Skip to content

DAC8

DAC8 : Une surveillance de masse qui nous met tous en danger

Nous sommes à la croisée des chemins.

La sécurité de millions d'Européens est en jeu : un programme de surveillance et de collecte de données de masse, dangereux et injustifié, est en cours.

DAC8 est le plus grand danger à ce jour pour la survie des droits fondamentaux et des principes cypherpunk de Bitcoin.

Bull Bitcoin se place en rempart : nous refusons d'être les accessoires de cet abus des gouvernements. Nous refusons de nous y soumettre sans combattre.

Pour cette raison, nous avons lancé une action juridique visant à faire annuler cette loi.

Le combat de Bull Bitcoin pour faire annuler DAC8 et CARF

01

Qu'est-ce que DAC8 ?

La directive de surveillance fiscale des crypto-actifs, en vigueur depuis le 1ᵉʳ janvier 2026.

La directive DAC8, en vigueur depuis le 1ᵉʳ janvier 2026, oblige tous les prestataires de services sur crypto-actifs (CASP) de l’UE à transmettre des informations annuelles sur les transactions crypto déclarables de leurs clients à l’administration fiscale, données ensuite partagées automatiquement entre les 27 États membres.

Chaque CASP doit déclarer, tous les ans :

  • l’identité complète du client (nom, adresse de domicile, date de naissance, numéro fiscal) et sa résidence fiscale ;
  • les types de crypto-actifs et les catégories de transactions ;
  • les valeurs, unités, dates, nombres de transactions et agrégats annuels ;
  • les informations de transfert, y compris les transferts agrégés vers des adresses de registre distribué non associées à un VASP le cas échéant.

Le premier exercice déclaré couvre l’année 2026, et le premier échange entre administrations est prévu pour septembre 2027. En France, la transposition s’est faite par le décret n° 2025-1276 du 19 décembre 2025.

Conseil de l’UE, communiqué du 17 octobre 2023 · Commission européenne, page DAC8 · décret n° 2025-1276 du 19 décembre 2025 (Journal Officiel) · ADAN / Deloitte / Ipsos, Baromètre 2026.

Contribuer au combat

Le combat contre DAC8 est financé par BULLBITCOIN.COM et par une autre plateforme d'échange crypto française qui préfère rester anonyme pour le moment. Pour contribuer, c'est simple : utilisez BULLBITCOIN.COM comme plateforme d'échange. Les profits générés par votre activité financent nos actions juridiques contre DAC8 et CARF partout où elles seront utiles.

Faites passer le mot

Sensibilisez votre entourage

Partagez le site pour alerter le plus grand nombre, ou téléchargez l'infographie pour la diffuser autour de vous.

Infographie expliquant comment DAC8 collecte les données des utilisateurs de crypto et les partage entre administrations fiscales.

03

Pourquoi cela vous concerne ?

« Le premier devoir de l'État, c'est de protéger ses citoyens. »

DAC8 ne concerne pas que les détenteurs de crypto-actifs. En réunissant identités, adresses de domicile et données de transactions et de transferts crypto dans une base partagée par 27 administrations fiscales, la directive crée une cible de très grande valeur, au moment précis où les criminels ciblent en priorité les proches des détenteurs.

40-135 M

d'Européens en zone de risque physique (détenteurs et leurs proches)

>50 %

des victimes d'attaques en 2026 ne détiennent aucune crypto : conjoints, enfants, parents âgés

Les crypto-actifs sont liquides, transférables et parfois visibles sur des blockchains publiques. Une fois l’identité civile et l’adresse de domicile reliées à l’activité crypto et à des signaux de valeur, ces données ne servent plus seulement à l’impôt : elles servent à cibler des personnes.

Plus de la moitié des victimes d’attaques en 2026 ne possèdent aucune cryptomonnaie. Vous n’avez jamais acheté de bitcoin ? Un proche qui en détient suffit à faire de vous une cible, et vous n’avez jamais consenti à figurer dans cette base.

La position de Bull Bitcoin est simple : les autorités fiscales doivent pouvoir enquêter sur des contribuables précis par des demandes ciblées et motivées. Elles ne doivent pas créer un fichier de masse des utilisateurs, des adresses de domicile, des transactions et des transferts crypto.

CertiK, Wrench Attacks Report Q1 2026 · ADAN, Baromètre 2026 · Eurostat EU-SILC 2023.

04

Pourquoi c'est déraisonnable ?

« Une adresse blockchain, ce n'est pas un numéro de compte. C'est une vie financière entière exposée. »

01

La transparence de la blockchain rend la collecte disproportionnée

Une adresse blockchain n'est pas un numéro de compte : c'est une clé d'accès vers une vie financière entière, publique et permanente. DAC8 peut lier identité, transferts et activité crypto à des données publiques extensibles, y compris des opérations sans pertinence fiscale directe.

En savoir plus ↓

Une adresse blockchain n’est pas un numéro de compte : c’est une clé d’accès vers une vie financière entière, publique et permanente. Sur Bitcoin, Ethereum et la quasi-totalité des chaînes publiques, toutes les transactions sont publiques, vérifiables et permanentes. Lorsque l’activité crypto déclarée relie une identité civile à une activité de registre public, l’exposition dépasse donc largement un simple événement fiscal.

  • Une exposition totale. Là où la DAC2 transmet des soldes, DAC8 relie identité et adresse de domicile à des données de transactions et de transferts crypto ; sur les registres publics, cela peut devenir un point d’entrée vers un historique plus large.
  • Tout, y compris le non-fiscal. Transferts entre ses propres wallets, dons à la famille, paiements à des commerçants, opérations P2P : DAC8 capte des mouvements sans aucune pertinence fiscale.
  • Une fuite qui ne se referme jamais. Contrairement à un solde figé, l’historique on-chain se met à jour seul, à perpétuité, aux yeux de tout attaquant.
  • Une atteinte à la proportionnalité. L’article 52 de la Charte des droits fondamentaux exige qu’une limitation d’un droit soit nécessaire et proportionnée ; la CJUE l’a rappelé sur FATCA et le RGPD.
Lire l'analyse complète
02

Aucune preuve d'efficacité ne le justifie

Sept ans après sa première évaluation, la Commission européenne reconnaît elle-même que « l'évaluation des avantages est extrêmement limitée ». La Cour des comptes européenne et le Parlement font le même constat. Le dispositif AML/KYC comparable n'intercepte que 0,1 % des fonds criminels, pour 136,5 milliards $ de coûts annuels en Europe.

En savoir plus ↓

Aucune donnée publique ne démontre que l’échange automatique de masse produit un rendement fiscal à la hauteur de son coût. Sept ans après sa première évaluation, la Commission européenne reconnaît que « l’évaluation des avantages est extrêmement limitée ». Elle étend pourtant ce même dispositif aux crypto-actifs.

  • La Commission (SWD 2019, puis SWD 2025) admet ne pas pouvoir chiffrer les recettes supplémentaires générées par l’échange automatique.
  • La Cour des comptes européenne (rapport 03/2021) relève qu’un seul des cinq États audités contrôle la qualité des données, et qu’entre 2015 et 2017, 2 % seulement des contribuables concernés étaient reliés à un numéro fiscal.
  • Le dispositif AML/KYC comparable n’intercepte que 0,1 % des fonds criminels pour 136,5 milliards $ de coûts annuels en Europe.
  • Le précédent CRS montre surtout un déplacement vers des juridictions non couvertes, pas une baisse nette de l’évasion.
Lire l'analyse complète
03

DAC8 produira l'inverse de l'objectif recherché

En rendant l'usage des CASP régulés synonyme d'exposition, DAC8 pousse les détenteurs rationnels vers le hors-périmètre (P2P, mining, wallets non-custodial, plateformes offshore). La directive contredit directement MiCA, la régulation que l'Europe a mis cinq ans à construire pour protéger ces mêmes citoyens.

En savoir plus ↓

Le détenteur informé ne se demande pas s’il doit déclarer : dès qu’il utilise un CASP, ses données partent au fisc de toute façon. Sa vraie question devient « Dois-je continuer à utiliser un CASP régulé ? » Pour un nombre croissant de détenteurs, la réponse sera non.

  • Le contournement est licite. Wallets non-custodial, DEX, P2P, mining, staking non-custodial : autant de voies hors périmètre DAC8 et parfaitement légales. La directive ne pousse pas à la fraude, mais à quitter les CASP régulés.
  • La contradiction avec MiCA est frontale. L’UE a mis près de cinq ans (2019-2024) à bâtir MiCA pour ramener les Européens vers des plateformes régulées, sûres et supervisées. Six mois avant l’échéance du 1er juillet 2026, DAC8 fait de ces mêmes plateformes le lieu le plus exposé.
  • L’efficacité s’inverse. Les détenteurs sophistiqués sortent ; il ne reste dans le périmètre que les utilisateurs ordinaires, qui portent seuls le risque physique. Moins d’assiette imposable identifiée, au prix d’emplois et de souveraineté numérique.
Lire l'analyse complète
04

Une alternative moins intrusive existe déjà

Le droit de communication (art. L. 81 et suivants du Livre des procédures fiscales) permet déjà à l'administration d'accéder, de façon ciblée et motivée, aux données détenues par les CASP. C'est le standard pour tous les autres actifs. Lorsqu'une mesure moins intrusive atteint le même objectif, la collecte de masse est, par construction, disproportionnée.

En savoir plus ↓

Le droit de communication (articles L. 81 et suivants du Livre des procédures fiscales) permet déjà à l’administration d’accéder, de façon ciblée et motivée, aux données détenues par les tiers (banques, prestataires, et désormais CASP), pour un contribuable identifié sous investigation. Lorsqu’une mesure moins intrusive atteint le même objectif, la collecte de masse est, par construction, disproportionnée.

Points clés :

  • Une alternative moins intrusive existe. DAC8 échoue au test de proportionnalité de l’article 52 de la Charte : non nécessaire, non adéquate, non proportionnée.
  • Le droit de communication est ciblé. Il vise les contribuables sous investigation, avec des données strictement nécessaires, au lieu de ~54 M de détenteurs dans 27 bases centralisées.
  • C’est déjà le standard. Œuvres d’art, lingots, immobilier étranger (formulaire 3916), comptes-titres : l’administration les obtient sur réquisition motivée, jamais par accès permanent. Les crypto-actifs ne justifient aucune exception.
Lire l'analyse complète

05

Pourquoi il faut l'arrêter ?

« Un fichier centralisé, c'est une cible. »

01

Une épidémie de violence physique vise les détenteurs

La violence physique liée à la crypto a explosé : 82 % des attaques mondiales ont lieu en Europe et 70 % en France (janvier à avril 2026), et le ministère de l'Intérieur recense environ une attaque tous les 2,5 jours. 101 M$ extorqués en quatre mois. Les criminels n'opèrent plus au hasard : ils achètent les données personnelles de leurs cibles.

En savoir plus ↓

La violence physique liée à la crypto a explosé et se concentre en Europe, la France en tête. Les criminels n’opèrent plus au hasard : ils achètent les données personnelles de leurs cibles pour sélectionner, localiser et faire pression sur les détenteurs et leurs proches.

  • 82 % des attaques physiques mondiales liées à la crypto ont lieu en Europe et 70 % en France (janvier à avril 2026) ; 101 M$ extorqués en quatre mois (CertiK, 2026). Le ministère de l’Intérieur recense environ une attaque tous les 2,5 jours.
  • La France documente une montée continue : 18 faits en 2024, 67 en 2025, 47 en 2026 au 25 avril ; 88 personnes mises en examen, dont plus de 10 mineurs (PNACO).
  • Le mode opératoire a muté : achat de données, croisement avec des fuites de plateformes (cas Waltio), surveillance des proches, exécutants recrutés via Telegram, orchestration depuis l’étranger.
  • DAC8 et CARF ajouteraient une base structurée reliant identités civiles et données crypto : exactement ce que les attaquants cherchent déjà à obtenir.
Lire l'analyse complète
02

Les proches sont en première ligne

Plus de la moitié des victimes 2026 ne sont pas des détenteurs : ce sont leurs conjoints, enfants ou parents âgés. DAC8 n'expose donc pas seulement les détenteurs, mais l'ensemble de leur cercle familial, entre 40 et 135 millions d'Européens en zone de risque physique, sans qu'aucun d'eux n'ait jamais consenti.

En savoir plus ↓

Plus de la moitié des incidents violents recensés en 2026 ne visent pas des détenteurs : ce sont leurs conjoints, enfants ou parents âgés, victimes directes ou leviers de pression (CertiK, Q1 2026). DAC8 n’expose donc pas seulement les détenteurs de crypto-actifs, mais l’ensemble de leur cercle familial proche.

  • Un risque de masse. En multipliant chaque détenteur par sa famille proche (× 2,5, cohérent avec la taille moyenne des ménages UE), on obtient entre 40 et 135 millions d’Européens en zone de risque physique.
  • Un risque asymétrique. Une fuite de 50 000 détenteurs devient une fuite de 125 000 personnes réellement exposées ; une fuite DAC8 (54 M) deviendrait une fuite de 135 M.
  • Aucun consentement. Les proches n’ont jamais utilisé de plateforme crypto ni accepté de CGU, et n’ont aucun moyen d’opt-out.
Lire l'analyse complète
03

DAC8 ajoute une base à un sol déjà contaminé

En 18 mois, plus de 100 millions de dossiers de citoyens français ont été compromis depuis des bases gérées par l'État ou ses prestataires. Le lien entre fuites et violences est désormais affirmé par les autorités : le piratage de Waltio a directement servi à au moins trois enlèvements. DAC8 ajoute à ce terrain une base de détenteurs d'un actif transférable sous contrainte.

En savoir plus ↓

Aucune base publique ne peut être considérée comme définitivement sûre. En 12 mois, la CNIL a reçu 8 613 notifications de violations (+45 %), soit environ une fuite par heure, pour 12,2 millions de personnes concernées. DAC8 ajoute à ce terrain une base qui croise identité civile et activité crypto.

Points clés :

  • La sécurité dépend du maillon le plus faible : une seule des 27 administrations suffit. Les précédents existent (NRA Bulgarie 2019 : jusqu’à 7 M de contribuables ; Equalize en Italie ; l’agente Ghalia C. de la DGFiP ciblant les investisseurs crypto).
  • Le risque n’est pas que le piratage externe : accès internes abusifs, mauvaises configurations et prestataires compromis comptent autant.
  • Une donnée crypto fuitée reste exploitable longtemps et peut créer une surveillance permanente, voire un ciblage physique.
Lire l'analyse complète
04

Une base centralisée est, par nature, une cible

Concentrer des données sensibles crée un « honeypot » : une cible à très haute valeur. Les CASP régulés (MiCA, DORA, RGPD) sont des professionnels surveillés, sanctionnables et incités à protéger leurs clients. DAC8 fait l'inverse : 27 bases partagées, dont la sécurité de l'ensemble vaut celle du maillon le plus faible.

En savoir plus ↓

Concentrer des données crypto sensibles dans une base partagée crée un « honeypot » : une cible à très haute valeur. Plus la base est grande et précieuse, plus l’effort des attaquants est important et plus une seule fuite est dévastatrice. La cible DAC8 sera l’une des plus précieuses d’Europe.

Les CASP régulés (MiCA depuis le 30 décembre 2024, DORA depuis janvier 2025, RGPD) sont des professionnels surveillés et incités : une fuite leur coûte licence, clients et réputation, avec des sanctions jusqu’à 4 % du chiffre d’affaires mondial. Une administration qui perd les données des contribuables, elle, continue d’exister et n’écope au pire que d’une amende symbolique (Bulgarie 2019 : 2,9 M€ payés par le contribuable bulgare à l’État bulgare).

DAC8 fait l’inverse du bon réflexe de sécurité :

  • Modèle actuel : environ 100 à 200 CASP indépendants ; une fuite reste circonscrite (Waltio : 50 000 clients).
  • Modèle DAC8 : 1 base × 27 administrations = 27 cibles équivalentes, avec des millions d’agents exposés (DGFiP : environ 100 000).
  • La sécurité de l’ensemble vaut celle du maillon le plus faible.
Lire l'analyse complète

Ressources

Le dossier de référence, en pages lisibles

Analyses, chiffres, sources et contexte mondial CARF sans alourdir la page d'accueil.