L’échange Bull Bitcoin, récemment licencié sous MiCA, conteste devant les tribunaux français la directive européenne qui met en place une base de données de surveillance de masse, mettant en danger des millions d’utilisateurs de crypto.
Bull Bitcoin, la plus ancienne plateforme d’échange exclusivement Bitcoin et non dépositaire au monde, récemment agréée sous MiCA par l’AMF, le régulateur français des marchés financiers, a déposé une plainte devant le Conseil d’État, la Cour administrative suprême de France. La contestation vise à faire annuler le décret n° 2025-1276, principale mesure transposant la directive européenne DAC8 en droit français, au motif qu’il crée une grille de surveillance et une base de données massives que les institutions ne peuvent pas protéger contre les fuites et les piratages de données, exposant finalement les civils à des risques d’enlèvement et de dommages physiques.
Parallèlement à l’action en justice, la société rend public dac8.com : « une ressource complète et entièrement fournie pour les citoyens, les journalistes et les décideurs politiques », selon un communiqué de presse partagé avec Bitcoin Magazine.
Ces dernières années, on a assisté à une augmentation alarmante des enlèvements et des attaques physiques contre les utilisateurs de crypto, la plus grande concentration en Europe, la France étant l’épicentre. Le crime organisé semble exploiter les mauvaises lois en matière de déclaration de données des utilisateurs de cryptographie respectueux de la loi qui, en payant leurs impôts, exposent leur propriété d’actifs cryptographiques. Étant donné que le Bitcoin et les autres crypto-monnaies ne sont pas réversibles et peuvent être facilement transférés à l’international, les criminels traquent les utilisateurs de crypto. Selon Gart, une société dédiée à la protection des utilisateurs contre cette menace croissante, la France est le deuxième pays en termes d’attaques physiques contre les utilisateurs de cryptomonnaies après les États-Unis, dont la population est beaucoup plus importante.

Des personnalités de premier plan du secteur du Bitcoin et de la cryptographie au sens large ont été ciblées ces dernières années, comme le PDG de Binance France, David Prinçay, et le co-fondateur de Ledger, David Balland, qui a perdu un doigt lors de l’incident, entre autres. Jameson Lopp, co-fondateur de Casa, une société de portefeuilles Bitcoin et Ethereum de haute sécurité, organise depuis des années des données sur les « attaques à clé » dans une base de données sur GitHub, montrant une tendance accélérée des attaques.
Bull Bitcoin fait valoir dans sa contestation judiciaire contre le DAC8 que la poursuite de la consolidation et du partage des données des utilisateurs de cryptographie ne fera que perpétuer cette tendance aux attaques physiques. Cependant, ils soutiennent également que les risques pour la sécurité personnelle créés par la DAC8 vont également à l’encontre des intentions déclarées de la réglementation. Ils soutiennent que les utilisateurs trouveront simplement des alternatives légales aux échanges centralisés et réglementés, choisissant d’acheter les actifs hors réseau via des échanges peer-to-peer, l’exploitation minière à domicile ou des alternatives offshore non réglementées, ce qui rendra la collecte des impôts encore plus difficile.

Pots de miel de données utilisateur
DAC8 transforme l’incitation naturelle d’une entreprise à protéger les données de ses utilisateurs en une précieuse base de données multinationale dotée de nombreux points d’entrée, que les experts en cybersécurité appellent depuis longtemps un pot de miel. Bull Bitcoin souligne que les fournisseurs de services de crypto-actifs (CASP) réglementés par MiCA, DORA et le RGPD sont des professionnels supervisés et passibles de sanctions bénéficiant d’incitations financières pour protéger leurs clients. DAC8, à son tour, fait le contraire : il déplace les données vers des réseaux de rapports administratifs où l’accès est plus large et où la responsabilité est plus difficile à évaluer pour les utilisateurs. La sécurité de l’ensemble – conclut Bull Bitcoin – n’est alors aussi forte que son maillon le plus faible.
L’histoire de la sécurité des données au cours des dernières décennies montre qu’il est très difficile de rassembler les données des utilisateurs et de les protéger au fil du temps. Cette année encore, l’Agence nationale française des identifiants sécurisés (ANTS, également connue sous le nom de France Titres) a été victime d’une faille majeure détectée le 15 avril 2026, exposant les données de 11,7 à 19 millions de comptes. Les informations compromises comprenaient les identifiants de connexion, les noms complets, les adresses e-mail, les dates de naissance, les identifiants de compte et, dans certains cas, les adresses postales, les lieux de naissance et les numéros de téléphone.
Quelques mois plus tôt, le registre des comptes de la Banque nationale française a également subi un piratage majeur, exposant les données liées à environ 1,2 million de comptes. Les informations compromises comprenaient des IBAN, des noms de titulaires de compte, des adresses et, dans certains cas, des numéros d’identification fiscale, bien que les responsables aient déclaré que l’attaquant ne pouvait pas consulter les soldes ni effectuer de transactions.
Aux États-Unis, la situation n’est guère meilleure. La violation de données d’Equifax en 2017 a touché 147 millions d’Américains, et la violation de données publiques nationales de 2024 a touché plus de 200 millions d’Américains, entraînant des fuites de numéros de sécurité sociale, entre autres informations critiques. Et en 2015, le Bureau de gestion personnelle du gouvernement américain a également été piraté, compromettant un grand nombre de responsables du gouvernement américain. Les données volées comprenaient tout, des numéros de sécurité sociale aux dossiers médicaux.
La liste de ces violations est longue, et la seule conclusion logique à en tirer est que moins il y a d’informations utilisateur qui aboutissent dans ces pots de miel, mieux c’est, car en fin de compte, tous ces piratages mettent les civils en danger soit par des attaques physiques, soit par des fraudes liées au vol d’identité.
Familles en première ligne
Parmi les nombreux problèmes identifiés par Bull Bitcoin et documentés sur le site Web DAC8, le plus alarmant pourrait être que même les personnes qui n’ont pas acheté de crypto pourraient se retrouver lésées par cette concentration de données, simplement par association familiale avec un Bitcoiner ou un utilisateur de crypto.
Citant les données de Certik, Bull Bitcoin souligne que plus de la moitié des incidents violents enregistrés en 2026 contre les propriétaires de crypto ont ciblé un membre de la famille – conjoint, enfant, parent âgé – en tant que victime directe ou comme levier de pression sur le détenteur de la clé. A ce sujet, Bull Bitcoin estime que « le DAC8 expose donc non seulement les détenteurs de crypto-actifs, mais tout leur entourage familial proche : entre 40 et 135 millions d’Européens tombent dans une zone à risque physique, sans qu’aucun d’entre eux n’y ait jamais consenti ».
Francis Pouliot, PDG de Bull Bitcoin considère cette atteinte à la vie privée des Européens comme potentiellement catastrophique pour la prospérité du continent, il n’a pas mâché ses mots dans le communiqué affirmant que « DAC8 a transformé le concept de Know Your Customer en Kill Your Customer ». Il a ajouté : « Nous ne pouvons pas laisser les fondements mêmes de la civilisation être brisés par cette attaque contre le droit à la vie privée. Nous devons tracer une ligne dans le sable et refuser de céder davantage de territoire avant de n’avoir plus rien. Quelqu’un doit prendre position. Il semble que personne d’autre ne veuille et ne puisse le faire. Par conséquent, il incombe à BULL de mener ce combat. »
Le DAC8.com est riche de faits, de chiffres, de sources officielles (EUR-Lex, OCDE, Legifrance) et d’analyses, en français, anglais et autres langues européennes pour ceux qui souhaitent le consulter et l’utiliser librement.