parfaite, on ne peut faire que des suppositions, comme engager la responsabilité des contributeurs en fonction de leur apport respectif. La seule exception est si la DeFi n'est pas décentralisée à l'extrême et s'organise autour d'une plateforme qui appartient à une entité ayant un statut légal. Les services liés aux crypto-monnaies étant légaux dans de nombreux pays, il est donc en théorie possible d'attaquer devant la justice une plateforme DeFi.
Mais le plus dur sera alors de pouvoir faire condamner la plateforme. Simple intermédiaire, elle ne peut prévoir la mauvaise exécution du contrat de prêt par une personne, à moins qu'elle soit dans l'obligation de le couvrir comme le ferait un assureur dans un prêt immobilier. Aussi si le contrat de prêt est en fait l'exécution d'un smart contract, ce dernier ne pourra être exploité en justice s'il n'est pas accompagné d'un contrat classique. En d'autres termes, il est possible d'engager la responsabilité d'une plateforme DeFi devant la justice, mais la condamnation réelle sera très difficile à obtenir.
La législation pouvant évoluer rapidement, cet article sera mis à jour si nécessaire.