La France adopte une loi sur la déclaration des portefeuilles d’auto-conservation, les autorités fiscales mettent en garde contre le risque d’attaques de pirates

L’Assemblée nationale française a adopté un amendement à une loi anti-fraude prévoyant que les actifs crypto déposés dans un portefeuille auto-custodié au-delà de 5 000 euros (environ 5 847 dollars) doivent faire l’objet d’une déclaration obligatoire auprès de l’administration fiscale nationale française (DGFIP). Le champ d’application couvre des portefeuilles non dépositaires grand public tels que Metamask, Phantom, Ledger, etc. Cependant, la DGFIP a clairement exprimé son opposition, en indiquant qu’il est impossible de vérifier efficacement les données déclarées.

Dispositions centrales : seuil déclencheur de l’obligation de déclaration et personnes concernées

Les dispositions adoptées dans ce cas incluent les portefeuilles crypto où la clé privée est gérée par le titulaire dans le cadre de la déclaration obligatoire. Un portefeuille auto-custodié désigne un portefeuille privé non connecté à une quelconque institution publique ; le titulaire contrôle entièrement la clé privée. Des portefeuilles logiciels tels que Metamask et Phantom, ainsi que des portefeuilles matériels froids tels que Ledger, relèvent de cette catégorie.

Tout résident français détenant des actifs crypto dépassant 5 000 euros dans ce type de portefeuille doit, conformément à la loi, soumettre une déclaration à la DGFIP. Cette obligation est présentée dans le cadre législatif visant à lutter contre la fraude fiscale, dans le but de mettre en place un mécanisme de reporting pour des actifs hors chaîne difficiles à retracer jusqu’ici.

Contradiction centrale : la DGFIP s’oppose à l’exécution de la loi qu’on lui impose

Le processus législatif mis en évidence ici révèle une rare impasse institutionnelle : l’organisme chargé de faire respecter la loi s’oppose publiquement aux dispositions concernées et alerte de lui-même sur leurs dangers potentiels.

Les quatre principales raisons d’opposition de la DGFIP

Faîrure de capacité d’exécution : la DGFIP reconnaît qu’elle ne peut pas vérifier les données de déclaration relatives aux portefeuilles auto-custodiés soumises par les contribuables ; les contrôles en chaîne de l’attribution des actifs présentent, sur le plan technique, des limites fondamentales

Risque de centralisation des données : le stockage centralisé des identités des détenteurs et de l’ampleur de leurs actifs formera une base de données extrêmement sensible ; dans un contexte où les attaques informatiques se multiplient sur le réseau, ce type de base de données deviendra une cible prioritaire pour les pirates

Menace pour la sécurité personnelle des utilisateurs : dans une déclaration écrite, la DGFIP indique que la centralisation de l’information fournira une liste de cibles précise pour des attaques potentielles de coercition physique

Contrecarre les recommandations officielles : l’adoption de la disposition s’écarte en pratique des recommandations de politique existantes de la DGFIP et du gouvernement français sur ce sujet

Le député Daniel Labaronne s’est opposé à cette disposition lors des débats parlementaires, en la mettant en parallèle : « Comment la DGFIP pourrait-elle vérifier si quelqu’un a un piano chez lui ? » Malgré cela, la motion visant à l’abrogation a été rejetée.

Zone très touchée par les « attaques à la vis » : la liste de déclaration pourrait devenir un itinéraire d’attaque physique

La France figure parmi les pays européens connus pour être des zones très touchées par les « attaques à la vis » contre les détenteurs de crypto (menaces physiques pour voler des clés privées). Si les données d’utilisateurs français détenant des actifs crypto dépassant 5 000 euros sont centralisées dans une base, en cas de fuite de données, l’attaquant obtiendra une liste précise de détenteurs de hauts patrimoines, réduisant fortement le coût d’information nécessaire aux attaques physiques ciblées, et augmentant nettement le risque pour la sécurité personnelle des utilisateurs crypto français.

Le cofondateur de The Big Whale, Gregory Raymond, prévoit que, compte tenu de l’hostilité des gouvernements à l’égard de cette mesure, ainsi que des limites fondamentales du mécanisme d’application, cette disposition aura très probablement du mal à être mise en œuvre dans la pratique.

Questions fréquentes

Quelle est la différence entre un portefeuille auto-custodié et un portefeuille déposé sur une plateforme d’échange, et pourquoi devient-il un point central de la réglementation ?

La clé privée d’un portefeuille auto-custodié est contrôlée par le détenteur lui-même, les actifs n’étant pas conservés par un tiers comme une plateforme d’échange ou une institution financière. Comme ce type de portefeuille ne s’inscrit pas dans le système traditionnel de reporting financier, il est difficile pour les autorités de régulation de connaître le volume d’actifs détenus par les titulaires ; c’est pourquoi il devient un objectif prioritaire pour le renforcement du suivi dans les pays européens.

Cette exigence de déclaration en France peut-elle réellement être appliquée efficacement ?

D’après l’évaluation même de la DGFIP, l’applicabilité présente des défis fondamentaux. La DGFIP reconnaît qu’elle ne peut pas vérifier les données de déclaration soumises par les utilisateurs, et que les caractéristiques de décentralisation de la blockchain rendent les contrôles en chaîne de l’attribution des actifs extrêmement difficiles sur le plan technique. L’analyste Gregory Raymond prévoit également que la disposition aura du mal à être véritablement mise en œuvre.

Quelles mesures les utilisateurs crypto français doivent-ils prendre maintenant ?

Pour l’instant, la réglementation est encore en cours de procédure législative et n’est pas encore entrée officiellement en vigueur. Il est recommandé aux utilisateurs en France détenant des actifs auto-custodiés dépassant 5 000 euros de continuer à suivre les annonces officielles ultérieures de la DGFIP, tout en évaluant s’il faut ajuster la façon de stocker les actifs ou la structure de détention, et de consulter un conseiller fiscal local avant que la réglementation ne soit définitivement arrêtée.