L’affaire Samourai Wallet soulève une question fondamentale sur la manière dont les États-Unis traitent les logiciels non dépositaires et les développeurs qui les créent. Keonne Rodriguez et William Lonergan Hill n’exploitaient pas de service financier ni ne géraient les actifs des clients. Ils ont écrit et maintenu un logiciel permettant aux utilisateurs de créer des transactions Bitcoin collaboratives tout en préservant la confidentialité. Tout au long du cycle de vie de l’outil, les utilisateurs contrôlaient leurs propres clés, initiaient leurs propres transactions et ne comptaient jamais sur Samourai ou ses développeurs pour transmettre ou sauvegarder la valeur. La distinction entre un service de garde et un outil non dépositaire n’est pas une formalité ; c’est la frontière fondamentale que la loi sur le secret bancaire, les directives du FinCEN et des décennies de pratique réglementaire utilisent pour distinguer les auteurs de logiciels des intermédiaires financiers réglementés.
Ce point a été renforcé par le FinCEN lui-même. Dans une analyse interne, l’agence a conclu que l’architecture de Samourai ne constituait pas un transfert d’argent car aucun tiers n’avait pris possession ou contrôlé les fonds des utilisateurs. Cette conclusion n’a jamais été divulguée à la défense, tandis que l’accusation a avancé une théorie qui exigeait le contraire : selon laquelle la création de logiciels que les utilisateurs utilisent pour protéger leur vie privée est fonctionnellement équivalente à l’exploitation d’une institution financière. Lorsque cette analyse a finalement fait surface, elle a confirmé ce qui était compris depuis longtemps dans l’industrie et au sein de la communauté réglementaire : que les outils non dépositaires ne relèvent pas du cadre de transfert d’argent de la BSA car il n’y a pas de transfert de valeur par un tiers. L’affaire a finalement traité les développeurs comme s’ils étaient responsables des actions indépendantes des utilisateurs, même s’ils n’avaient aucun rôle dans l’exécution, l’intermédiaire ou l’approbation d’une quelconque transaction. Certaines personnes ont effectivement utilisé cet outil à mauvais escient, comme c’est le cas pour toute technologie de confidentialité ou de sécurité, mais la loi n’a jamais assimilé une utilisation abusive à la responsabilité des créateurs. Nous ne considérons pas les auteurs de bibliothèques de chiffrement, de protocoles VPN ou de clients de messagerie comme des participants à des activités illégales simplement parce que de mauvais acteurs s’appuient sur ces outils. Supprimer la distinction entre le développement d’un outil et l’exploitation d’un service introduirait un niveau de risque intenable pour quiconque crée des logiciels améliorant la confidentialité ou critiques pour la sécurité.
Il existe également une composante vocale importante. Les tribunaux ont toujours reconnu que le code est expressif et que la publication de logiciels open source est un acte de communication. Lorsque la publication est traitée comme une preuve d’« opération », la frontière juridique entre la paternité et la conduite s’estompe au point de menacer un large éventail de technologies légitimes. Tout précédent suggérant que les développeurs sont responsables d’une utilisation imprévisible en aval aurait des conséquences immédiates sur la cryptographie, la recherche sur la cybersécurité et plus largement le travail open source.
Rodriguez et Hill ont finalement accepté les accords de plaidoyer malgré une exposition importante à la peine, même si les documents gouvernementaux ont miné la théorie réglementaire centrale de l’affaire. Leurs convictions reposent désormais sur un cadre qui est en contradiction avec les orientations établies et avec la direction dans laquelle la politique fédérale a évolué depuis. Une grâce permettrait d’aligner le résultat juridique sur les faits sous-jacents : il s’agissait d’un développement de logiciel, pas d’un transfert d’argent, et les individus impliqués ne devraient pas être tenus pénalement responsables pour avoir écrit du code que les utilisateurs ont exécuté de manière indépendante.
Cette affaire a déjà eu un effet dissuasif mesurable sur les développeurs travaillant sur des outils de confidentialité et de sécurité aux États-Unis. Laisser ces convictions en place découragerait l’innovation responsable et pousserait les travaux essentiels vers des juridictions qui ne partagent pas notre engagement en faveur d’une recherche ouverte et d’un développement transparent. Une grâce corrigerait une mauvaise application évidente de la loi fédérale, protégerait l’intégrité des distinctions de longue date en matière de réglementation financière et réaffirmerait que la publication de logiciels non dépositaires n’est pas – et ne devrait pas devenir – un acte criminel.
Avis de non-responsabilité – Il s’agit d’une contribution invitée de Zack Shapiro, initialement publiée par le Bitcoin Policy Institute (BPI). Les points de vue et opinions exprimés sont uniquement ceux de l’auteur et ne reflètent pas nécessairement les points de vue de BTC Inc ou de Bitcoin Magazine.