Alors que l’Union européenne durcit son dispositif de lutte contre le blanchiment d’argent (LBC/FT) via des réglementations comme la DAC8 et le CARF, une note de recherche de l’Institut National du Bitcoin (INBI) vient questionner l’efficacité réelle de ces mesures. Publiée fin 2025 et mise à jour en avril 2026, cette étude révèle des effets pervers inattendus : la collecte massive d’identités pour lutter contre la criminalité financière pourrait, en réalité, fragiliser davantage les détenteurs de cryptomonnaies. Selon Cryptoast, qui en propose une synthèse, huit éléments convergents – regroupés en six catégories – dessinent un tableau préoccupant de ces politiques, entre inefficacité prouvée et risques accrus pour les utilisateurs.

Ce qu'il faut retenir

  • En 2026, la France concentre les deux tiers des enlèvements et séquestrations de détenteurs de cryptomonnaies recensés dans le monde, selon les données de CertiK et le tracker de Jameson Lopp.
  • Les fuites de données, comme celle de Ledger en 2020, continuent d’alimenter des campagnes de phishing cinq ans après, soulignant l’irréversibilité des dégâts causés par ces violations.
  • Le dispositif européen anti-blanchiment n’intercepterait que moins de 0,1 % des flux financiers criminels, selon les travaux de Ronald F. Pol et un audit de la Cour des comptes néerlandaise en mars 2026.
  • Seulement 0,14 % du volume on-chain en 2024 est attribué à des adresses illicites, un chiffre qui reste inférieur à 1 % en 2025 malgré une multiplication par quatre du volume total.
  • Le GAFI a formalisé en février 2025 le principe de proportionnalité dans les collectes de données, exigeant que chaque mesure soit justifiée et que des alternatives moins intrusives soient envisagées.

La France, épicentre des attaques contre les détenteurs de cryptomonnaies

Depuis janvier 2025, les cas d’enlèvements et de séquestrations visant des détenteurs de cryptomonnaies se multiplient en France. Selon les données compilées par CertiK, 19 incidents vérifiés ont été recensés dans le monde, dont près de 70 % en France. Cette tendance s’est aggravée en 2026 : depuis le début de l’année, le pays concentre désormais les deux tiers des attaques signalées, d’après le tracker public de Jameson Lopp. L’INBI établit un lien direct entre ces agressions et les fuites de données, illustré par deux affaires emblématiques.

La première concerne Ghalia C., une agente des impôts accusée d’avoir utilisé ses accès pour identifier des cibles potentielles. La seconde vise Waltio, un prestataire certifié victime d’une fuite de données. Ces exemples montrent comment la centralisation des informations dans des bases de données crée une « cible privilégiée » pour les criminels. En associant identités civiles et actifs de valeur localisés physiquement, les malfaiteurs disposent d’un vivier d’informations précises, facilitant les extorsions ou les vols.

Des fuites de données aux conséquences irréversibles

L’affaire Ledger, dont la base de données a été compromise en juin 2020, illustre la durée des conséquences. Près d’un million d’emails et 9 532 enregistrements détaillés ont été exposés. Cinq ans plus tard, 272 000 de ces enregistrements – incluant noms, adresses postales et numéros de téléphone – continuent d’être exploités dans des campagnes de phishing. Le seul moyen pour une victime de neutraliser ces données ? Changer de domicile. En 2025, l’Europe a enregistré 443 violations de données par jour, soit une atteinte toutes les trois à quatre minutes. Le temps amplifie ainsi la surface d’attaque, permettant aux criminels de croiser ces données pour en tirer des informations plus riches et exploitables.

Le rapport de l’INBI souligne que ces fuites transforment les données personnelles en « monnaie d’échange » pour les cybercriminels. Les adresses de livraison, par exemple, deviennent des indicateurs quasi certains de la détention de cryptomonnaies, augmentant les risques pour les victimes potentielles.

Des politiques anti-blanchiment aux bénéfices méconnus

L’efficacité des mesures européennes de lutte contre le blanchiment reste difficile à évaluer. Selon les travaux de Ronald F. Pol, le dispositif mondial n’intercepterait que moins de 0,1 % des flux financiers criminels. Un constat corroboré par un audit de la Cour des comptes néerlandaise, publié le 11 mars 2026. Si le nombre de signalements augmente et que les coûts de conformité explosent, aucune institution ne parvient à mesurer les résultats concrets de ces politiques. « Le coût de conformité est faramineux, mais les bénéfices restent inconnus », résume l’INBI dans sa note.

Pour Chainalysis, qui publie son rapport annuel en 2025 (données 2024), seulement 0,14 % du volume on-chain est lié à des adresses illicites identifiées. En 2025, ce volume a quadruplé, mais la part des activités illicites reste inférieure à 1 %. Ces chiffres, présentés comme des « bornes basses », soulignent la disproportion entre l’ampleur des collectes de données et la réalité du phénomène criminel. Pourtant, ces collectes concernent l’ensemble des utilisateurs, sans distinction ni suspicion préalable, ce qui porte atteinte à leur droit à l’auto-détermination et à la protection des données personnelles, garantis par la Charte des Droits Fondamentaux de l’UE et la Cour Européenne des Droits de l’Homme.

Proportionnalité et minimisation : des principes bafoués ?

Le GAFI a formalisé en février 2025 le principe de proportionnalité dans ses recommandations. Ce cadre exige que les États justifient chaque mesure de collecte de données en démontrant qu’elle est nécessaire, proportionnée et que des alternatives moins intrusives sont insuffisantes. En France, depuis avril 2026, la collecte systématique des portefeuilles auto-hébergés doit ainsi être justifiée par une évaluation rigoureuse des risques. « Il n’est pas envisageable d’exclure systématiquement une catégorie de clients », rappelle l’INBI, citant les lignes directrices du GAFI. Pourtant, le régime actuel pousse les prestataires de services sur cryptomonnaies à sur-collecter des données, sous peine de sanctions ou de risques réputationnels. Cette dynamique crée une « architecture d’incitations perverse » : les acteurs privés, contraints par des obligations strictes, préfèrent accumuler des données « au cas où », au mépris du principe de minimisation du RGPD. Les conséquences ? Des coûts diffus pour les utilisateurs – délais, refus de service, fuites de données – sans garantie d’efficacité accrue contre la criminalité financière.

« L’activité illicite recensée sur les plateformes d’échange apparaît comme un phénomène minoritaire. Pourtant, les politiques de lutte contre le blanchiment emportent avec elles des atteintes disproportionnées aux libertés individuelles et des bénéfices inconnus. » — Note de recherche de l’INBI, avril 2026

Et maintenant ?

L’INBI appelle à une refonte du cadre réglementaire européen et français, intégrant une réflexion sur la proportionnalité et la protection des détenteurs de cryptomonnaies. Les prochaines échéances réglementaires, notamment la mise en œuvre des directives DAC8 et CARF, pourraient être l’occasion de réévaluer ces dispositifs. Reste à savoir si les institutions européennes et nationales prendront en compte ces alertes pour ajuster leurs politiques, ou si la logique sécuritaire continuera de primer sur la protection des utilisateurs.

Un risque systémique pour l’écosystème crypto

Pour l’INBI, la création de réservoirs de données centralisées, même justifiée par des impératifs de lutte contre le blanchiment, représente un risque systémique pour l’écosystème. Les fuites passées – comme celle de Ledger – ont montré que les données personnelles exposées deviennent des outils de prédation durable. Avec 443 violations quotidiennes en Europe, le risque d’un nouveau scandale majeur est bien réel. « Le caractère irréversible des atteintes et les atteintes à la sûreté physique des détenteurs de cryptos rendent ces politiques contre-productives », avertit l’institut dans sa conclusion. Pire encore, cette approche pourrait décourager l’adoption des cryptomonnaies en Europe, en complexifiant leur usage et en fragilisant la confiance des utilisateurs. Alors que les régulateurs misent sur l’innovation et l’inclusion financière, ces mesures risquent de produire l’effet inverse : une fuite des capitaux et des talents vers des juridictions moins restrictives.

Selon les données de CertiK et Jameson Lopp, la France concentre les deux tiers des attaques recensées en 2026. L’INBI attribue ce phénomène à la centralisation des données fiscales et des prestataires certifiés, qui deviennent des cibles privilégiées pour les criminels cherchant à identifier des victimes potentielles. Les affaires Ghalia C. et Waltio illustrent cette vulnérabilité.

D’après les travaux de Ronald F. Pol et un audit de la Cour des comptes néerlandaise (mars 2026), les dispositifs européens n’intercepteraient que moins de 0,1 % des flux financiers criminels. Malgré des coûts de conformité élevés et une augmentation des signalements, leur efficacité réelle reste difficile à prouver, selon l’INBI.