# Fernando Ramos : « Notre rôle, c’est de dresser des garde-fous qui bloquent les fraudeurs sans freiner l’innovation »

Fernando Ramos est associé et Chief Legal Officer chez Bit2Me, la principale plateforme d’actifs crypto en Espagne, ainsi que fondateur de Data Bitlaw & Compliance, un cabinet boutique spécialisé dans la régulation des actifs numériques, la protection des données et la lutte contre le blanchiment d’argent (AML). Ancien avocat “tech” chez Garrigues et Lener, Fernando accompagne aujourd’hui des exchanges, des émetteurs de tokens et des institutions financières dans un paysage européen MiCA et AML en perpétuelle évolution, avec un temps d’avance acquis dès 2015, lorsqu’il a rédigé l’un des premiers manuels KYC crypto volontaires.

« La loi est toujours en train de courir derrière le code », explique-t-il. « Notre rôle, c’est de dresser des garde-fous qui bloquent les acteurs malveillants sans freiner l’innovation. » Pour Fernando, combler ce fossé exige un cocktail rare de culture deep-tech et de rigueur réglementaire — des compétences qui, selon lui, seront non négociables pour la prochaine génération de spécialistes conformité, dans une économie de plus en plus portée par la blockchain.

Question : Fernando, vous avez commencé votre carrière comme avocat “classique” et vous êtes aujourd’hui une figure de référence en matière de blockchain et de cryptoactifs. À quoi a ressemblé votre parcours professionnel pour en arriver là ?

Réponse : Au départ, je me dirigeais vers des études d’ingénieur, mais mon père tenait beaucoup à ce que je perpétue la tradition familiale du droit. Je me suis inscrit en droit à l’université Carlos III, au moment même où la filière s’ouvrait. Dès le premier jour, j’ai été attiré par la dimension technologique du droit, et je me suis rapidement spécialisé dans cette voie. J’ai intégré l’un des premiers cabinets orientés nouvelles technologies, Anguiano y Asociados, qui a ensuite été absorbé par Garrigues, puis j’ai pris la tête du département nouvelles technologies chez Lener.

Finalement, je me suis lancé à mon compte avec DPO & IT Law, désormais Data Bitlaw & Compliance. Depuis 2014, nous conseillons en droit du numérique et en conformité, en particulier sur la digitalisation d’actifs ou d’instruments financiers sur DLT, les licences et autorisations MiCA, l’accompagnement juridique de projets blockchain, la protection des données et la conformité AML. Quand la vague crypto a déferlé en 2015, nous nous y sommes engouffrés, notamment grâce à nos travaux précédents sur les algorithmes de hash pour la signature électronique, qui nous ont donné un avantage pour comprendre la technologie blockchain. À partir de là, nous avons commencé à travailler avec Bit2Me, où je suis aujourd’hui associé et Chief Legal Officer, tout en continuant à diriger notre cabinet dédié aux actifs numériques, à la blockchain et à la régulation MiCA.

Q : Vous expliquez avoir démarré sur la blockchain en 2015, à une époque où la réglementation était quasi inexistante. Comment ont évolué les règles AML et KYC dans la crypto depuis ?

R : Quand nous avons commencé, il n’y avait pas de cadre clair, mais dès 2015 nous avons rédigé de manière volontaire des manuels AML et KYC pour Bit2Me. Les débuts ont été très compliqués : les banques fermaient des comptes dès qu’elles voyaient le mot Bitcoin, et même le SEPBLAC refusait nos rapports au nom de la protection des données.

Petit à petit, surtout après l’entrée en vigueur des règles américaines en 2012, l’Europe s’est alignée, et l’Espagne a fini par adapter la loi 10/2010, en reconnaissant les prestataires de services crypto comme entités assujetties. Aujourd’hui, l’expertise du SEPBLAC a énormément progressé, même si ses recommandations en matière d’identification vidéo non présentielle restent techniquement complexes à mettre en œuvre.

Q : De votre point de vue, comment évaluez-vous l’avancée réglementaire de l’Espagne par rapport au reste de l’Europe ?

R : L’Espagne a fait de vrais progrès, notamment en adaptant des lois qui permettent d’utiliser la blockchain pour les instruments financiers, et en autorisant temporairement les services crypto via un simple enregistrement auprès de la Banque d’Espagne, en attendant MiCA. Malgré cela, je dirais que nous restons un peu derrière des pays comme l’Allemagne, les Pays-Bas ou l’Autriche, qui ont été beaucoup plus rapides pour délivrer des licences MiCA ou permettre la digitalisation d’instruments financiers.

La CNMV fait un travail remarquable sur la fintech, mais elle a encore du mal à accélérer le traitement des demandes de licence.

Q : Quels sont, selon vous, les plus grands défis pour les entreprises crypto qui souhaitent respecter KYC/AML sans dégrader l’expérience utilisateur ?

R : C’est très difficile, surtout sans présence physique. Nous dépendons beaucoup de prestataires tiers spécialisés dans l’identité numérique à distance pour respecter les lignes directrices du SEPBLAC en matière d’identification non présentielle. La bonne nouvelle, c’est que le régulateur publie régulièrement des guides et rapports sur la manière d’appliquer la loi anti-blanchiment, ce qui nous permet de connaître les règles du jeu.

Mais il reste des zones d’ombre : depuis la loi sur le marché des valeurs mobilières de mars 2023, un débat est ouvert pour savoir si les sociétés émettrices de tokens doivent être considérées comme entités assujetties aux obligations AML. Tout semble indiquer que oui, mais la loi 10/2010 n’est pas encore pensée pour ce type d’acteur. Nous attendons donc une clarification du SEPBLAC — ou un mouvement d’autorégulation de la part du secteur. Tout cela en est encore au stade embryonnaire, et une fois de plus, la technologie va plus vite que la loi. Des solutions technologiques robustes et pragmatiques, capables de prévenir la fraude sans transformer la UX en parcours du combattant, sont essentielles.

Q : Quelles innovations technologiques vous paraissent les plus prometteuses à court terme pour améliorer le KYC et la vérification d’identité ?

R : Je pense que nous allons vers des solutions qui combinent blockchain et biométrie pour permettre l’identité auto-souveraine (self-sovereign identity). Les utilisateurs pourraient partager uniquement les données personnelles qu’ils souhaitent, au lieu de répéter des processus complexes chez chaque prestataire.

Nous avons encore des obstacles majeurs autour de la protection des données et du droit à l’oubli, surtout sur les blockchains publiques. C’est un sujet complexe, mais crucial pour la conformité de demain. Le Comité européen de la protection des données vient de publier des recommandations sur l’usage de la DLT : blockchains permissionnées identifiant clairement le responsable de traitement et le sous-traitant, ou encore stockage de données personnelles on-chain via des liens permettant au responsable de mieux garantir, au moins partiellement, les droits à l’effacement. Peu à peu, le cadre de conformité pour ces technologies devient plus lisible.

Q : Vous avez mentionné l’identité auto-souveraine. En quoi pourrait-elle transformer la conformité et la protection des données ?

R : L’identité auto-souveraine serait un énorme pas en avant. Les individus auraient la maîtrise totale de l’accès à leurs données personnelles, sans intermédiaires. Le vrai défi, c’est la mise en pratique : ce qui est inscrit sur la blockchain est, par nature, immuable, ce qui pose problème au regard du RGPD. Nous avons besoin de mécanismes techniques capables de délier ou d’anonymiser de façon sécurisée les données lorsqu’elles ne sont plus nécessaires, et c’est précisément la voie que nous recommandons chez Data Bitlaw — et qui semble être celle que les régulateurs européens privilégient.

Q : Quelles différences réglementaires majeures observez-vous entre pays en matière de blockchain et de cryptoactifs?

R : Les États-Unis sont presque toujours en avance, avec des règles qui arrivent vite et restent assez pragmatiques. En Europe, les Pays-Bas, l’Allemagne et l’Autriche vont aussi très vite, ce qui donne à leurs entreprises un avantage compétitif. L’Espagne progresse, mais à un rythme plus lent, et je pense que le principal problème est interne : il manque un soutien institutionnel fort aux acteurs locaux par rapport aux groupes étrangers.

Par exemple, Bitpanda a déjà obtenu plusieurs licences MiCA à travers l’Europe — un objectif qui semble encore plus difficile à atteindre en Espagne, et cela pénalise la compétitivité de l’écosystème crypto espagnol.

Q : Quelles tendances réglementaires vous semblent structurantes pour l’avenir proche de la blockchain et des cryptoactifs ?

R : Je m’attends à des avancées majeures sur la DeFi et l’auto-conservation des actifs (self-custody). Nous revenons vers un modèle où les utilisateurs contrôlent pleinement leurs actifs et leurs opérations financières. C’est une rupture totale avec la banque traditionnelle, mais cela soulève des défis réglementaires énormes en matière de KYC, d’AML et de fiscalité. Il nous faut des cadres réglementaires qui fluidifient ces processus, plutôt que de les bloquer.

Q : Que pensez-vous de la montée en puissance de la tokenisation de l’immobilier ?

R : Pour moi, c’est une opportunité considérable. La tokenisation réduit drastiquement le ticket d’entrée, ouvre l’investissement immobilier à un plus grand nombre de personnes et crée un marché secondaire très liquide. Les rendements peuvent être attractifs, même si les risques existent, comme pour tout investissement participatif. C’est un secteur très prometteur qui fonctionne déjà bien en Espagne.

Q : Quel conseil donneriez-vous aux entrepreneurs qui lancent des projets blockchain et se retrouvent pour la première fois face à cet environnement réglementaire complexe ?

R : Appuyez-vous sur des entreprises déjà autorisées et licenciées, surtout si vous n’avez pas encore les ressources pour financer une licence MiCA en propre. Cherchez un accompagnement juridique solide dès le premier jour, afin de comprendre quels services vous pouvez offrir sans licences complexes et lesquels nécessiteront un investissement réglementaire important. L’essentiel est de comprendre les règles très tôt pour éviter des erreurs coûteuses plus tard. Le paysage juridique s’éclaircit, et des services qui paraissaient autrefois impossibles à lancer en toute légalité sont désormais envisageables avec une sécurité juridique complète.