Skip to content
Ressources

Sécurité des données

Centralisation ou dissémination

Pourquoi concentrer des données crypto sensibles crée une cible plus dangereuse que des bases séparées chez des acteurs responsables.

Mis à jour le

Réponse courte

L’architecture compte. Une information sensible dispersée chez plusieurs acteurs responsables n’a pas le même profil de risque qu’une information centralisée dans un système de reporting automatique et échangée entre administrations. Le modèle actuel répartit les données crypto entre des prestataires directement responsables de leur protection. DAC8 ajoute une circulation systématique vers les administrations fiscales et entre juridictions : la donnée sort de son périmètre initial, se multiplie et devient plus facile à rechercher, copier, croiser et détourner. Pour des crypto-actifs, qui peuvent relier une personne à un actif liquide et transférable sous contrainte, ce choix de centralisation est particulièrement dangereux. La minimisation et l’accès ciblé restent des réglages par défaut plus sûrs que la centralisation systématique.

Faits clés

  • L’architecture détermine le risque : données dispersées et données centralisées n’ont pas le même profil.
  • Modèle dispersé : les prestataires (CASP) détiennent les données dans leurs propres systèmes et sont soumis à des obligations de sécurité, à des sanctions, à un risque commercial et à un risque de perte de licence, ce qui crée une responsabilité directe et de fortes incitations à protéger les données.
  • Modèle DAC8 : circulation systématique vers les administrations fiscales et entre juridictions ; la donnée sort du périmètre commercial initial et se multiplie dans des environnements différents.
  • Règle simple : plus une donnée circule, plus les points de défaillance augmentent.
  • Effet de la centralisation : une cible unique ou semi-unique, plus lisible et plus rentable à compromettre, avec des données plus faciles à rechercher, copier, croiser et détourner, par des attaquants comme par des acteurs internes.
  • Spécificité crypto : les données peuvent relier une personne à un actif liquide, transférable sous contrainte.
  • Meilleur réglage par défaut : minimisation et accès ciblé plutôt que centralisation systématique.

Le modèle dispersé

Dans le modèle actuel, les prestataires de services sur crypto-actifs (CASP) détiennent les données de leurs clients dans leurs propres systèmes. Ces acteurs sont soumis à des obligations de sécurité, à des sanctions, à un risque commercial et à un risque de perte de licence.

Cette responsabilité directe crée des incitations fortes à protéger les données. Chaque acteur répond de ses propres manquements, et la donnée reste cantonnée à son périmètre commercial d’origine.

Le modèle DAC8

DAC8 ajoute une circulation systématique vers les administrations fiscales et entre juridictions. La donnée sort du périmètre commercial initial et se multiplie dans des environnements différents, avec des règles, des outils et des niveaux de protection variables.

Plus une donnée circule, plus les points de défaillance augmentent. Chaque copie, chaque transfert et chaque environnement supplémentaire est une occasion de fuite, d’erreur ou de détournement.

L’argument sécurité

La centralisation n’est pas neutre. Elle crée une cible unique ou semi-unique, plus lisible pour les attaquants et plus rentable à compromettre. Une donnée concentrée devient aussi plus facile à rechercher, copier, croiser et détourner, que la menace vienne d’attaquants externes ou d’acteurs internes.

Pour les crypto-actifs, ce choix est particulièrement dangereux : les données peuvent relier une personne à un actif liquide, transférable sous contrainte. Le risque n’est pas seulement administratif ou fiscal ; il est aussi physique.

Le meilleur réglage par défaut

Pour des données crypto sensibles, la minimisation et l’accès ciblé sont des réglages par défaut plus sûrs que la centralisation systématique. Collecter moins, restreindre les accès et éviter la constitution d’une base centralisée réduisent la surface d’attaque au lieu de l’étendre.

Pages liées