Menu
Retour
Newsletters
24 mars 2026

[Edito] De la minimisation des données personnelles des détenteurs de crypto-actifs

Romain Chilly
Auteur
Romain Chilly

Alors que la détention de wallets non custodial contenant plus de 5000 € en actifs numériques pourrait bientôt être soumise à une obligation de déclaration, la DGFiP a d’ores-et-déjà indiqué qu’elle ne serait probablement pas en mesure d’assurer la sécurité des données personnelles particulièrement sensibles qui pourraient lui être transmises dans ce cadre (affirmation rapportée par M. Le rapporteur du projet de loi de lutte contre les fraudes sociales et fiscales M. Daniel Labaronne dans la séance du jeudi 26 février 2026). Cette déclaration s’inscrit dans le contexte de multiplication des cyberattaques contre les grandes bases de données. En février 2026, la DGFiP a elle-même fait l’objet d’une cyberattaque majeure au cours de laquelle des pirates ont accédé à plus de 1,2 millions de données personnelles du  fichier national des comptes bancaires (FICOBA). L’ampleur de cette attaque illustre une nouvelle fois l’impossibilité technique d’assurer la sécurisation des bases de données face à l’ingéniosité croissante des pirates et à l’interconnexion massive des systèmes. Le « risque zéro » n’existe pas dans le cyberespace.

Des mesures de sécurité appropriées aux risques

En vertu des articles 24 et 32 du Règlement général sur la protection des données (RGPD), les responsables de traitement ont l’obligation de garantir la sécurité des données en mettant en œuvre des mesures techniques et organisationnelles appropriées et effectives. Cette obligation cardinale a récemment été rappelée par la CNIL qui a sanctionné les sociétés Free et Free Mobile (42 millions d’euros d’amende) et l’opérateur France Travail (5 millions d’euros d’amende) pour manquement à cette obligation.

Il incombe aux responsables de traitement d’évaluer objectivement les risques du traitement afin d’adopter les mesures appropriées et effectives pour garantir la sécurité des données personnelles. Destruction, perte ou altération de données, divulgation ou accès non autorisés, de manière accidentelle ou illicite, sont autant de risques dont la probabilité et la gravité doivent impérativement être appréciés.

Certains domaines présentent des risques particulièrement élevés compte tenu de la nature, la portée, le contexte et les finalités du traitement. Tel est en particulier le cas de l’écosystème crypto au sein duquel la vigilance des responsables de traitement doit être nécessairement décuplée. Les données personnelles des acteurs du secteur — identités, coordonnées, historiques de commandes, adresses physiques — constituent des informations à haut risque. Leur divulgation, lors d’une fuite de données par exemple, expose les personnes concernées à des tentatives de hameçonnage, à des escroqueries ciblées, voire à des atteintes physiques.

La garantie de sécurité absolue des données personnelles est toutefois illusoire. Dans le contexte actuel, la sophistication des manœuvres frauduleuses rend vulnérables des systèmes supposément ultra-sécurisés. Même les administrations publiques ne sont pas épargnées si l’on prend pour exemples la cyberattaque majeure subie par le Ministère de l’intérieur le 16 décembre 2025 ou encore l’accès illégitime au fichier national des comptes bancaires (FICOBA) déploré le 18 février 2026 par le Ministère de l’Économie. Ainsi, il convient de rappeler qu’une faille de sécurité des données ne suffit pas à exposer le responsable de traitement à des sanctions. Seul le défaut d’adoption de mesures appropriées et effectives pour garantir cette sécurité par rapport aux risques identifiés est susceptible d’entraîner des sanctions, que le traitement soit effectué par le responsable de traitement lui-même ou par un tiers prestataire.

L’impossibilité de soumettre les acteurs à une obligation de résultat sur la sécurité des données

Le risque zéro n’existant pas, assurer l’inviolabilité absolue d’un système informatique est un objectif inatteignable. Exiger des responsables de traitement qu’ils garantissent sans réserve la sécurité des données conduirait à les sanctionner systématiquement en cas d’atteinte aux données personnelles et ce alors qu’ils pourraient avoir adopté toutes les mesures adéquates. Les responsables de traitement ne sont dès lors pas débiteurs d’une obligation de résultat en matière de sécurité des données mais d’une obligation de moyen renforcée.

En cas de faille de sécurité, les responsables de traitement doivent être en mesure de démontrer qu’ils ont mis en œuvre les mesures techniques et organisationnelles efficaces et appropriées compte tenu des risques identifiés, de l’état des connaissances et des coûts engendrés. Selon les besoins, il peut notamment s’agir de mesures assurant la pseudonymisation, le chiffrement, la confidentialité et l’intégrité des données personnelles ou encore de moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

Pour éviter toute sanction pour négligence ou défaut de diligence, les responsables de traitement doivent régulièrement évaluer les mesures de sécurité adoptées. Une vigilance constante est de rigueur en particulier dans les secteurs sensibles tels que l’écosystème crypto régulièrement visé par des manœuvres frauduleuses de tiers malveillants.

L’enjeu majeur de la minimisation des données

Pour contourner l’obstacle lié à l’impossibilité de garantir l’intégrité des données, il est nécessaire de renforcer la minimisation des données. En effet, en application de l’article 5.1.c du RGPD, les responsables de traitement ont l’obligation de veiller à l’adéquation, à la pertinence et au caractère nécessaire des données personnelles au regard des finalités pour lesquelles elles sont traitées. La CNIL sanctionne les responsables de traitement qui ne respectent pas ce principe . Dans le cadre de la lutte contre la fraude notamment, elle a pu rappeler que les responsables de traitement sont tenus de collecter et conserver uniquement les données nécessaires.

Pour autant, la réglementation actuelle semble s’inscrire dans une trajectoire opposée au principe cardinal de minimisation des données.

En élargissant considérablement le champ de la transparence fiscale aux transactions réalisées sur les plateformes d’échange de crypto-actifs, la Directive DAC8 impose à l’ensemble des CASP de lourdes obligations de déclaration. Pour s’y conformer, les CASP mettent en place une collecte systématique et exhaustive de données personnelles lesquelles sont stockées par précaution aux fins de prévenir des fraudes potentielles.

De même, le projet de loi contre les fraudes sociales et fiscales prévoit l’instauration d’une obligation de déclaration des wallets non custodial lorsque les actifs numériques détenus dépassent 5 000 €. Une telle mesure conduirait à centraliser les données personnelles de détenteurs de crypto-actifs et ce alors que le rappelle la DGFIP elle-même, il existe des réserves importantes quant aux capacités de l’Etat de préserver l’intégrité des données qu’il collecte. Dans un contexte où le coût d’une attaque contre un système d’information est devenu extrêmement faible par rapport aux moyens qu’il convient de déployer pour l’attaquer, le principe doit être celui de la minimisation des données collectées, seule garantie viable contre le risque informatique : le moyen le plus efficace de protéger une donnée reste de ne pas la collecter.

Nos derniers articles
Tous les articles
Newsletters
Mars 2026
Consulter
Mise en conformité DAC8 pour les PSCA : guide pratique
Articles
22 mars 2026
Mise en conformité DAC8 pour les PSCA : guide pratique
[Livre blanc] Échange automatique d'informations crypto (DAC8 & CARF)
Livres blancs
22 mars 2026
[Livre blanc] Échange automatique d’informations crypto (DAC8 & CARF)