Projet de loi de lutte contre les fraudes : l’INBi recommande le retrait de l’article 3 quater

La commission mixte paritaire se réunit le 28 avril 2026 pour examiner le projet de loi de lutte contre les fraudes. L’article 3 quater, introduit par l’Assemblée nationale, prévoit l’obligation de déclaration annuelle des portefeuilles auto-hébergés de crypto-actifs. L’INBi recommande son retrait.

Trois éléments documentés rendent cette recommandation difficile à récuser.

L’administration chargée d’appliquer le dispositif l’a elle-même écarté.

En séance à l’Assemblée nationale, le rapporteur Daniel Labaronne a rendu publique une alerte interne de la DGFiP : une déclaration généralisée conduirait à centraliser des données très sensibles, qui deviendraient une cible privilégiée pour les attaquants. Le rapporteur a déposé un amendement de suppression ; le ministre des Comptes publics l’a soutenu. La corroboration est immédiate : le 18 février 2026, la DGFiP a notifié elle-même la consultation illégitime de 1,2 million de comptes FICOBA via l’usurpation des identifiants d’un agent. C’est précisément le scénario contre lequel elle mettait en garde.

Le risque documenté n’est pas seulement juridique, il est physique.

Le ministre de l’Intérieur a indiqué à la Paris Blockchain Week (15-16 avril 2026) que 41 enlèvements ou agressions liés aux crypto-actifs ont été recensés en France depuis le 1er janvier 2026, soit un tous les 2,5 jours. L’affaire Waltio (enquête préliminaire en cours, parquet de Paris) établit le lien entre fuite de données d’un prestataire fiscal et ciblage physique des détenteurs. Un fichier national associant identité, adresse postale et valeur des avoirs cumulerait les vulnérabilités cyber et les risques d’accès interne. Il constituerait exactement le profil d’information qui alimente la vague d’agressions que le Gouvernement entend combattre.

Légiférer nationalement anticipe un débat européen en cours.

L’article 37(2) du règlement (UE) 2023/1113 prévoit que la Commission européenne rende, au 1er juillet 2026, un rapport évaluant à l’échelle de l’Union l’opportunité d’étendre les obligations de collecte aux portefeuilles auto-hébergés. Adopter une surcouche nationale avant cette évaluation revient à préempter le débat européen, sans étude d’impact et sans démonstration d’efficacité ; alors même que la DGFiP reconnaît ne pas disposer des moyens de vérifier les déclarations.

Sur le plan juridique, une obligation de collecte généralisée et indifférenciée soulève des difficultés de proportionnalité au regard de la Convention européenne des droits de l’homme et de la Charte des droits fondamentaux de l’Union européenne (Cour EDH, S. et Marper ; CJUE, Digital Rights Ireland, Tele2, La Quadrature du Net).

L’INBi recommande donc le retrait de l’article 3 quater, conformément à la position défendue en séance par le rapporteur, le ministre des Comptes publics et la DGFiP.

→ Consulter la note de position complète (PDF) : INBi – Note de position – CMP du 28 avril

Cette note de position s’appuie sur l’analyse juridique développée dans la note de recherche de l’INBi Collecter plus, protéger moins ? AMLR, TFR et self-custody (avril 2026).