La directive de surveillance fiscale des crypto-actifs, en vigueur depuis le 1ᵉʳ janvier 2026.
La directive DAC8 , en vigueur depuis le 1ᵉʳ janvier 2026 , oblige tous les
prestataires de services sur crypto-actifs (CASP) de l’UE à transmettre des informations
annuelles sur les transactions crypto déclarables de leurs clients à l’administration fiscale, données ensuite
partagées automatiquement entre les 27 États membres .
Chaque CASP doit déclarer, tous les ans :
l’identité complète du client (nom, adresse de domicile, date de naissance, numéro fiscal) et sa résidence fiscale ; les types de crypto-actifs et les catégories de transactions ; les valeurs, unités, dates, nombres de transactions et agrégats annuels ; les informations de transfert, y compris les transferts agrégés vers
des adresses de registre distribué non associées à un VASP le cas
échéant.
Le premier exercice déclaré couvre l’année 2026 , et le premier échange entre
administrations est prévu pour septembre 2027 . En France, la transposition s’est
faite par le décret n° 2025-1276 du 19 décembre 2025 .
Conseil de l’UE, communiqué du 17 octobre 2023 · Commission européenne,
page DAC8 · décret n° 2025-1276 du 19 décembre 2025 (Journal Officiel) ·
ADAN / Deloitte / Ipsos, Baromètre 2026.
Notre action « Une action juste, légitime, et alignée avec l'objectif même de DAC8. »
Le 24 février 2026 , Bull Bitcoin a déposé une requête sommaire devant le
Conseil d’État contre le décret n° 2025-1276 du 19 décembre 2025 .
Ce décret constitue la principale mesure de transposition de la directive DAC8 en
droit français. Il étend significativement le périmètre des obligations déclaratives
pesant sur les CASP français, y compris au-delà du champ initialement prévu par la
directive elle-même.
Cette action n’est qu’un début, et n’est qu’un des nombreux fronts sur lesquels nous
allons nous engager. Nous viserons tous les moyens légitimes de suspendre, retarder,
annuler ou amender les effets néfastes de DAC8 et du CARF .
Calendrier de la procédure
La requête sommaire (24 février 2026) ouvre formellement le contentieux. Un
mémoire ampliatif développant l’argumentaire de fond est en cours de rédaction
et sera déposé dans les prochains mois. Le Conseil d’État statuera ensuite sur le
fond (délais habituels : 12 à 24 mois ).
Pourquoi cela vous concerne ? « Le premier devoir de l'État, c'est de protéger ses citoyens. »
DAC8 ne concerne pas que les détenteurs de crypto-actifs. En réunissant identités,
adresses de domicile et données de transactions et de transferts crypto dans une base partagée par 27 administrations
fiscales , la directive crée une cible de très grande valeur, au moment précis où les
criminels ciblent en priorité les proches des détenteurs.
40-135 M d'Européens en zone de risque physique (détenteurs et leurs proches)
>50 % des victimes d'attaques en 2026 ne détiennent aucune crypto : conjoints, enfants, parents âgés
Les crypto-actifs sont liquides, transférables et parfois visibles sur des blockchains
publiques. Une fois l’identité civile et l’adresse de domicile reliées à l’activité crypto
et à des signaux de valeur, ces données ne servent plus seulement à l’impôt : elles servent à cibler des personnes.
Plus de la moitié des victimes d’attaques en 2026 ne possèdent aucune cryptomonnaie.
Vous n’avez jamais acheté de bitcoin ? Un proche qui en détient suffit à faire de vous
une cible, et vous n’avez jamais consenti à figurer dans cette base.
Même si vous ne détenez aucune crypto
La sécurité de vos données, et celle de vos proches, dépend désormais du maillon le
plus faible parmi 27 administrations. Une seule fuite suffit.
La position de Bull Bitcoin est simple : les autorités fiscales
doivent pouvoir enquêter sur des contribuables précis par des demandes
ciblées et motivées. Elles ne doivent pas créer un fichier de masse des
utilisateurs, des adresses de domicile, des transactions et des
transferts crypto.
CertiK, Wrench Attacks Report Q1 2026 · ADAN, Baromètre 2026 · Eurostat EU-SILC 2023.
Pourquoi c'est déraisonnable ? « Une adresse blockchain, ce n'est pas un numéro de compte. C'est une vie financière entière exposée. »
La transparence de la blockchain rend la collecte disproportionnée
Une adresse blockchain n'est pas un numéro de compte : c'est une clé
d'accès vers une vie financière entière, publique et permanente. DAC8
peut lier identité, transferts et activité crypto à des données
publiques extensibles, y compris des opérations sans pertinence fiscale
directe.
Une
adresse blockchain n’est pas un numéro de compte : c’est une clé
d’accès vers une vie financière entière, publique et permanente. Sur
Bitcoin, Ethereum et la quasi-totalité des chaînes publiques, toutes les
transactions sont publiques, vérifiables et permanentes. Lorsque
l’activité crypto déclarée relie une identité civile à une activité de
registre public, l’exposition dépasse donc largement un simple événement
fiscal.
Une exposition totale. Là où la DAC2 transmet des
soldes, DAC8 relie identité et adresse de domicile à des données de
transactions et de transferts crypto ; sur les registres publics, cela
peut devenir un point d’entrée vers un historique plus large.Tout, y compris le non-fiscal. Transferts entre ses
propres wallets, dons à la famille, paiements à des commerçants,
opérations P2P : DAC8 capte des mouvements sans aucune pertinence
fiscale.Une fuite qui ne se referme jamais. Contrairement à un solde figé, l’historique on-chain se met à jour seul, à perpétuité, aux yeux de tout attaquant.Une atteinte à la proportionnalité. L’article 52 de
la Charte des droits fondamentaux exige qu’une limitation d’un droit
soit nécessaire et proportionnée ; la CJUE l’a rappelé sur FATCA et le
RGPD.
L'argument juridique central
La transparence native de la blockchain transforme DAC8 en une mesure intrinsèquement disproportionnée .
Là où la DAC2 collecte des données limitées (information de compte),
DAC8 relie identité, adresse de domicile et activité crypto d’une façon
qui peut ouvrir sur des historiques complets et infinis. Cette
disproportion structurelle ne peut être corrigée par des « mesures de
sécurité » : elle est inscrite dans la nature même de la donnée
collectée.
Aucune preuve d'efficacité ne le justifie
Sept ans après sa première évaluation, la Commission européenne
reconnaît elle-même que « l'évaluation des avantages est extrêmement
limitée ». La Cour des comptes européenne et le Parlement font le même
constat. Le dispositif AML/KYC comparable n'intercepte que 0,1 % des
fonds criminels, pour 136,5 milliards $ de coûts annuels en Europe.
Aucune donnée publique ne démontre que l’échange automatique de masse produit un
rendement fiscal à la hauteur de son coût. Sept ans après sa première évaluation, la
Commission européenne reconnaît que « l’évaluation des avantages est extrêmement
limitée ». Elle étend pourtant ce même dispositif aux crypto-actifs.
La Commission (SWD 2019, puis SWD 2025) admet ne pas pouvoir chiffrer les recettes
supplémentaires générées par l’échange automatique. La Cour des comptes européenne (rapport 03/2021) relève qu’un seul des cinq États
audités contrôle la qualité des données, et qu’entre 2015 et 2017, 2 % seulement des
contribuables concernés étaient reliés à un numéro fiscal. Le dispositif AML/KYC comparable n’intercepte que 0,1 % des fonds criminels pour
136,5 milliards $ de coûts annuels en Europe. Le précédent CRS montre surtout un déplacement vers des juridictions non couvertes,
pas une baisse nette de l’évasion.
Le rapport coût / bénéfice
136,5 milliards $ par an de conformité AML en Europe pour récupérer 0,1 % des fonds
criminels. Si DAC8 reproduit ce rapport, son coût (estimé en centaines de millions
d’euros par l’industrie) sera dépensé pour un rendement fiscal marginal, tout en
exposant des dizaines de millions de citoyens à des risques physiques inédits.
DAC8 produira l'inverse de l'objectif recherché
En rendant l'usage des CASP régulés synonyme d'exposition, DAC8 pousse
les détenteurs rationnels vers le hors-périmètre (P2P, mining, wallets
non-custodial, plateformes offshore). La directive contredit directement
MiCA, la régulation que l'Europe a mis cinq ans à construire pour
protéger ces mêmes citoyens.
Le
détenteur informé ne se demande pas s’il doit déclarer : dès qu’il
utilise un CASP, ses données partent au fisc de toute façon. Sa vraie
question devient « Dois-je continuer à utiliser un CASP régulé ? » Pour un nombre croissant de détenteurs, la réponse sera non.
Le contournement est licite. Wallets non-custodial,
DEX, P2P, mining, staking non-custodial : autant de voies hors
périmètre DAC8 et parfaitement légales. La directive ne pousse pas à la
fraude, mais à quitter les CASP régulés.La contradiction avec MiCA est frontale. L’UE a mis
près de cinq ans (2019-2024) à bâtir MiCA pour ramener les Européens
vers des plateformes régulées, sûres et supervisées. Six mois avant
l’échéance du 1er juillet 2026, DAC8 fait de ces mêmes plateformes le
lieu le plus exposé.L’efficacité s’inverse. Les détenteurs sophistiqués
sortent ; il ne reste dans le périmètre que les utilisateurs
ordinaires, qui portent seuls le risque physique. Moins d’assiette
imposable identifiée, au prix d’emplois et de souveraineté numérique.
La contradiction fondamentale
MiCA
dit aux Européens : « N’utilisez que des plateformes régulées
européennes, c’est plus sûr. » DAC8 leur dit, six mois plus tard : « En
utilisant ces plateformes régulées, vous serez identifiés dans 27 bases
de données et vos proches deviendront des cibles. »
Une alternative moins intrusive existe déjà
Le droit de communication (art. L. 81 et suivants du Livre des
procédures fiscales) permet déjà à l'administration d'accéder, de façon
ciblée et motivée, aux données détenues par les CASP. C'est le standard
pour tous les autres actifs. Lorsqu'une mesure moins intrusive atteint
le même objectif, la collecte de masse est, par construction,
disproportionnée.
Le droit de communication (articles L. 81 et suivants du Livre des procédures fiscales)
permet déjà à l’administration d’accéder, de façon ciblée et motivée , aux données
détenues par les tiers (banques, prestataires, et désormais CASP), pour un contribuable
identifié sous investigation. Lorsqu’une mesure moins intrusive atteint le même
objectif, la collecte de masse est, par construction, disproportionnée.
Points clés :
Une alternative moins intrusive existe. DAC8 échoue au test de proportionnalité de
l’article 52 de la Charte : non nécessaire, non adéquate, non proportionnée.Le droit de communication est ciblé. Il vise les contribuables sous investigation,
avec des données strictement nécessaires, au lieu de ~54 M de détenteurs dans 27 bases
centralisées.C’est déjà le standard. Œuvres d’art, lingots, immobilier étranger (formulaire 3916),
comptes-titres : l’administration les obtient sur réquisition motivée, jamais par accès
permanent. Les crypto-actifs ne justifient aucune exception.
Une proposition constructive
L’opposition à DAC8 ne porte pas sur le principe d’une coopération entre CASP et
administrations fiscales. Bull Bitcoin soutient un modèle qui sert mieux l’objectif
déclaré de DAC8 (combler les éventuelles sous-déclarations), tout en respectant la
proportionnalité et en protégeant les citoyens : le droit de communication ciblé ,
déjà éprouvé en droit français.
Pourquoi il faut l'arrêter ? « Un fichier centralisé, c'est une cible. »
Une épidémie de violence physique vise les détenteurs
La violence physique liée à la crypto a explosé : 82 % des attaques
mondiales ont lieu en Europe et 70 % en France (janvier à avril 2026),
et le ministère de l'Intérieur recense environ une attaque tous les 2,5
jours. 101 M$ extorqués en quatre mois. Les criminels n'opèrent plus au
hasard : ils achètent les données personnelles de leurs cibles.
La
violence physique liée à la crypto a explosé et se concentre en Europe,
la France en tête. Les criminels n’opèrent plus au hasard : ils
achètent les données personnelles de leurs cibles pour sélectionner,
localiser et faire pression sur les détenteurs et leurs proches.
82 % des attaques physiques mondiales liées à la crypto ont lieu en Europe et 70 % en France (janvier à avril 2026) ; 101 M$ extorqués en quatre mois (CertiK, 2026). Le ministère de l’Intérieur recense environ une attaque tous les 2,5 jours .La France documente une montée continue : 18 faits en 2024, 67 en 2025, 47 en 2026 au 25 avril ; 88 personnes mises en examen , dont plus de 10 mineurs (PNACO). Le mode opératoire a muté : achat de données, croisement avec des
fuites de plateformes (cas Waltio), surveillance des proches, exécutants
recrutés via Telegram, orchestration depuis l’étranger. DAC8 et CARF ajouteraient une base structurée reliant identités
civiles et données crypto : exactement ce que les attaquants cherchent
déjà à obtenir.
Le PNACO confirme
Les réseaux criminels recrutent activement et ciblent systématiquement les familles
des détenteurs connus de cryptomonnaie.
Les proches sont en première ligne
Plus de la moitié des victimes 2026 ne sont pas des détenteurs : ce
sont leurs conjoints, enfants ou parents âgés. DAC8 n'expose donc pas
seulement les détenteurs, mais l'ensemble de leur cercle familial, entre
40 et 135 millions d'Européens en zone de risque physique, sans
qu'aucun d'eux n'ait jamais consenti.
Plus
de la moitié des incidents violents recensés en 2026 ne visent pas des
détenteurs : ce sont leurs conjoints, enfants ou parents âgés, victimes
directes ou leviers de pression (CertiK, Q1 2026). DAC8 n’expose donc
pas seulement les détenteurs de crypto-actifs, mais l’ensemble de leur
cercle familial proche.
Un risque de masse. En multipliant chaque détenteur
par sa famille proche (× 2,5, cohérent avec la taille moyenne des
ménages UE), on obtient entre 40 et 135 millions d’Européens en zone de
risque physique.Un risque asymétrique. Une fuite de 50 000
détenteurs devient une fuite de 125 000 personnes réellement exposées ;
une fuite DAC8 (54 M) deviendrait une fuite de 135 M.Aucun consentement. Les proches n’ont jamais utilisé de plateforme crypto ni accepté de CGU, et n’ont aucun moyen d’opt-out.
Le point aveugle de DAC8
Une
mesure fiscale crée un risque physique pour des personnes qui ne sont
pas contribuables crypto. Le détenteur ne peut pas les protéger seul :
l’opsec ne couvre pas un parent âgé à 500 km ou un enfant scolarisé
ailleurs.
DAC8 ajoute une base à un sol déjà contaminé
En 18 mois, plus de 100 millions de dossiers de citoyens français ont
été compromis depuis des bases gérées par l'État ou ses prestataires. Le
lien entre fuites et violences est désormais affirmé par les autorités :
le piratage de Waltio a directement servi à au moins trois enlèvements.
DAC8 ajoute à ce terrain une base de détenteurs d'un actif transférable
sous contrainte.
Aucune
base publique ne peut être considérée comme définitivement sûre. En 12
mois, la CNIL a reçu 8 613 notifications de violations (+45 %), soit
environ une fuite par heure, pour 12,2 millions de personnes concernées.
DAC8 ajoute à ce terrain une base qui croise identité civile et
activité crypto.
Points clés :
La sécurité dépend du maillon le plus faible : une seule des 27
administrations suffit. Les précédents existent (NRA Bulgarie 2019 :
jusqu’à 7 M de contribuables ; Equalize en Italie ; l’agente Ghalia C.
de la DGFiP ciblant les investisseurs crypto). Le risque n’est pas que le piratage externe : accès internes
abusifs, mauvaises configurations et prestataires compromis comptent
autant. Une donnée crypto fuitée reste exploitable longtemps et peut créer une surveillance permanente, voire un ciblage physique.
Lecture critique
Sur seulement 18 mois, plus de 100 millions de dossiers de citoyens français ont été
compromis depuis des bases gérées par l’État ou ses prestataires, pour ~68 M
d’habitants. C’est dans ce contexte que DAC8 ajoute une base supplémentaire, concernant
spécifiquement les détenteurs d’un actif liquide, transférable instantanément sous
contrainte physique, et hautement convoité.
Le précédent décisif
Waltio préfigure exactement ce que DAC8 va massifier : une plateforme française détenant
des données fiscales crypto piratée, puis les données servent directement à des enlèvements.
DAC8 crée le même type de base, mais à une échelle 1000× supérieure , partagée entre
27 administrations.
Une base centralisée est, par nature, une cible
Concentrer des données sensibles crée un « honeypot » : une cible à
très haute valeur. Les CASP régulés (MiCA, DORA, RGPD) sont des
professionnels surveillés, sanctionnables et incités à protéger leurs
clients. DAC8 fait l'inverse : 27 bases partagées, dont la sécurité de
l'ensemble vaut celle du maillon le plus faible.
Concentrer
des données crypto sensibles dans une base partagée crée un « honeypot »
: une cible à très haute valeur. Plus la base est grande et précieuse,
plus l’effort des attaquants est important et plus une seule fuite est
dévastatrice. La cible DAC8 sera l’une des plus précieuses d’Europe.
Les CASP régulés (MiCA depuis le 30 décembre 2024, DORA depuis
janvier 2025, RGPD) sont des professionnels surveillés et incités : une
fuite leur coûte licence, clients et réputation, avec des sanctions
jusqu’à 4 % du chiffre d’affaires mondial. Une administration qui perd
les données des contribuables, elle, continue d’exister et n’écope au
pire que d’une amende symbolique (Bulgarie 2019 : 2,9 M€ payés par le
contribuable bulgare à l’État bulgare).
DAC8 fait l’inverse du bon réflexe de sécurité :
Modèle actuel : environ 100 à 200 CASP indépendants ; une fuite reste circonscrite (Waltio : 50 000 clients).Modèle DAC8 : 1 base × 27 administrations = 27 cibles équivalentes, avec des millions d’agents exposés (DGFiP : environ 100 000).La sécurité de l’ensemble vaut celle du maillon le plus faible.
Le calcul de risque
Sous DAC8, les données crypto des Français, Allemands ou Néerlandais transiteront aussi
par les systèmes bulgares, roumains, hongrois ou slovaques. La sécurité de la base
européenne sera dictée par celle du membre le moins bien équipé .
Faites passer le mot
Sensibilisez votre entourage Partagez le site pour alerter le plus grand nombre, ou téléchargez l'infographie pour la diffuser autour de vous.
https://dac8.com/fr/
Contribuer au combat
Le combat contre DAC8 est financé par BULLBITCOIN.COM et par une autre
plateforme d'échange crypto française qui préfère rester anonyme pour le
moment. Pour contribuer, c'est simple : utilisez BULLBITCOIN.COM comme
plateforme d'échange. Les profits générés par votre activité financent
nos actions juridiques contre DAC8 et CARF partout où elles seront
utiles.
Aucun commentaire:
Enregistrer un commentaire