Bull Bitcoin saisit le Conseil d’État contre le décret français transposant DAC8

0
19

Le 24 février 2026, la plateforme Bull Bitcoin a déposé une requête sommaire devant le Conseil d’État afin d’obtenir l’annulation du décret français transposant la directive européenne DAC8. Cette procédure est la première étape d’une stratégie plus large visant à contester les dispositifs de collecte massive de données appliqués aux utilisateurs d’actifs numériques, qu’il s’agisse de DAC8 dans l’Union européenne ou du Crypto-Asset Reporting Framework (CARF) porté par l’OCDE.

Depuis le 1er janvier 2026, DAC8 oblige en effet les prestataires de services sur crypto-actifs (PSCA) établis dans l’Union européenne à transmettre chaque année à leur administration fiscale l’identité de leurs clients ainsi que des informations détaillées sur leurs opérations. Ces données sont ensuite échangées automatiquement entre les administrations fiscales des États membres. En France, cette obligation est déclinée dans le décret n° 2025-1276 du 19 décembre 2025. C’est ce texte que Bull Bitcoin conteste.

La procédure n’en est encore qu’à ses débuts. La requête sommaire ouvre le contentieux ; un mémoire ampliatif doit encore être déposé afin de développer l’ensemble des moyens invoqués. Une décision sur le fond n’est vraisemblablement pas attendue avant un à deux ans. Il convient également de rappeler que le Conseil d’État ne peut pas annuler la directive européenne elle-même. Il est uniquement saisi du décret français. Si le litige soulevait une difficulté d’interprétation du droit de l’Union, il pourrait toutefois décider de saisir la Cour de justice de l’Union européenne d’une question préjudicielle.

Quatre arguments pour démontrer la disproportion

Au-delà des moyens tenant à la procédure — la sur-transposition de la directive et les conditions d’adoption du décret, que Bull Bitcoin développera dans son mémoire ampliatif — l’essentiel du recours repose sur un fait : la collecte imposée par DAC8 ne satisfait pas aux exigences de nécessité, d’adéquation et de proportionnalité prévues par l’article 52 de la Charte des droits fondamentaux de l’Union européenne.

1. La nature même des blockchains publiques rend la collecte disproportionnée. Contrairement à un numéro de compte bancaire, une adresse Bitcoin donne accès à un historique de transactions public et permanent. Associer une identité civile à cette adresse revient donc potentiellement à révéler une part importante de la vie financière d’une personne, bien au-delà des seules informations utiles à l’administration fiscale.

2. L’efficacité du dispositif n’est pas démontrée. Bull Bitcoin s’appuie sur les propres évaluations de la Commission européenne, qui reconnaît depuis 2019 disposer de peu d’éléments permettant de mesurer les gains réels des échanges automatiques d’informations. La Cour des comptes européenne relevait par ailleurs qu’entre 2015 et 2017, seuls 2 % des contribuables concernés par des dispositifs comparables avaient pu être rattachés à un numéro fiscal. L’entreprise établit également un parallèle avec la lutte contre le blanchiment, où plusieurs études estiment que moins de 1 % des fonds illicites sont effectivement interceptés malgré des coûts de conformité de plusieurs dizaines de milliards d’euros par an en Europe. Pour Bull Bitcoin, une atteinte aussi importante aux libertés devrait reposer sur une démonstration solide de son efficacité.

Nous pourrions ajouter que les organisations criminelles n’ont aucun intérêt à utiliser leur véritable identité sur des plateformes régulées. Elles disposent déjà d’un marché noir très développé d’identités usurpées, alimenté notamment par les nombreuses fuites de données et les documents collectés dans le cadre des procédures KYC. Les obligations d’identification se retournent ainsi contre les utilisateurs respectueux de la loi.

3. DAC8 pourrait produire l’effet inverse de celui recherché. Selon Bull Bitcoin, les utilisateurs les plus soucieux de leur confidentialité pourraient être incités à quitter les plateformes européennes régulées pour privilégier les échanges de gré à gré, les plateformes situées hors de l’Union européenne et les portefeuilles non-custodiaux — option que nous leur conseillons d’ailleurs… à condition qu’aucune fuite n’établisse de lien entre leur identité et le fait qu’ils possèdent des actifs numériques. Une telle évolution irait donc à rebours de l’objectif poursuivi par la réglementation MiCA, qui cherche précisément à orienter les utilisateurs vers des acteurs supervisés.

4. Une alternative moins intrusive existe déjà. Le droit de communication prévu par les articles L. 81 et suivants du Livre des procédures fiscales permet déjà à l’administration d’obtenir, sur demande motivée, des informations concernant un contribuable identifié. Pour Bull Bitcoin, ce mécanisme ciblé démontre qu’il est possible de lutter contre la fraude sans imposer une collecte systématique concernant l’ensemble des utilisateurs.

Un impératif de sécurité

Le point le plus préoccupant soulevé par Bull Bitcoin dépasse la seule question fiscale. Les autorités européennes justifient DAC8 par la lutte contre la fraude, le blanchiment ou le financement du terrorisme. Ces objectifs sont légitimes. Mais la méthode retenue consiste à centraliser puis à faire circuler des données particulièrement sensibles concernant des millions de citoyens.

Or aucune base de données n’est invulnérable. Les cyberattaques visant aussi bien des entreprises que des administrations sont devenues monnaie courante. Plus une base contient d’informations sensibles, plus elle constitue une cible de valeur. Dans le cas des actifs numériques, les conséquences potentielles d’une fuite sont particulièrement graves. Les enlèvements, séquestrations et extorsions visant des détenteurs d’actifs numériques se sont multipliés ces derniers mois, particulièrement en France. Contrairement à un patrimoine immobilier ou à un portefeuille d’actions, des bitcoins peuvent être transférés sous la contrainte en quelques minutes. Une fuite de données ne menace donc pas seulement la vie privée : elle peut mettre en danger l’intégrité physique des personnes concernées.

C’est là tout le paradoxe de DAC8. Une réglementation présentée comme un outil de protection contre certaines formes de criminalité impose simultanément la constitution de bases de données qui, lorsqu’elles sont compromises, deviennent un instrument de ciblage pour ces mêmes criminels.

Au-delà du décret

Le recours engagé par Bull Bitcoin dépasse le seul cadre d’un décret français. Il pose une question de principe : un État peut-il imposer la collecte systématique des données financières de citoyens qui ne sont soupçonnés d’aucune infraction alors qu’il dispose déjà d’outils de contrôle ciblés ? Le Conseil d’État devra répondre à cette question sur le plan juridique. Mais le débat est également politique. Il oppose une logique de surveillance préventive à une approche fondée sur des investigations ciblées et proportionnées.

C’est évidemment cette seconde approche qui doit prévaloir. Une réglementation ne peut être considérée comme protectrice si, pour lutter contre un risque hypothétique, elle expose des millions de citoyens à un risque plus immédiat et plus concret. Les libertés individuelles ne consistent pas seulement à préserver la confidentialité des données ; elles impliquent également d’éviter que les dispositifs créés au nom de la sécurité ne deviennent eux-mêmes une source de vulnérabilité.

C’est pourquoi nous soutenons la démarche engagée par Bull Bitcoin.

Pour en savoir plus : dac8.com