Loi « narcotrafic » : Lettre ouverte aux députés

Lettre ouverte de Renaud Lifchitz , expert en cybersécurité et membre de l’ INBi , aux députés de la République Française et aux rapporteurs de la loi au Sénat pour alerter sur les risques juridiques, sécuritaires et économiques que fait peser la loi « narcotrafic ». Si vous souhaitez soutenir l’ INBi dans sa démarche, vous pouvez signer ici une pétition demandant le retrait de l’article de loi problématique. Lettre ouverte du 6 mai 2025 A destination de : Mesdames, Messieurs les députés de la République Française Copie : Madame, Messieurs les rapporteurs, Objet: Loi « visant à sortir la France du piège du narcotrafic » : d’intolérables enjeux juridiques et de sécurité physique des citoyens passés sous silence Mesdames, Messieurs les députés, La loi « visant à sortir la France du piège du narcotrafic » porte de très lourds enjeux juridiques et de sécurité physique des citoyens, qu’il est fondamental de mettre en lumière. En effet, alors qu’il a été démontré que les cryptoactifs ne posent pas de difficulté sur le terrain de la délinquance et de la criminalité (partie 1), interdire la vie privée lors de leur utilisation constitue une violation des engagements internationaux et européens de la France (partie 2) ainsi qu’une mise en danger de la vie des utilisateurs de cryptoactifs (partie 3), dont l’Etat devra très certainement répondre un jour devant les juridictions françaises, la Cour de Justice de l’Union Européenne et la Cour Européenne des Droits de l’Homme. Ceci, alors que notre pays pourrait alternativement être le premier bénéficiaire économique de l’utilisation croissante de ces actifs (partie 4). Il devient donc urgent de légiférer pour protéger les citoyens et retrouver un bon sens économique, dans le respect des valeurs démocratiques (partie 5). Le crédo selon lequel les cryptoactifs seraient liés au crime sert aujourd’hui à justifier des dérives inquiétantes et contraires à ce qui est attendu d’une société démocratique gouvernée par l’Etat de droit, sans pourtant être jamais sourcé ou démontré. Inversement, tous les organismes existants, privés (Chainalysis) comme publics (Europol, Police, Gendarmerie, ...) s’accordent à dire que lacriminalitéliée aux cryptoactifs est dérisoire, et à la limite du mesurable : selon Chainalysis, expert mondial sur le traçage de cryptoactifs, ellereprésente 0,14% en 2025 (contre 0,61% en 2023) [1] . A titre de comparaison, la Cour des Comptes estime que le blanchiment de monnaies fiduciaires (uniquement) représente 3% du PIB mondial [2] . Le blanchiment impliquant des monnaies fiduciaires est donc 20 fois plus important en pourcentage (et probablement environ 1000 fois plus important en volume) que la criminalité impliquant des cryptoactifs . Si le législateur souhaitait réellement lutter contre la criminalité, il organiserait donc la mise en œuvre de 1000 fois plus de ressources dédiées à la lutte contre le blanchiment d’argent via les monnaies fiduciaires, qu’il ne les prévoit en matière de lutte contre la criminalité liée aux cryptoactifs. Ce n’est malheureusement pas ce qui est constaté, laissant entendre que les efforts et les moyens ne sont pas mis sur d es priorités pourtant parfaitement mises en évidence dans tous les chiffres publics. Il conviendrait de rectifier ce tir regrettable qui n’honore pas la confiance que les citoyens ont placé dans leurs élus. Il conviendrait en particulier de cesser cette hypocrisie et ce dogmatisme permanent sur le sujet des cryptoactifs. La Convention Européenne des Droits de l’Homme et la Charte des droits fondamentaux de l’Union européenne, qui sont d’application directe en France, imposent à l’Etat de limiter les traitements de données à caractère personnel à ceux qui sont nécessaires et proportionnés. Ces termes impliquent d’être en mesure de démontrer la pertinence et l’efficacité d’une collecte de données à caractère personnel pour atteindre une finalité déterminée, et de limiter cette collecte à ce qui est strictement nécessaire pour atteindre cette finalité. Le Règlement Général sur la Protection des Données (RGPD), que doit également respecter l’Etat français, porte les mêmes obligations. Pourtant, est aujourd’hui organisée de manière maximisée la collecte de pièces d’identité et justificatifs de domicile sous les prétextes de réglementations KYC, AML, ou LCB-FT, qui au passage n’ont jamais fait leur preuve économique, ces procédures coûtant 100 fois plus que ce qu’elles permettent d’économiser en fraudes ! Les Nations Unies constatent même que 99,8% de l’argent sale passe à travers ces procédures, ce qui illustre une nouvelle fois leur totale inefficacité et inadéquation aux modes de fraude [3] . Aujourd’hui, le texte de loi ajoute une impossibilité de masquer ses transactions sous peine d’être présumé auteur de blanchiment d’argent. Cela constitue un renversement de la charge de la preuve qui n’est pas acceptable dans une société démocratique. Tout d’abord, la confidentialité des échanges financiers est un droit fondamental, l’ériger en présomption de culpabilité est une violation manifeste des Convention et Charte précitées. Par ailleurs, interdire cette confidentialité dans certains contextes impose que cette interdiction soit limitée à ce qui est efficace et proportionné. En l’occurrence, l’interdiction sera inefficace, comme déjà mentionné plus haut. Par contre, elle oblige purement et simplement les individus à s’exposer, mettant en danger leur sécurité physique. En effet, si la protection des données à caractère personnel a été organisée à l’échelle internationale et européenne, c’est en partie car la confidentialité de ces données protège l’exercice de droits fondamentaux, incluant celui à la sécurité physique. En tant qu’expert en cybersécurité depuis 20 ans , je n’ai jamais connu une situation aussi catastrophique que depuis septembre dernier. Il n’y a en effet pas une semaine où une fuite de données personnelles massive est annoncée, en particulier en France [4] . A chaque fois c’est entre dix mille et 30 millions de personnes qui sont touchées, et qui voient notamment leur nom, prénom et adresse postale divulguées. Et cela n’épargne personne puisque de très gros organismes d’Etat comme l’URSSAF, la CAF ou France Travail ont été touchés, tout comme la plupart des opérateurs de téléphonie mobile ou Internet par exemple. Ces fuites donnent à chaque fois lieu à des vagues d’arnaques et d’usurpation d’identités . Selon les chiffres du Ministère de l’Intérieur, 200 000 personnes sont victimes d’usurpation d’identité par an en France [5] . Les procédures juridiques pour faire reconnaître et cesser les usurpations sont interminables et peuvent durer une dizaine d’années pour les victimes , qui se voient harceler à payer des amendes, mensualités de prêts ou de crédits, contractés par des escrocs, dont elles ne sont nullement responsables. Même si de meilleurs efforts étaient fait s en matière de sécurité (ce qu ’impose d’ailleurs le RGPD), la sécurité à 100% n’existe pas et la meilleure façon d’éviter les fuites de données est de ne PAS collecter ces données . S’agissant dela nouvelle loi, elle met en grave danger physique tous les possesseurs de cryptoactifs en France . Plus de 200 attaques physiques contre des utilisateurs de Bitcoin, souvent assorties de tortures voire mortelles , ont été recensés dans le monde [6] , ça suffit ! Encore cette semaine la France a connu un incident d’ampleur [7] avec des possesseurs de cryptoactifs mutilés dont on connaissait les adresses de domicile et en partie les soldes de cryptoactifs. Le cumul de fuites de données personnelles collectées (dont les adresses postales des utilisateurs) et de la transparence des blockchains place littéralement des cibles faciles et évidentes sur le front de tous les utilisateurs de cryptoactifs. N’importe qui peut en effet facilement lister les utilisateurs de cryptoactifs parmi les fuites de données des acteurs crypto puis identifier les adresses blockchain des utilisateurs, par exemple en les suivant depuis leur domicile (adresse postale) dans un commerce. N’importe quel paiement blockchain, notamment en connaissant son montant approximatif permet de localiser l’adresse blockchain d’une victime et donc son solde et le montant de son épargne. Si ce solde est conséquent, cela place l’utilisateur (ou le commerçant) comme une victime potentielle intéressante et rentable pour l’attaquant. Pire encore, la “Travel Rule” de MiCA (“Markets in Crypto-Assets”) impose aux CASP (“Crypto-asset Service Provider”) la collecte dans le même fichier des données personnelles, d’adresse postale et d’adresses blockchain des utilisateurs de ces services. Un fichier parfait pour commettre des crimes pour un employé d’un CASP peu scrupuleux ou dès lors que ce fichier fera l’objet d’une fuite liée à une cyberattaque ou à un ransomware. Une arme toute prête, idéale et complète et clés en main pour atteindre à la vie et à l’épargne de la quasi totalité des 10% de possesseurs de cryptoactifs en France (et en Europe) ! Il est donc vital (au sens propre) d’autoriser les utilisateurs et commerçants à se protéger de cette exposition en utilisant des outils de masquage, d’obscurcissement de compte, et/ou de vie privée. Les journalistes sont déjà encouragés par les organismes et association de protection des droits de l’homme à utiliser des mixers pour ne pas s’exposer [8] et risquer leur vie à cause du traçage de leurs cryptoactifs. Allez-vous interdire aux journalistes de protéger leur vie ? Aux utilisateurs de cryptoactifs d’avoir une bonne hygiène numérique ? Pourquoi les possesseurs de cryptoactifs seraient-ils obligés d’exposer publiquement leurs avoirs dès qu’ils paient un commerçant alors que ce n’est pas le cas avec n’importe quel autre moyen de paiement ? Pourquoi une loi plus stricte et dangereuse pour les cryptoactifs ? Pourquoi forcez-vous les utilisateurs à se mettre en danger en dévoilant publiquement leurs avoirs ? J’ai déjà fait état du constat selon lequel les procédures de vérification d’identité coûtent 100 fois plus que l’argent récupéré des fraudes. Le texte de loi « narcotrafic » va ajouter d’autres impacts économiques négatifs. Il serait inversement impératif de retrouver de la rationalité dans la gestion des risques et des finances publiques et de tirer les leçons des échecs passés pour ne pas les reproduire. Vous n’êtes pas sans savoir que les paiements en cryptoactifs chez les commerçants dans le monde se font majoritairement à l’aide de Bitcoin (15 000 commerces physiques dans le monde acceptent les paiements en bitcoin, dont 270 en France [9] ). Pour réduire les coûts moyens de transaction et le délai de confirmation de paiement (environ 10 à 20 minutes), le réseau Bitcoin Lightning est souvent utilisé. Lightning n’est pas une blockchain, et n’est donc pas un registre public auditable et traçable. Les commerçants et consommateurs tombent-ils alors dans l’illégalité simplement pour choisir un mode de paiement bitcoin rapide et avec le moins de frais possibles ? Il n’est en effet pas raisonnable de retenir un client dans un magasin 10 à 20 minutes après son paiement le temps que la transaction soit confirmée ! A l’inverse d’une immense majorité de lois, le texte interdit des outils et non des usages ou des fin alités (dans ce cas, pourquoi ne pas interdire les couteaux ?). Ce n’est pas sans poser de nombreux problèmes d’usages parfaitement licites, utiles et déjà largement répandus, comme développé au paragraphe précédent, par exemple chez les commerçants qui obscurcissent les transactions blockchain en passant par des réseaux quasi-anonymes de couche 2. Il est peu clair sur ce qui rentre ou non dans ce qui peut favoriser l’anonymat (“mixers”, “bridges”, “atomic swaps”, “layers 2”, réseau Lightning, ?...), faisant peser des incertitudes juridiques sur toutes les entreprises, commerces et utilisateurs utilisant des cryptoactifs, quand bien même l’usage des espèces est parfaitement licite et déjà anonyme ... Pourquoi un traitement différent ici alors que la monnaie fiduciaire est 1000 fois plus utilisée pour le blanchiment et donc dangereuse ? La loi est-elle réellement conçue pour être utile et efficace ou pour entraver la vie au maximum des 10% d’honnêtes citoyens (baromètre AMF 2023) qui utilisent des cryptoactifs en France ? La collecte obligatoire de données à caractère personnel disproportionnées, pour des finalités qui ne sont en outre pas atteintes et qui affaiblissent l’économie française, doit cesser d’urgence. A nouveau, nous parlons d’une disparition de la confidentialité, pour une efficacité quasi nulle, a un coût exorbitant, tant pour l’économie elle-même que pour la vie des citoyens, aujourd’hui mise en danger. Cette interdiction de l’anonymat s’oppose d’ailleurs frontalement aux lignes directrices du Comité européen à la protection des données [10] , qui recommande aux blockchains de mettre en œuvre les développements techniques nécessaires pour assurer la confidentialité des données de leurs utilisateurs – développements techniques dont l’usage est érigé en présomption de culpabilité par la loi « narcotrafic ». Il s’agit notamment de légiférer rapidement pour mettre un terme aux collectes obligatoires , not amment poussées par la réglementation . En particulier les collectes massives d’adresses postales, de justificatifs de domicile, de cartes d’identités, passeports et selfies, lesquelles sont systématiquement à l’origine de fuites de données, d’usurpation et de fraudes à la personne désastreuses. In fine, donner ses papiers d’identité ne devrait quasiment jamais être nécessaire ailleurs qu’en s’adressant à l’Etat, et certainement pas à chaque achat ou à chaque entreprise privée avec laquelle nous interagissons quotidiennement ! Il conviendrait également de légiférer afin que le RGPD soit strictement respecté en France, par les instances de l’Etat comme par les instances financières. En cas de besoins de collectes contextualisés de données, le GAFI (Groupe d’action financière) et la France devraient se baser sur les études objectives concernant l’origine de la fraude et l’efficacité des mesures existantes, tout en soumettant tout projet de mesure à des des analyses d’impact, comme l’impose au demeurant la législation de l’Union européenne, plutôt que d’imposer d’office des collectes qui n’ont aucun sens, sur la base d’un dogme invalidé depuis des années, de manière totalement perdante pour tous. Par ailleurs, les cryptoactifs représentent une manne financière titanesque (3000 milliards de dollars US [11] aujourd’hui). Favoriser l’usage quotidien des cryptoactifs et leur utilisation dans l’économie réelle permettrait de créer énormément d’activité et d’emplois, et pour l’Etat de collecter énormément d’argent dans une période où il en recherche désespérément. Mais aujourd’hui, tout est fait pour décourager l’usage des cryptoactifs : déclarations administratives obligatoires à chaque achat d’un bien ou d’un service (considéré comme une cession, si minime qu’il soit), taxation prohibitive (PFU et TVA excédant souvent 50%). C’est un enfer déclaratif et fiscal d’utiliser les cryptoactifs pour injecter de l’argent dans l’économie réelle. L’un des autres effets pervers de cette réglementation est que toutes les entreprises innovantes en matière de blockchain quittent la France (manque de perspectives de croissance, fermetures abusives et injustifiées de leur compte bancaire de la part des établissements financiers...). En résum é , il n’y a jamais eu de problèmes de narcotrafic dans le cadre de l’usage des cryptoactifs, les mesures prises contre le crime et la fraude dans le secteur ont d epuis plusieurs années montré leur totale inefficacité, tandis qu’elles font peser une grave menace sur la sécurité des personnes physiques et morales utilisatrices de cryptoactifs, en plus d’être particulièrement liberticides et économiquement contre-productives ... Renaud Lifchitz Expert en cybersécurité [1] source : https://www.chainalysis.com/blog/2025-crypto-crime-report-introduction/ [2] source : https://www.ccomptes.fr/sites/defaul t/files/2023-10/20230223-S2023-0017-Lutte-contre-le-blanchiment.pdf [3] source : https://www.ledgerinsights.com/anti-money-laundering-has-less-than-1-impact-on-crime-at-what-cost/ [4] source : https://bonjourlafuite.eu.org/ [5] source : https://www.masecurite.interieur.gouv.fr/fr/fiches-pratiques/numerique/usurpation-identite [6] source : https://github.com/jlopp/physical-bitcoin-attacks [7] source : https://www.francetvinfo.fr/faits-divers/police/le-gerant-d-une-societe-de-cryptomonnaies-enleve-jeudi-a-ete-libere-samedi-plusieurs-suspects-interpelles_7225917.html [8] source : https://whir.to/use-cases/journalists [9] source : https://btcmap.org/dashboard et https://btcmap.org/country/fr [10] source : https://www.edpb.europa.eu/news/news/2025/edpb-adopts-guidelines-processing-personal-data-through-blockchains-and-ready_fr [11] source : https://coinmarketcap.com/charts/