Le 8 mai s’est clôturée la consultation publique de l’Autorité européenne de lutte contre le blanchiment et le financement du terrorisme (AMLA) sur le projet de standards techniques de vigilance client prévus par l’article 28(1) du règlement (UE) 2024/1624 (AMLR). Ce premier exercice structurant de l’AMLA s’inscrit dans la mise en œuvre du paquet européen anti-blanchiment, dont le règlement (UE) 2023/1113 sur les transferts de fonds et de crypto-actifs (TFR) constitue l’un des piliers.
L’Institut National de Bitcoin y a contribué pour appeler à clarifier l’application des règles de vigilance aux interactions entre prestataires régulés et portefeuilles auto-hébergés.
La lutte contre le blanchiment est un objectif légitime. Mais elle ne peut justifier une collecte indifférenciée de données financières sensibles. Une approche fondée sur les risques n’est pas une collecte généralisée suivie d’un tri ex post : elle suppose que la collecte, en particulier lorsqu’elle associe identité civile, adresse bitcoin et historique transactionnel, soit limitée à ce qui est nécessaire et justifié par des critères objectifs de risque.
La conservation en propre n’est pas, en elle-même, un comportement suspect. Elle correspond au fait de détenir directement ses bitcoins, sans les confier à un tiers. La traiter comme un signal de risque par défaut reviendrait à décourager une pratique légitime et à enrichir des bases de données dont la compromission peut produire des effets durables, voire irréversibles.
Ces données ne sont pas ordinaires. Une adresse cryptographique liée à une identité civile peut révéler un patrimoine, documenter des habitudes transactionnelles et exposer physiquement les personnes concernées. Une fois compromises, ces informations ne peuvent pas être révoquées comme une carte bancaire.
Sur le fond, la contribution de l’INBi formule des propositions de rédaction ciblées sur quatre points : à l’article 18 (objet et nature envisagés de la relation), pour éviter que la notion de « destination des fonds » ne soit appliquée mécaniquement aux retraits vers une adresse auto-hébergée ; à l’article 30 (screening), pour limiter la vérification des adresses à ce qui est nécessaire à la détection d’une cible de sanctions financières et exclure la conservation systématique de graphes d’adresses ; à l’article 7 (vérification à distance), pour encadrer strictement la rétention des données biométriques ; et dans les considérants, par l’insertion explicite des principes de nécessité, de proportionnalité et de minimisation des données.
Lorsque le cadre existant suffit à atteindre l’objectif poursuivi, le rôle d’une norme technique de réglementation n’est pas d’ajouter une nouvelle couche de rigidité, mais de clarifier son application afin d’éviter les effets indésirables ; ici, l’incitation pratique à la surcollecte défensive. La conformité ne doit pas devenir une architecture de surveillance généralisée ni créer, au nom de la sécurité financière, de nouveaux risques pour la sécurité des citoyens.
Cet ancrage n’est pas seulement programmatique. Il découle directement de la jurisprudence de la Cour européenne des droits de l’homme et de la Cour de justice de l’Union européenne, ainsi que des exigences de la Convention européenne des droits de l’homme et de la Charte des droits fondamentaux de l’Union européenne, qui imposent que toute collecte de données à caractère personnel soit nécessaire et proportionnée à l’objectif poursuivi.
Cette contribution prolonge la note de recherche publiée en avril 2026, Collecter plus, protéger moins ? AMLR/TFR, dont la discussion juridique a bénéficié d’une contribution et d’une relecture juridique externe. L’INBi poursuivra ses travaux sur le cadre AMLR/TFR, la surveillance financière et le droit à la conservation en propre, en vue notamment du rapport prévu à l’article 37(2) du TFR, attendu au 1er juillet 2026, sur les risques liés aux transferts vers ou depuis des adresses auto-hébergées et sur l’éventuel besoin de mesures spécifiques.
La contribution déposée par l’INBi est consultable ici.
Suivez-nous sur les réseaux
contact@inbi.fr | Politique de confidentialité