Cadre réglementaire chypriote pour l'accès à l'UE - règles fondamentales, autorités, structures

S'inscrire auprès de la CySEC et obtenir une licence CIF pour accéder aux marchés de l'UE via le régime de passeport. Assurer la conformité à MiFID II/MiFIR, maintenir des fonds propres suffisants, établir une gouvernance claire et désigner un responsable de la conformité local pour coordonner les activités transfrontalières.

Chypre met en œuvre le cadre de l'UE par le biais de la loi sur les services et activités d'investissement et les marchés réglementés et des règles CySEC qui l'accompagnent. Les entreprises classent leurs clients, divulguent les coûts et conçoivent des produits à des fins définies. Les gestionnaires font l'objet d'évaluations d'aptitude et d'honorabilité. Les institutions mettent en œuvre des contrôles des risques, tiennent des registres détaillés et rendent compte régulièrement à la CySEC.

Les principaux organismes de réglementation comprennent la Commission chypriote des opérations de bourse (CySEC) en tant que principal organisme d'agrément pour les services d'investissement, la Banque centrale de Chypre (CBC) pour les banques et les services de paiement au sein de l'Eurosystème, et l'ESMA pour la cohérence de la supervision paneuropéenne. Les entités juridiques et les dépôts relèvent du Département du registraire des sociétés et du séquestre officiel, sous la supervision du Ministère des finances.

L'octroi de licences exige un plan d'affaires, des politiques internes, des dispositifs de gouvernance et des preuves d'adéquation du capital. La CySEC effectue des examens sur place et une supervision continue, avec des rapports périodiques, des audits annuels et des contrôles de conformité. Les entreprises mettent en place des programmes de lutte contre le blanchiment d'argent et le financement du terrorisme (LBC/FT), désignent un responsable du signalement du blanchiment d'argent, effectuent un contrôle préalable de la clientèle et surveillent les activités suspectes conformément aux directives de l'UE et au droit national.

Après l'autorisation, mettre en place des accords de passeport pour les États membres admissibles et harmoniser les opérations en conséquence. Constituer une équipe de conformité locale, intégrer la protection des données avec le RGPD et mettre en œuvre des outils de reporting transfrontaliers. Tenir la documentation à jour, se préparer à d'éventuelles actions de coordination de l'ESMA et maintenir un point de contact clair avec la CySEC pour les changements de règles ou les questions d'application.

Qui peut présenter une demande à partir du 5 mars 2025 : catégories admissibles et limites

Consulter l'avis d'admissibilité officiel publié le 5 mars 2025 pour confirmer les catégories exactes et les plafonds. Les demandeurs admissibles se répartissent en deux grands groupes : les personnes physiques qui cherchent à faire reconnaître leur droit d'exercer dans les secteurs réglementés, et les personnes morales qui visent à fournir des services transfrontaliers sous la supervision chypriote.

Catégorie A – personnes physiques possédant des qualifications professionnelles reconnues : les ressortissants de l'UE et de l'EEE, ainsi que les résidents chypriotes, peuvent demander à exercer des professions réglementées après que les organismes professionnels à Chypre ont reconnu leurs qualifications. Les demandeurs doivent satisfaire aux exigences locales en matière de licence ou d'enregistrement et se conformer aux conditions spécifiques au secteur, y compris le perfectionnement professionnel continu, le cas échéant.

Catégorie B – entités établies ou opérant à Chypre : les entreprises établies dans l'UE ou ayant une présence à Chypre peuvent obtenir des autorisations pour offrir des services transfrontaliers dans le cadre autorisé par le régime. Les demandeurs doivent démontrer leur substance à Chypre, désigner un représentant autorisé ou une succursale locale, et maintenir la conformité aux règles prudentielles, d'assurance et de déclaration applicables.

Catégorie C – fournisseurs de services temporaires ou basés sur des projets : la prestation de services pour des projets ou des missions définis et limités dans le temps peut être approuvée lorsque l'activité est accessoire aux activités principales de l'entité. Les projets ont généralement une durée maximale et nécessitent un permis spécifique au projet, comprenant des dates de fin et des étapes de réalisation claires.

Catégorie D – recherche, éducation et mobilité professionnelle : les chercheurs, les universitaires et les établissements d'enseignement peuvent participer à des programmes de mobilité ou de collaboration qui permettent des détachements, des programmes conjoints ou des engagements d'enseignement et de recherche à court terme, sous réserve des approbations spécifiques au secteur.

Catégorie E – reconnaissance mutuelle et voies transitoires : les demandeurs couverts par des accords de reconnaissance mutuelle ou des arrangements transitoires peuvent accéder à certaines activités réglementées avec des étapes simplifiées, à condition qu'ils satisfassent aux critères d'équivalence ou de transition définis par l'autorité compétente.

Limites et affectation : l'autorité compétente fixe des plafonds par catégorie et par secteur, les allocations étant publiées dans le calendrier réglementaire accompagnant l'avis du 5 mars 2025. Lorsque la demande dépasse le plafond, l'autorité utilise des critères objectifs pour attribuer les places, en donnant la priorité à l'impact économique local, aux pénuries sectorielles et aux antécédents de conformité enregistrés. Les demandeurs doivent surveiller le portail officiel pour les mises à jour, les dates limites et toute condition spécifique au secteur qui affecte l'admissibilité.

Préparation et soumission : compiler une preuve d'identité, de nationalité et de toute qualification professionnelle requise ; rassembler les preuves de licence ou d'enregistrement auprès des organismes professionnels compétents ; documenter la présence de Chypre (pour les entités), y compris les détails du registre des sociétés, l'adresse locale et la nomination d'un représentant local si nécessaire ; préparer les informations financières et d'assurance telles que requises par le régime ; et assurer la conformité avec les exigences en matière de protection des données et de lutte contre le blanchiment d'argent.

Documents requis : une liste de contrôle pratique avant la soumission

Préparer un dossier complet en anglais avec des copies certifiées, un index détaillé et des références croisées claires vers la catégorie de licence. Soumettre via le portail de soumission électronique en ligne de la CySEC et conserver les originaux disponibles pour vérification.

1. Identité de l'entreprise et propriété

   • Certificat de constitution, mémorandum et statuts, et un extrait actuel du registre des sociétés de Chypre.
   • Noms enregistrés et commerciaux, forme juridique et adresse du siège social de l'entreprise.
   • Liste des administrateurs, secrétaires et ayants droit économiques actuels avec les pourcentages de propriété.
   • Preuve d'enregistrement auprès du service des impôts et du statut de TVA (le cas échéant).
   • Lettre de référence bancaire ou relevés bancaires montrant un compte d'entreprise fonctionnel au nom de l'entreprise.
   • Copies certifiées des cartes d'identité ou des passeports de tous les administrateurs et UBO, ainsi qu'une preuve d'adresse.

2. Gestion et gouvernance (aptitude et honorabilité)

   • CV de tous les administrateurs et cadres supérieurs ; qualifications professionnelles et références.
   • Déclarations d'intégrité et déclarations de conflits d'intérêts pour chaque personne responsable.
   • Certificats de police ou équivalent lorsque cela est requis ; aperçu des actions réglementaires passées, le cas échéant.
   • Organigramme indiquant les lignes hiérarchiques et l'attribution des tâches de conformité et de risque.

3. Portée de l'activité et plan d'affaires

   • Plan d'affaires détaillé précisant les activités autorisées, les segments de clientèle cibles et l'orientation géographique.
   • Catalogue de produits et services avec les niveaux de service, le flux d'intégration des clients prévu et le modèle de tarification.
   • Prévisions pour les trois premières années, y compris les revenus, les coûts, les besoins en capital et les projections de liquidités.
   • Description des classifications de la clientèle (détail, professionnel, contreparties éligibles) et des critères d'intégration.

4. Politiques, contrôles et documentation de gouvernance

   • Politique LBC/FT, procédures de diligence raisonnable à l'égard de la clientèle (CDD) et modèles CDD basés sur les risques.
   • Politique de contrôle des sanctions et processus de surveillance continue.
   • Cadre de contrôle interne, mandat de la fonction de conformité et plan de test périodique.
   • Politique de dénonciation, politique de protection des données (alignement RGPD) et accords de traitement des données.
   • Politique en matière de relations publiques, de conflits d'intérêts et de contrôles des incitations ; calendrier de conservation et d'archivage des documents.

5. Ressources financières et solvabilité

   • Preuve du capital minimum applicable à la catégorie de licence (inclure la base de calcul et les pièces justificatives).
   • États financiers audités récents (deux dernières années) ou, si non disponibles, les comptes de gestion plus une déclaration d'assurance des administrateurs.
   • Plan de financement, politique de gestion des liquidités et références bancaires ou lettres de confort.

6. Actifs des clients, garde et tenue de registres

   • Politique de protection des actifs des clients et dispositifs de ségrégation ; procédures de garde et de rapprochement.
   • Procédures pour les fonds des clients, le cas échéant, y compris les comptes en fiducie et les contrôles des grands livres des clients.
   • Politique de tenue de registres pour les confirmations de transactions, les relevés et les données KYC/CDD pour la période de conservation requise.

7. Technologies de l'information et préparation opérationnelle

   • Politique de sécurité informatique, contrôles d'accès et plan de gestion des vulnérabilités.
   • Plan de continuité des activités et de reprise après sinistre avec les objectifs RTO/RPO et les résultats des tests.
   • Analyse d'impact de la protection des données lorsque le traitement des données personnelles de l'UE a lieu ; procédure de réponse en cas de violation de données.
   • Aperçu de l'architecture technologique et journaux des systèmes critiques ; procédures de sauvegarde et de récupération.

8. Externalisation et relations avec des tiers

• Liste des dispositifs d'externalisation importants, des fournisseurs de services et de la diligence raisonnable effectuée.
• SLA, évaluations des risques et mécanismes de surveillance continue pour les principaux fournisseurs.
• Implications en matière de continuité des activités et voies d'escalade pour les fonctions externalisées.

Politiques opérationnelles pour les clients et les produits

• Dossiers d'intégration des clients, modèles de collecte de données KYC et étapes de vérification basées sur les risques.
• Processus de traitement des plaintes, voies d'escalade et signalement aux clients.
• Toutes les informations sur les produits, les informations sur les conflits d'intérêts et les considérations de pertinence/adéquation.

Annexes, traductions et documents justificatifs

• Traductions certifiées de documents non anglais ; apostille ou légalisation si nécessaire.
• Index, matrice de références croisées et numérotation des pages ; PDF lisibles (non chiffrés) avec texte interrogeable.
• Exemples de modèles (KYC, évaluation des risques, documents de politique) et copies des formulaires officiels utilisés dans la demande.

Phases de candidature et délais typiques : de la soumission à la décision

Soumettre un dossier complet, prêt pour l'organisme de réglementation, et programmer une réunion de pré-candidature avec la CySEC pour aligner les attentes.

Phase 1 – Préparation et pré-candidature (1 à 2 semaines). Compiler les documents de gouvernance, l'organigramme, les profils du personnel clé et un cadre LBA/FT robuste. Préparer le plan d'affaires, les politiques de gestion des risques, les contrôles informatiques, les dispositifs d'externalisation et le plan de capital. Désigner un seul agent de liaison réglementaire et rassembler des modèles prêts à l'emploi et des expositions pour rationaliser le processus de soumission.

Phase 2 – Soumission et contrôle d'exhaustivité (2 à 4 semaines). Remettre le dossier de candidature complet via le portail de la CySEC, y compris toutes les annexes, les traductions, le cas échéant, et les approbations d'entreprise à jour. Utiliser la liste de contrôle de la CySEC pour vérifier que chaque élément est présent et formaté de manière cohérente afin d'éviter les retards.

Phase 3 – Examen administratif et évaluation initiale (4 à 8 semaines). La CySEC vérifie l'éligibilité, la structure de l'entreprise, les personnes de contrôle et les normes d'aptitude et d'honorabilité pour les administrateurs et les cadres supérieurs. L'autorité vérifie également la solvabilité, la planification de l'adéquation du capital et la préparation organisationnelle pour soutenir les exigences réglementaires.

Phase 4 – Évaluation réglementaire approfondie (8 à 16 semaines). L'organisme de réglementation examine la gestion des risques, les contrôles internes, le programme de conformité, les mesures LBA/FT, la gouvernance informatique, les dispositifs d'externalisation et le réalisme du plan d'affaires. S'attendre à des demandes de clarifications ou de documents supplémentaires pour valider les contrôles, la gouvernance et la planification du capital.

Phase 5 – Demandes et réponses d'informations (2 à 6 semaines par tour). La CySEC peut poser des questions ciblées ou demander des preuves supplémentaires. Fournir des réponses précises et bien structurées avec des sections de références croisées, et joindre des politiques ou des schémas mis à jour en cas de besoin. Limiter les délais de réponse pour que l'examen se déroule efficacement.

Phase 6 – Décision et étapes d'octroi de licences (4 à 8 semaines après les informations finales). La CySEC émet la lettre de décision, qui peut accorder la licence avec des conditions spécifiques ou, dans de rares cas, demander d'autres modifications. Se préparer à d'éventuelles approbations conditionnelles qui précisent les délais de mise en œuvre des contrôles, du signalement ou des exigences de capital supplémentaires.

Phase 7 – Post-décision et préparation à l'exploitation (2 à 6 semaines, le cas échéant). Finaliser les formalités d'octroi de licences, s'inscrire auprès des autorités compétentes et mettre en place des dispositifs de supervision continue. Une fois autorisée, vous obtenez des droits de passeport transfrontaliers pour fournir des services dans d'autres juridictions de l'UE dans le cadre de la directive MiFID II, sous réserve d'une conformité continue et d'examens périodiques.

Le point de vue d'Avi Sela : ce que eToro et les fintechs gagnent collectivement grâce à l'accès à Chypre

Recommandation : Obtenir une licence CIF réglementée par la CySEC pour transférer les services d'investissement de base dans toute l'UE, et l'appuyer avec une licence de services de paiement ou de monnaie électronique basée à Chypre pour gérer les paiements et les portefeuilles des clients. Cela crée une empreinte de conformité unique à l'échelle de l'UE à partir d'une plateforme chypriote.

Avec la CySEC, vous accédez au cadre MiFID II sur 27 marchés via le régime de passeport, évitant ainsi des licences distinctes dans chaque État. Cela permet à eToro et à d'autres fintechs d'évoluer rapidement tout en maintenant un produit cohérent et une intégration de la clientèle dans tout le bloc.

Les principaux points de données soutiennent cette démarche : Chypre maintient un taux d'impôt sur les sociétés de 12,5 %, un large réseau de conventions de double imposition et un régime de surveillance stable et aligné sur l'UE sous la CySEC. Une licence CIF CySEC comporte des contrôles établis sur la diligence raisonnable à l'égard de la clientèle, la LBA/FT et les rapports que les contreparties attendent des courtiers et des gestionnaires d'actifs autorisés.

Ce que cela signifie en pratique pour l'entreprise : une base à Chypre réduit le risque transfrontalier, permet une acquisition plus rapide de clients de l'UE et réduit les coûts de conformité en double. Cela ouvre également les portes aux fournisseurs de liquidités, aux fournisseurs de fintech et aux banques qui préfèrent une plateforme autorisée par l'UE avec une gouvernance claire des risques.

Plan opérationnel pour l'échelle

Construire un cadre de gouvernance qui couvre le KYC, la LBA, la protection des données et la cybersécurité, avec un MLRO local et une équipe de conformité dédiée conforme à la CySEC. Mettre en œuvre des contrôles des risques pour l'intégration, la surveillance et le contrôle des sanctions liés aux cycles de signalement de la CySEC. Combiner la licence CIF avec une capacité de paiements/EMI pour rationaliser les flux de clientèle, les portefeuilles et les règlements. Aligner les activités de crypto avec la conformité MiCA, le cas échéant, y compris les services en marque blanche ou de conseil pour éviter une mauvaise classification.

Étapes concrètes ici et maintenant

1) Engager un dialogue avec la CySEC pour confirmer la portée de la licence pour votre gamme de produits et confirmer les exigences d'adéquation du capital en vertu de MiFID II. 2) Cartographier les droits de passeport vers les marchés cibles et rédiger un plan d'opérations transfrontalières couvrant l'intégration, le marketing et la protection de la clientèle. 3) Embaucher un responsable de la conformité local, établir des protocoles LBA/KYC et mettre en œuvre des protections de données alignées sur le RGPD. 4) Établir une pile technologique modulaire pour le trading, les paiements et le signalement des risques, en assurant une intégration transparente avec les superviseurs de l'UE. 5) Mener un projet pilote dans deux ou trois États membres, surveiller les coûts d'acquisition de clients et ajuster les offres de prix et de produits en conséquence.

Implications pratiques : résidence, opérations bancaires, ainsi que les considérations fiscales pour les candidats

Demander un permis de séjour permanent par la voie de l'investissement seulement après avoir confirmé une valeur de propriété d'au moins 300 000 € hors TVA et s'être assuré que les fonds proviennent de sources traçables. Le registre civil et le service des migrations examineront vos documents, et vous devez préparer les pages de votre passeport, un casier judiciaire vierge, une assurance maladie, une preuve d'adresse, un titre de propriété et une preuve des fonds.

Spécificités de la voie de la résidence : Un achat de propriété admissible avec un revenu continu soutient l'éligibilité. Les permis sont généralement délivrés pour cinq ans et sont renouvelables, à condition que vous conserviez la propriété et que vous remplissiez les conditions de revenu. Si vous préférez une voie sans investissement, envisager un séjour de longue durée lié à un emploi, un travail indépendant ou des liens familiaux, et vérifier les options de programme actuelles auprès du registre civil.

Banque : Ouvrir un compte bancaire chypriote pour gérer les finances et les transferts quotidiens. Apporter votre passeport, une preuve d'adresse, un numéro d'identification fiscale chypriote ou un TIN étranger, et des documents indiquant la source des fonds (contrats de vente, relevés d'investissement, relevés de salaire). Les banques effectuent une diligence raisonnable standard, peuvent demander une adresse locale et peuvent exiger un solde minimum ou des frais mensuels. Utiliser les services bancaires en ligne et les comptes multidevises pour simplifier les activités transfrontalières.

Considérations fiscales : Vous devenez résident fiscal chypriote si vous passez plus de 183 jours par année ici, ou si vous vous qualifiez en vertu de la règle des 60 jours si vous n'avez pas d'autre État où vous êtes résident fiscal et si vous remplissez trois conditions : maintenir un domicile à Chypre, être employé ou gérer une entreprise à Chypre, et passer le reste de l'année hors de Chypre. Les résidents non domiciliés évitent la contribution de défense sur les dividendes et les intérêts pendant une période maximale de 17 ans. Les taux d'imposition sur le revenu des personnes physiques sont de 0 % jusqu'à 19 500 €; 20 % jusqu'à 28 000 €; 28 % jusqu'à 36 300 €; 30 % jusqu'à 60 000 €; 35 % au-dessus. L'impôt sur les sociétés est de 12,5 %; le taux normal de TVA est de 19 %. L'impôt sur les gains en capital s'applique à un taux de 20 % sur les gains provenant de la cession de biens immobiliers situés à Chypre. Chypre a des conventions de double imposition avec de nombreuses juridictions pour faciliter la planification transfrontalière.