March 22, 2026
Méthodologie À Propos Contact
LA TOKENISATION
Le Terminal Vanderbilt de la Tokenisation
INTELLIGENCE INDÉPENDANTE SUR LA TOKENISATION EN FRANCE ET EN EUROPE
Dette Négociable France: 2 602 Mds EUR ▲ +3,2% | PSAN Enregistrés AMF: 147 ▲ +23 | Émissions OAT 2024: 339,9 Mds EUR | OAT Vertes Encours: 83 Mds EUR ▲ +17% | Taux Moyen OAT: 2,91% ▼ -0,3% | Obligations Vertes 2024: 14,1 Mds EUR | Loi PACTE: Mai 2019 | MiCA Entrée en Vigueur: Déc 2024 | Dette Négociable France: 2 602 Mds EUR ▲ +3,2% | PSAN Enregistrés AMF: 147 ▲ +23 | Émissions OAT 2024: 339,9 Mds EUR | OAT Vertes Encours: 83 Mds EUR ▲ +17% | Taux Moyen OAT: 2,91% ▼ -0,3% | Obligations Vertes 2024: 14,1 Mds EUR | Loi PACTE: Mai 2019 | MiCA Entrée en Vigueur: Déc 2024 |
Accueil Cadre Réglementaire de la Tokenisation en France CNIL et Blockchain : Protection des Données Personnelles
Layer 1

CNIL et Blockchain : Protection des Données Personnelles

Analyse de la position de la CNIL sur la blockchain et la protection des données personnelles en France, conformité RGPD.

Publicité

CNIL et Blockchain : Protection des Données Personnelles

Mis à jour mars 2026

Introduction

La conciliation entre la technologie blockchain et le Règlement Général sur la Protection des Données (RGPD) constitue l’un des défis juridiques les plus complexes de l’ère numérique. La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité française de protection des données, a publié des recommandations pionnières sur ce sujet, positionnant la France comme un leader de la réflexion sur l’intersection entre registres distribués et droits fondamentaux.

La tension fondamentale est claire : la blockchain repose sur l’immutabilité et la transparence des données, tandis que le RGPD consacre le droit à l’effacement, le droit de rectification et le principe de minimisation des données. Avec plus de 100 PSAN enregistrés en France et un écosystème de 1 145 fintechs, les enjeux pratiques de cette conciliation sont considérables.

La Position de la CNIL

Le Cadre d’Analyse

La CNIL a adopté une approche pragmatique plutôt que dogmatique. Dans ses recommandations, elle reconnaît que la blockchain n’est pas incompatible avec le RGPD, mais que son utilisation nécessite des mesures techniques et organisationnelles spécifiques. La CNIL distingue plusieurs cas selon le type de blockchain (publique, privée, permissionnée) et la nature des données inscrites.

Identification du Responsable de Traitement

Sur une blockchain, la question du responsable de traitement (article 26 du RGPD) est particulièrement délicate. La CNIL considère que les participants qui soumettent des données à la blockchain sont responsables de traitement lorsqu’ils déterminent les finalités et les moyens du traitement. Les mineurs ou validateurs, qui ne font que valider les transactions, sont généralement qualifiés de sous-traitants.

Pour les PSAN et les CASP qui opèrent des plateformes de négociation ou des services de conservation sur blockchain, la responsabilité est claire : ils sont responsables de traitement pour les données personnelles de leurs clients.

Le Droit à l’Effacement sur Blockchain

Le droit à l’effacement (article 17 du RGPD) est le point de tension majeur. La CNIL recommande d’éviter d’inscrire des données personnelles directement sur la blockchain. À la place, elle préconise de stocker les données personnelles hors chaîne (off-chain) et de n’inscrire sur la blockchain qu’un hash (empreinte cryptographique) des données. En cas de demande d’effacement, les données off-chain sont supprimées, rendant le hash sur la blockchain inutilisable — même si le hash persiste.

Pour les cas où des données personnelles sont inévitablement inscrites on-chain (comme les adresses de portefeuilles), la CNIL recommande des techniques de chiffrement et d’engagement (commitment schemes) qui permettent de rendre les données illisibles à terme.

Le Droit de Rectification

La rectification de données inscrites sur une blockchain immuable pose un défi similaire. La CNIL admet qu’une nouvelle transaction peut être ajoutée pour corriger l’information, sans effacer la transaction originale. Cette approche est jugée acceptable si elle est clairement documentée et accessible aux personnes concernées.

Implications pour l’Écosystème Français

Les PSAN et le RGPD

Les PSAN français doivent concilier leurs obligations LCB-FT (qui exigent la collecte et la conservation de données personnelles) avec le RGPD (qui impose la minimisation et la limitation de la durée de conservation). Les procédures KYC impliquent la collecte de pièces d’identité, justificatifs de domicile et informations financières — des données sensibles qui doivent être protégées.

L’ACPR, qui supervise 66 plateformes crypto, vérifie le respect des obligations LCB-FT, tandis que la CNIL peut contrôler la conformité RGPD. Les PSAN doivent satisfaire les deux autorités simultanément.

La DeFi et les Données Personnelles

Les protocoles DeFi français comme Morpho Labs opèrent sur des blockchains publiques où les transactions sont visibles. Les adresses de portefeuilles, bien que pseudonymes, peuvent être reliées à des identités réelles, ce qui en fait des données personnelles au sens du RGPD. La CNIL n’a pas encore publié de position spécifique sur la DeFi, mais les principes généraux s’appliquent.

La Tokenisation d’Actifs et les Données Personnelles

La tokenisation d’actifs réels (RWA) peut impliquer l’inscription de données personnelles des propriétaires sur un registre distribué. SG-FORGE utilise le CAST Framework (open-source, conformité AML intégrée) pour ses obligations tokenisées, avec un accès permissionné pour gérer les données personnelles. BNP Paribas a choisi un modèle d’accès permissionné sur Ethereum public pour son fonds monétaire tokenisé, réservé aux participants autorisés.

Recommandations Techniques de la CNIL

Minimisation des Données On-Chain

La CNIL recommande de n’inscrire sur la blockchain que le strict minimum nécessaire. Les données personnelles doivent être stockées off-chain dans des bases de données conventionnelles conformes au RGPD. Seuls des identifiants pseudonymes, des hash ou des preuves cryptographiques sont inscrits on-chain.

Chiffrement et Pseudonymisation

Les techniques de chiffrement sont essentielles. La CNIL recommande l’utilisation de solutions de chiffrement robustes pour les données personnelles liées à la blockchain. La pseudonymisation (remplacement des identifiants directs par des pseudonymes) est présentée comme une mesure de base. Les techniques de zero-knowledge proof (preuve à divulgation nulle de connaissance) sont encouragées pour les cas où une vérification est nécessaire sans divulgation de l’identité.

Blockchain Permissionnée vs Publique

La CNIL considère que les blockchains permissionnées offrent de meilleures garanties pour la protection des données personnelles, car l’accès est contrôlé et un responsable de traitement peut être identifié. Cela explique pourquoi la Banque de France a développé DL3S comme blockchain permissionnée pour ses expérimentations CBDC, et pourquoi Crédit Agricole utilise des protocoles permissionnés pour so|cash.

L’Euro Numérique et la Vie Privée

L’euro numérique en préparation par la BCE soulève des questions majeures de vie privée. La Banque de France, partisane forte de l’euro numérique, insiste sur la capacité hors ligne (utilisable même en cas de panne réseau) comme garantie de confidentialité. La limite de détention étudiée est de 500 à 3 000 euros par personne.

Le projet de règlement européen prévoit qu’aucun frais de transaction ne sera facturé par la BCE, et que l’euro numérique reposera exclusivement sur des technologies européennes — une garantie de souveraineté qui a des implications directes pour la protection des données.

Perspectives

La convergence entre blockchain et RGPD est un chantier en constante évolution. Les avancées technologiques (zero-knowledge proofs, techniques de confidentialité sélective, blockchains à confidentialité intégrée) offrent de nouvelles solutions. La CNIL continue d’adapter ses recommandations au fur et à mesure que l’écosystème évolue.

Avec la transition vers MiCA et l’augmentation du nombre de CASP opérant en France via le passeport européen, les questions de protection des données personnelles vont se multiplier. La France, forte de l’expertise de la CNIL et de son écosystème réglementaire mature, est bien positionnée pour influencer les standards européens en la matière.

Recommandations Pratiques de la CNIL pour les Acteurs Blockchain

La CNIL a publié des recommandations pratiques à destination des entreprises et organisations utilisant la technologie blockchain dans un contexte impliquant des données personnelles. Ces recommandations couvrent plusieurs aspects fondamentaux de la mise en conformité avec le RGPD.

En matière de minimisation des données, la CNIL recommande de ne jamais inscrire directement des données personnelles identifiantes sur une blockchain publique. Les acteurs doivent privilégier le recours au hachage des données personnelles, au chiffrement avant inscription, ou à l’utilisation de preuves à divulgation nulle de connaissance (zero-knowledge proofs). Ces techniques permettent de vérifier la validité d’une information sans révéler l’information elle-même, conciliant ainsi les exigences de transparence de la blockchain avec le principe de protection des données personnelles.

Pour le droit à l’effacement (article 17 du RGPD), la CNIL reconnaît que l’immutabilité des blockchains pose un défi technique fondamental. Elle propose une approche pragmatique : si les données personnelles sont stockées sous forme hachée et que la clé de déchiffrement est détruite, les données inscrites sur la blockchain deviennent de facto inaccessibles, ce qui peut être considéré comme un équivalent fonctionnel de l’effacement. Cette position de la CNIL a influencé les travaux du Comité européen de la protection des données (EDPB) sur le sujet.

Impact sur l’Écosystème des Actifs Numériques en France

Les exigences de la CNIL en matière de protection des données ont des implications directes pour l’ensemble de l’écosystème des actifs numériques en France. Les plus de 100 PSAN enregistrés auprès de l’AMF sont soumis à la fois aux obligations de conformité LCB-FT — qui imposent la collecte et la conservation de données d’identité des clients (KYC) — et aux exigences du RGPD supervisées par la CNIL. Cette double contrainte oblige les prestataires à mettre en place des architectures de données sophistiquées qui garantissent simultanément la traçabilité requise par la réglementation financière et la protection de la vie privée exigée par le RGPD.

Le cas de SG-FORGE et de son stablecoin EURCV illustre cette problématique. Le CAST Framework open source développé par SG-FORGE intègre la conformité AML directement dans les smart contracts tout en respectant les principes de protection des données. La restructuration de l’EURCV en juillet 2024, avec le passage à une transférabilité libre sans whitelisting, a nécessité une révision des mécanismes de conformité pour maintenir les obligations réglementaires sans compromettre la protection des données personnelles des utilisateurs.

Blockchain et Transferts Internationaux de Données

Les blockchains publiques, par nature transfrontalières, soulèvent des questions complexes en matière de transfert international de données personnelles. Le RGPD encadre strictement les transferts de données vers des pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne. Or, les noeuds d’une blockchain publique comme Ethereum sont répartis dans le monde entier, y compris dans des juridictions ne disposant pas d’un niveau de protection des données équivalent à celui de l’Union européenne.

La CNIL a recommandé aux acteurs français de privilégier les blockchains permissionnées lorsque des données personnelles sont en jeu, car ces architectures permettent de contrôler la localisation géographique des noeuds et donc de maîtriser les flux de données. La plateforme DL3S de la Banque de France, utilisée pour les expérimentations de CBDC wholesale, est précisément une blockchain permissionnée conçue pour répondre à ces exigences de souveraineté et de protection des données. Les 12 expérimentations menées entre 2020 et 2024 ont impliqué 40 entités de 9 juridictions dans un cadre contrôlé qui respecte les exigences du RGPD.

Perspectives Réglementaires

L’articulation entre le RGPD et la réglementation des actifs numériques continue d’évoluer. Le règlement MiCA impose ses propres obligations en matière de données personnelles aux CASP, qui s’ajoutent aux exigences du RGPD. L’ESMA et la CNIL travaillent conjointement pour clarifier les interactions entre ces deux cadres réglementaires. La période transitoire MiCA en France, qui s’achève le 1er juillet 2026, constitue une fenêtre critique pendant laquelle les acteurs doivent mettre en conformité simultanée leurs dispositifs de protection des données et leurs procédures d’agrément CASP.

Cas d’Usage Concrets et Bonnes Pratiques

Les acteurs de l’écosystème français ont développé des solutions innovantes pour concilier les exigences de la CNIL avec les spécificités de la blockchain. Le protocole so|cash du Crédit Agricole, testé lors des essais DLT de la BCE en 2024 avec BNP Paribas, Santander et SEB, utilise un modèle de banque correspondante tokenisée qui préserve la confidentialité des données clients tout en permettant le règlement en wCBDC via la plateforme DL3S de la Banque de France. De même, CACEIS, qui a obtenu son agrément MiCA en juin 2025, a conçu son infrastructure de conservation de crypto-actifs sur Ethereum public avec un accès permissionné réservé aux participants autorisés, permettant de bénéficier de la transparence de la blockchain publique tout en contrôlant l’accès aux données personnelles conformément au RGPD. La fintech Spiko, partenaire de CACEIS pour le premier fonds UCITS monétaire de détail sur blockchain publique en Europe, a intégré des mécanismes de chiffrement qui garantissent que seules les parties autorisées peuvent accéder aux informations d’identité des porteurs de parts.

La convergence entre les exigences de la CNIL, les obligations LCB-FT et le cadre MiCA crée un environnement réglementaire complexe mais cohérent pour les acteurs de la tokenisation en France. Les prestataires qui réussissent à intégrer ces trois dimensions dans leurs architectures techniques et juridiques bénéficient d’un avantage compétitif significatif dans la perspective du marché unifié européen des crypto-actifs.

La CNIL continue de mettre à jour ses recommandations au fil des évolutions technologiques et réglementaires de l’écosystème blockchain français.

Publicité
CNILRGPDblockchaindonnées personnellesvie privée
Articles Connexes
ACPR : Régulation des Tokens de Paiement en France
Du PSAN au DASP : Guide Complet de l'Enregistrement
Fiscalité des Actifs Numériques en France (Article 150 VH bis)
Loi PACTE et Cadre Juridique des Actifs Numériques en France
Publicité
Réseau de Renseignement
Tokenisation Immobilière
Immobilier Tokenisé en France
Actions Tokenisées
Actions Tokenisées en France
Actifs Tokenisés Francophones
Marchés Francophones
Dette Tokenisée
Dette Institutionnelle Tokenisée

Accès Institutionnel

Bientôt Disponible