Un aperçu pratique, axé sur la réglementation, de qui VARA réglemente, ce qu'elle attend et comment aborder la licence à Dubaï.
VARA est le régulateur spécialisé de Dubaï pour les actifs virtuels en vertu de la loi de Dubaï n° 4 de 2022. Elle supervise les activités liées aux actifs virtuels dans tout l'Émirat de Dubaï (y compris les zones franches) sauf le DIFC, qui a son propre régulateur (DFSA).
Si vous exercez une activité liée aux actifs virtuels « dans le cadre d'une entreprise » à Dubaï ou depuis Dubaï, vous devez être licencié par VARA pour l'activité pertinente. Les exemptions sont étroites.
Attendez-vous à des règlements transversaux (Entreprise; Conformité et Risque; Technologie et Information; Conduite du Marché) + règlements spécifiques aux activités (par exemple, Échange, Garde, Courtage-Négociation, Prêt et Emprunt, Gestion et Investissement, Conseil, Transfert et Règlement, Émission).
Les règlements de marketing 2024 couvrent presque toutes les promotions liées aux crypto qui touchent les Émirats.
Les AEC (cryptomonnaies améliorées en matière d'anonymat) sont interdites. Les obligations fédérales AML/CFT s'appliquent en plus du régime de VARA.
1) VARA en un coup d'œil
L'Autorité de régulation des actifs virtuels de Dubaï (VARA) a été créée pour donner à l'Émirat un superviseur dédié et conscient des technologies pour les marchés de crypto. Son mandat allie l'activation de l'innovation à la protection des consommateurs et l'intégrité du marché, visant à faire de Dubaï un hub sûr et compétitif pour les actifs numériques. Le mandat de VARA couvre l'ensemble de l'Émirat - le territoire principal et les zones franches - à l'exception du DIFC, où la DFSA réglemente des permissions crypto distinctes.
Qu'est-ce qui compte comme un « actif virtuel »? En pratique, la définition est délibérément large et neutre en matière de technologie: crypto-actifs, stablecoins, tokens (y compris les tokens référencés en actifs et les tokens utilitaires), et des représentations numériques similaires de valeur ou de droits qui peuvent être transférées, stockées ou échangées électroniquement.
2) Qui a besoin d'une licence VARA?
Si vous exercez une activité VA « dans le cadre d'une entreprise » à Dubaï ou depuis Dubaï, vous êtes dans le champ d'application. VARA examine le fond: se présenter au public, régularité/échelle/continuité, rémunération ou un élément commercial, et si vous arrangez ou exécutez des transactions pour d'autres. Construire ou promouvoir depuis l'étranger mais cibler des clients de Dubaï crée toujours un risque - surtout en vertu des Règlements de marketing (voir Section 6).
Scénarios courants qui sont dans le champ d'application
Exploitation d'une bourse ou d'une plateforme de correspondance; offre de marge.
Exploitation d'un bureau de courtage, OTC, routage ou exécution d'ordres.
Conservation des actifs clients (garde) ou portefeuilles de garantie.
Initiation ou réception de transferts clients, y compris les points de contact de paiement/rapatriement.
Gestion ou conseil sur des portefeuilles de VA; mandats discrétionnaires; recherche qui équivaut à des recommandations personnelles.
Programmes de prêt/emprunt, de garantie ou de produits de rendement.
Émission ou distribution de tokens (surtout lorsqu'il s'agit de public ou à grande échelle).
Cas particuliers
Les fournisseurs de technologie qui fournissent uniquement des logiciels pourraient être hors du champ d'application - mais si vous exploitez ou contrôlez une fonction réglementée (par exemple, clés, correspondance, règlement), vous retombez dans le territoire des VASP.
L'éducation peut devenir du marketing si elle dirige les utilisateurs vers un produit ou crée une attente de service réglementé.
Les sites web mondiaux qui acceptent le trafic de Dubaï sans contrôles géographiques peuvent toujours « cibler » les Émirats.
3) Le modèle d'activité: quelles permissions existent?
VARA utilise une approche de délivrance de licences basée sur les activités. Vous demandez les permissions qui correspondent à vos caractéristiques. Les principales activités VA sont:
Services d'échange – exploitation d'une plateforme de négociation / carnet de commandes / installation d'enchères; surveillance de marché; règles de la plateforme; frais transparents; capacités/interrupteurs d'urgence; discipline de règlement (par exemple, 24 heures lorsque technologiquement faisable); le trading sur marge uniquement avec pré-approbation et protections strictes pour les investisseurs.
Services de courtage-négociation – réception/transmission d'ordres; organisation de transactions; exécution en tant qu'agent ou, dans des cas étroits, en tant que principal pour remplir les ordres des clients ou gérer l'inventaire. Les « Services de distribution licenciés » (nouvelles offres de tokens via une plateforme/courtier) s'inscrivent ici et nécessitent une « qualité » en matière de diligence raisonnable sur l'actif et l'émetteur.
Services de garde – conservation des VA des clients. Les normes comprennent des portefeuilles séparés par client sous le contrôle de VASP, des avoirs 1:1, une gestion stricte des clés, des relevés mensuels et un rapport d'incidents. Le staking des services de garde et de portefeuille de garantie (CWS) constitue des permissions distinctes avec leurs propres règles techniques et de divulgation.
Services de transfert et de règlement VA – initiation/réception de transferts; reçus à l'initiation et à la finalisation; règles par défaut pour les transferts échoués/défectueux; remboursement/restauration de 24 heures pour les exécutions non autorisées ou non conformes; alignement avec les règles de paiement/rapatriement de la CBUAE et la Règle de voyage AML.
Services de gestion et d'investissement – gestion de portefeuille discrétionnaire ou non discrétionnaire; adéquation, évaluation indépendante, relevés mensuels, consentement explicite du client pour toute utilisation des actifs du client.
Services de conseil – recommandations personnelles; déclarations indépendantes et vérifiées; adéquation robuste; compétence du personnel; conservation des dossiers pendant 8 ans.
Services de prêt et d'emprunt – prêt/emprunt d'actifs clients ou propres; liquidité et suffisance des garanties; divulgations trimestrielles des actifs et passifs; relevés mensuels; notification immédiate aux superviseurs en cas de déficits.
Émission et distribution – règlement d'émission distinct avec tests de catégorie 1 vs. catégorie 2 et un annexe spécial pour les FRVAs (tokens référencés en actifs). L'émission d'AEC est interdite.
4) Règlements transversaux que vous devez mettre en œuvre
Indépendamment de votre mélange d'activités, VARA s'attend à ce que vous respectiez ces cadres:
Règlement de l'entreprise – gouvernance (Conseil, comités), individus responsables (deux, basés aux Émirats), évaluations de l'adéquation, contrôles d'externalisation, indicateurs prudentiels (capital souscrit, actifs liquides nets), assurance, actifs de réserve et planification de la liquidation.
Règlement sur la conformité et la gestion des risques (CRMR) – fonction de conformité indépendante et CO/MLRO avec expérience; taxonomie des risques et rapport au Conseil; livres/dossiers (8 ans); argent client (titres de comptes clients dans les banques des Émirats, dépôt dans un jour, réconciliations quotidiennes, relevés mensuels); VAs clients (séparation par client, 1:1, pas de réhypothèque sans permissions/consentement); sanctions et Règle de voyage; processus STR/GoAML; gouvernance VASP sponsorisée.
Règlement sur la Technologie et l'Information (T&I) – CISO (indépendant de la conformité), contrôles cybernétiques, Tests de pénétration axés sur les menaces (TLPT), BCDR, délais de notification des incidents (par exemple, 72 heures pour les événements cybernétiques/BCDR matériels; 24 heures si vous informez un régulateur de données ou des sujets de données), programme de confidentialité conforme au PDPL, formation du personnel, risque tiers/cloud, analyses de blockchain.
Règlement sur la conduite du marché – contrats clients (juste, clair, non trompeur; contrôle des versions; préavis de 30 jours pour les changements; pas de protection des dépôts; propriété des VA clients; conditions de retrait claires; fournisseurs tiers et lorsque les actifs quittent votre contrôle), listes d'insiders (conserver 8 ans), restrictions sur le trading pour compte propre, classification des investisseurs (Particulier, Qualifié, Institutionnel), divulgations publiques (numéro de licence/permissions/restrictions; risques; RIs).
5) Discipline prudentielle et résilience financière
Deux lentilles de capital sont les plus importantes: Capital souscrit (absolu ou % des frais fixes annuels, selon l'activité) et Actifs Liquides Nets (par exemple, ≥ 1,2× dépenses d'exploitation mensuelles). Ajoutez l'assurance (PII, D&O, crime) et, le cas échéant, des actifs de réserve. Vous devez surveiller quotidiennement, réconcilier mensuellement et notifier VARA immédiatement si des seuils sont dépassés - puis fournir des mises à jour quotidiennes jusqu'à rectification.
Conseils pratiques
Liez les indicateurs prudentiels à un tableau de bord automatisé détenu par les Finances mais visible par la Conformité et le Conseil.
Pré-accordez les leviers de remédiation (injection de capital, restrictions de coût, throttles pondérés par le risque) et documentez les droits de décision.
Alignez la trésorerie/le marché de manière à ce qu'il ne ressemble jamais à un trading propre en violation des limites de conduite du marché.
6) Marketing: le régime de 2024 est strict
Les règlements de marketing 2024 s'appliquent à tout marketing d'actifs virtuels ou d'activités VA dans ou visant les Émirats - où que vous soyez situé. Seul un VASP licencié par la VARA (ou un tiers approuvé et agissant pour un VASP licencié) peut commercialiser une activité réglementée. Le contenu doit être juste, clair, non trompeur. Évitez les garanties, les affirmations de « faible risque », d'urgence/FOMO, ou de suggérer que la crypto est « facile ». Ne pas commercialiser les AEC. Ne pas promouvoir l'achat de VAs à crédit à moins que vous ne soyez licencié pour cette facilité. Les KOLs/affiliés/agents doivent être approuvés, scénarisés et surveillés avec des ESLA de retrait.
7) Alignement AML/CFT (Fédéral + VARA)
VARA est une autorité de supervision désignée pour les VASPs en vertu des lois fédérales AML/CFT. Attendez-vous à tous les éléments standards: évaluation des risques à l'échelle de l'entreprise, CDD/EDD basé sur RBA, approbations PEP, dépistage des sanctions, Règle de voyage (généralement seuil de 3 500 AED), dépôt de STR, surveillance continue avec analyses de blockchain, typologies pour les transactions améliorées en matière d'anonymat, et formation du personnel. Conservez des preuves prêtes pour l'audit.
8) Comment aborder le parcours de licence
Étape 1: Cartographiez vos caractéristiques aux activités. Créez une matrice de caractéristiques des produits par rapport aux permissions VARA. Décidez de procéder en entité unique ou en groupe (par exemple, garde séparée).
Étape 2: Rassemblez votre équipe. Identifiez deux individus responsables (basés aux Émirats), CO/MLRO (≥ expérience), CISO, CFO, responsable des opérations. Cartographiez les conflits et la séparation.
Étape 3: Construisez le RBP. Le Plan d'Affaires Réglementaire est votre ancre: modèle commercial, gouvernance, prudentiel, T&I, risque/conformité, protections des clients, liquidation, plan de projet.
Étape 4: Mettre en place des contrôles techniques. CISO en poste; plan TLPT; BCDR; livres de compte pour la réponse aux incidents; gouvernance de portefeuille (si garde); analyses de chaîne intégrées à l'AML.
Étape 5: Rédiger des artefacts juridiques. Contrats clients; Normes VA (déclencheurs de cotation/décotation); divulgations publiques sur le site web; politique de marketing; contrats KOL; gestion des plaintes.
Étape 6: Prouver l'argent. Capital souscrit et preuves NLA; dossiers d'assurance; politique d'actifs de réserve (si applicable).
Étape 7: Soumettez et gérez les questions-réponses. Nommez un chef de projet interne; suivez les engagements; répondez avec des preuves, pas de rhétorique.
9) Pièges courants à éviter
Traiter l'« éducation » ou les « airdrops » comme hors marketing.
Émettre des tokens sans cartographier catégorie 1 vs catégorie 2 (ou FRVAs).
Normes VA faibles, pas de déclencheurs de délisting/suspension, ou surveillance du marché manquante.
Sous-dimensionnement des rôles de CO/MLRO et CISO ou flou avec les opérations.
Mécanismes de protection des clients manquants (titres de compte client; réconciliations quotidiennes; avoirs VA 1:1; relevés mensuels).
Oublier la conservation des dossiers pendant 8 ans et la rétention de la liste des insiders.
Mauvais contrats d'externalisation (pas de droits d'audit, pas d'ESLA d'incidents, emplacement des données peu clair).
10) Questions fréquemment posées
Une entreprise étrangère est-elle dans le champ d'application si elle n'a pas d'entité à Dubaï? Oui, si son marketing ou ses activités ciblent les Émirats ou sont menées depuis Dubaï.
Puis-je tout faire dans une seule entité? Souvent oui, mais les modèles multi-activités augmentent les attentes en matière de prudence, de conflit et de résilience opérationnelle. Cependant, la garde est une activité autonome et nécessite une entité distincte.
Les stablecoins ont-ils besoin d'un traitement spécial? Les FRVAs ont des exigences de conformité particulières (couverture, réserves, rachat à la valeur nominale, attestations mensuelles). Les FRVAs référencés en AED relèvent de la CBUAE.
Qu'en est-il des AEC? L'émission et toutes les activités VA liées aux cryptomonnaies améliorées en matière d'anonymat sont interdites à Dubaï.
11) Liste de contrôle des actions
Cartographiez les caractéristiques → activités; décidez de la structure de l'entité.
Nommez deux individus responsables; placez le CO/MLRO et le CISO.
Rédigez RBP, Normes VA, contrats clients, divulgations, politique de marketing.
Ouvrez des comptes d'argent clients; configurez des portefeuilles par client et réconciliation 1:1.
Créez un tableau de bord prudentiel (Capital souscrit, NLA); alignez l'assurance.
Mettez en œuvre TLPT/BCDR; intégrez des analyses de chaîne dans l'AML.
Préparez un pack de questions-réponses pour la supervision; attribuez des propriétaires et des délais.
Besoin d'aide pour cartographier vos caractéristiques à la bonne licence VARA ou préparer un RBP? CRYPTOVERSE Legal Consultancy conseille les fondateurs de bout en bout sur les demandes VARA, la conformité aux règlements et les questions-réponses de supervision.
https://www.cryptoverselawyers.io | info@cryptoverselawyers.io
#VARA #CryptoLaw #Blockchain #Fintech #cryptoverselawyers
Avertissement: Cet article est à titre informatif uniquement et ne constitue pas un avis juridique. Demandez toujours des conseils adaptés à vos faits et à votre portée de licence.