HashKey IPO : architecture juridique de la gestion d'actifs

Auteur : Zhang Feng

HashKey Group (ci-après « HashKey »), en tant que plateforme de actifs numériques réglementée leader en Asie, expose dans son prospectus les mécanismes de protection des actifs de ses clients, notamment la structure juridique de la garde des actifs cryptographiques, l’isolation des risques, ainsi que la propriété des actifs en cas de situations extrêmes (telles que la faillite de la plateforme).

1. Mécanismes fondamentaux

HashKey considère « conformité, sécurité, fiabilité » comme ses principes opérationnels fondamentaux, en particulier dans la construction d’un système de protection multilayer pour les actifs de ses clients. D’après le prospectus, le mécanisme de protection des actifs des clients comprend principalement les aspects suivants.

Garde réglementée et opérations conformes. HashKey fournit un service de garde d’actifs numériques institutionnels via sa filiale agréée HashKey Custody Services Limited à Hong Kong. Ce service détient une licence de la Securities and Futures Commission (SFC) de Hong Kong, et respecte les exigences réglementaires pour les prestataires de services en actifs virtuels (VASP) selon la « Securities and Futures Ordinance ». Toutes les opérations de la plateforme sont menées par une entité agréée, assurant une conformité légale.

Stockage en couches des portefeuilles froids et chauds et conformité SFC. Selon la page 28 et pages 34-35 du prospectus, HashKey adopte une approche combinée de portefeuilles froids et chauds pour stocker les actifs numériques des clients :

Portefeuille froid, au moins 98 % des actifs numériques des clients sont stockés hors ligne dans des portefeuilles froids, protégés par multisignatures (Multi-signature) et modules de sécurité matériels (HSM). Les clés privées sont conservées dans un environnement physiquement isolé.

Portefeuille chaud, ne dépassant pas 2 % des actifs, est utilisé pour les opérations quotidiennes et la compensation des transactions, également sous protection par des mesures de gestion des risques multiples.

Ce ratio est conforme aux directives publiées par la SFC en 2023 concernant « la majorité des actifs clients devant être conservés dans des portefeuilles froids », montrant leur stricte conformité réglementaire.

Isolation des actifs et structure de fiducie. HashKey insiste à plusieurs reprises dans le prospectus sur le fait que « les actifs des clients sont totalement séparés des actifs propres de la plateforme ». Plus précisément :

Fonds en monnaie fiat, sont conservés dans des comptes fiduciaires indépendants auprès de banques agréées (telles que Standard Chartered ou ZhongAn Bank), ouverts au nom des clients, la propriété légale des fonds n’appartenant pas à HashKey.

Actifs numériques, stockés dans des portefeuilles de garde isolés, détenus par la société agréée HashKey Custody Services Limited, et strictement séparés des portefeuilles opérationnels de la plateforme.

Ce dispositif ressemble au principe traditionnel de « séparation des actifs clients » en finance, visant à éviter que la plateforme ne détourne les fonds des clients, et à établir une base pour la reconnaissance des actifs en cas de faillite.

Assurance et couverture des risques. HashKey a souscrit une assurance pour ses portefeuilles d’actifs, couvrant les portefeuilles froids et chauds, y compris contre le vol et les attaques de hackers. Le prospectus indique que le taux de prime diminue lors des renouvellements, ce qui reflète la reconnaissance par les assureurs de ses capacités de gestion des risques. De plus, aucun incident de perte d’actifs client dû à une faille de sécurité ou à des pénalités sur la blockchain n’a été rapporté, témoignant d’une opération sécuritaire.

Contrôles techniques et managériaux. Utilisation de multisignatures, HSM, systèmes de surveillance automatisés ; mise en place de processus de validation internes stricts et de mécanismes de séparation des responsabilités ; certification par des standards internationaux tels que SOC 1 Type 2, SOC 2 Type 2, ISO27001 (gestion de la sécurité de l’information) et ISO27701 (gestion de la vie privée).

2. Architecture fondamentale

D’après le prospectus, le service de garde de HashKey est principalement fourni par sa filiale agréée HashKey Custody Services Limited, relevant d’un modèle de « garde interne », plutôt que d’un tiers totalement indépendant. Cependant, certains moyens renforcent la crédibilité juridique de cette garde.

Opération indépendante de l’entité agréée. La gestion de la garde est assurée par une entité agréée distincte, avec ses propres équipes de conformité, de gestion des risques, et processus d’audit, créant une certaine séparation juridique avec les autres activités de la plateforme.

Partenariat bancaire avec structure de fiducie. Les fonds en monnaie fiat sont détenus sous forme de fiducie via des banques partenaires, qui agissent en tant que trustees responsables de la conservation des fonds, introduisant ainsi une supervision tierce.

Audits externes et certifications. Des audits réguliers réalisés par des auditeurs tiers (SOC, etc.) assurent l’efficacité des contrôles internes de la garde.

Néanmoins, comparé à une garde effectuée par un organisme tiers totalement indépendant (ex : Coinbase Custody, Fireblocks), le modèle de « garde interne » de HashKey comporte toujours un certain risque de « gestion et surveillance auto-assurées », même si cela est atténué par une conformité réglementaire stricte et des audits externes.

3. Protection des actifs

En cas de faillite de la plateforme, la priorité du client pour récupérer ses actifs cryptographiques est un point clé pour évaluer la validité juridique de la structure. HashKey en discute dans le prospectus, mais une analyse combinée au cadre légal hongkongais est nécessaire.

Fondements juridiques. La « Securities and Futures Ordinance » impose une obligation de séparation des actifs clients par l’entité agréée, et l’article 120 précise que ces actifs ne font pas partie des actifs de la société en cas de faillite. La « Companies (Winding Up and Miscellaneous Provisions) Ordinance » prévoit que lors d’une procédure de liquidation, les actifs clients doivent être identifiés et restitués, et ne sont pas intégrés dans le pool de liquidation.

Dispositions de HashKey. La page 34 du prospectus indique que « les actifs des clients sont pleinement séparés des fonds propres… tous les actifs clients sont conservés par la filiale de garde agréée, dans des portefeuilles isolés indépendants des comptes de trading… » La page 68, dans les clauses du contrat client, précise que « les actifs des clients sont traités comme tels, et en cas de faillite, ils ne constituent pas une partie de nos actifs, et doivent être restitués selon la législation applicable. »

Cela montre que HashKey tente de formaliser juridiquement la notion de « non-propriété en cas de faillite » via contrats et architecture.

Comparaison avec le mécanisme traditionnel de protection des actifs de courtage. Dans la sphère traditionnelle, Hong Kong dispose d’un Fonds d’indemnisation des investisseurs (Investor Compensation Fund), qui limite la responsabilité en cas de faillite d’un courtier (max. 50 000 HKD par investisseur). Les actifs des clients sont généralement déposés dans le système central de compensation (CCASS) ou dans des banques dépositaires agréées, avec une séparation juridique claire.

En revanche, le domaine des actifs virtuels ne dispose pas encore d’un tel fonds ou d’un dispositif de garantie des dépôts. Bien que HashKey ait souscrit une assurance pour couvrir certains risques, sa portée n’est pas claire quant à la possibilité de couvrir la perte d’actifs en cas de faillite de la plateforme.

En résumé, plusieurs enjeux restent ouverts : la qualification juridique des actifs virtuels (sont-ils clairement reconnus comme « propriété » ou « valeurs mobilières » ?), le risque de gestion transfrontalière si la garde est déléguée à un opérateur en dehors de Hong Kong (risques juridiques transfrontaliers en cas de faillite), la couverture d’assurance limitée au vol ou piratage, et le cadre réglementaire encore en développement, notamment pour la gestion en cas de faillite.

4. Défis et innovations

HashKey construit une protection des actifs clients relativement avancée via une garde réglementée, une répartition conforme entre portefeuilles froids et chauds, une séparation juridique des actifs, et une couverture assurantielle multiple. Son architecture de garde, conforme aux exigences de la SFC, reflète une stratégie de « conformité prioritaire ».

Bien que certains risques juridiques et opérationnels subsistent, cette architecture représente une pratique avancée en Asie pour la protection des actifs clients, combinant techniques, contrats et assurances pour maximiser la sécurité dans le cadre légal actuel.

L’environnement juridique de la garde d’actifs virtuels demeure en évolution. Les investisseurs doivent reconnaître que si ces efforts de conformité sont encourageants, le cadre juridique de protection doit encore être renforcé. Avec l’approfondissement de la législation hongkongaise sur les actifs virtuels, notamment sur la gestion des actifs en cas de faillite, la législation sur la garde pourra évoluer vers un degré supérieur de sécurisation juridique, établissant une base solide pour le développement pérenne du secteur.