CNIL — Protection des Données et Blockchain
CNIL : autorité de protection des données, RGPD et blockchain, vie privée actifs numériques.
CNIL — Protection des Données et Blockchain
Mis à jour mars 2026
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française chargée de veiller à la protection des données personnelles et au respect de la vie privée dans l’univers numérique. Dans le contexte de la tokenisation des actifs financiers et du développement des marchés de crypto-actifs en France, la CNIL joue un rôle fondamental en encadrant l’articulation entre le Règlement Général sur la Protection des Données (RGPD) et les technologies blockchain, soulevant des questions juridiques et techniques inédites qui se trouvent au coeur de la transformation numérique des marchés financiers.
Vue d’ensemble
Créée par la loi Informatique et Libertés du 6 janvier 1978, la CNIL est pionnière dans la protection des données personnelles en Europe. Son expertise et son influence ont largement contribué à l’élaboration du RGPD (Règlement UE 2016/679), entré en application le 25 mai 2018, qui constitue le cadre juridique de référence pour le traitement des données personnelles dans l’ensemble de l’Union européenne.
La mission de la CNIL s’étend à l’ensemble des traitements de données personnelles effectués en France ou concernant des résidents français. Dans le domaine de la blockchain et de la tokenisation, cette mission acquiert une dimension particulière car les caractéristiques fondamentales de la blockchain — immutabilité, décentralisation, transparence — entrent potentiellement en tension avec certains principes du RGPD, notamment le droit à l’effacement (article 17), le principe de minimisation des données (article 5) et la qualification du responsable de traitement (article 26).
Rôle dans la Tokenisation
Le rôle de la CNIL dans l’écosystème de la tokenisation s’articule autour de plusieurs enjeux fondamentaux :
Qualification juridique des acteurs blockchain : La CNIL a publié des orientations sur la qualification du responsable de traitement dans le contexte des réseaux blockchain décentralisés. Sur une blockchain publique comme Ethereum — utilisée par SG-FORGE pour l’EURCV (452 millions de dollars de capitalisation) et les obligations tokenisées —, l’identification du responsable de traitement est complexe car les données sont traitées par un réseau de noeuds décentralisé, sans entité unique de contrôle. La CNIL considère que les participants qui déterminent les finalités et les moyens du traitement (émetteurs de tokens, opérateurs de plateformes) sont responsables de traitement, même lorsqu’ils utilisent une infrastructure décentralisée.
Droit à l’effacement et immutabilité : Le droit à l’effacement prévu par l’article 17 du RGPD se heurte à l’immutabilité des registres blockchain, où les données inscrites ne peuvent, par conception, être supprimées. La CNIL recommande l’utilisation de techniques de pseudonymisation et de chiffrement qui permettent de rendre les données illisibles sans les effacer du registre, ainsi que le stockage des données personnelles hors chaîne (off-chain) avec uniquement des empreintes cryptographiques (hashes) inscrites sur la blockchain.
Pseudonymisation des adresses : Les adresses blockchain (comme l’adresse du smart contract EURCV de SG-FORGE : 0x5F7827FDeb7c20b443265Fc2F40845B715385Ff2) sont considérées par la CNIL comme des données pseudonymisées plutôt qu’anonymisées, car elles peuvent potentiellement être reliées à des personnes physiques identifiées par le biais de techniques d’analyse blockchain, de données KYC détenues par les prestataires ou de recoupements avec d’autres sources de données.
Projets et Initiatives
Recommandations Blockchain et RGPD
La CNIL a publié des recommandations spécifiques sur l’utilisation de la blockchain en conformité avec le RGPD. Ces recommandations couvrent les bonnes pratiques en matière de minimisation des données, de stockage off-chain des données personnelles, de gestion des droits des personnes concernées et de sécurité des traitements. Elles constituent un guide de référence pour les acteurs de la tokenisation qui traitent des données personnelles dans le cadre de leurs activités.
Les PSAN et les CASP sont soumis à la fois au RGPD et aux obligations de conformité LCB-FT (lutte contre le blanchiment et le financement du terrorisme). Cette double contrainte crée des tensions réglementaires : les obligations KYC (Know Your Customer) imposent la collecte et la conservation de données personnelles détaillées, tandis que le RGPD impose la minimisation des données et la limitation de la durée de conservation. La CNIL, en coordination avec l’AMF et l’ACPR, travaille à l’élaboration de solutions pratiques pour concilier ces exigences apparemment contradictoires.
CAST Framework et Conformité
Le CAST Framework (Compliant Architecture for Security Tokens), développé par SG-FORGE en open source, illustre une approche technique de la conformité réglementaire, incluant la conformité RGPD, intégrée au niveau du protocole blockchain. Ce framework intègre des mécanismes de vérification d’identité et de contrôle des transactions qui respectent les principes de privacy by design prônés par la CNIL, en ne partageant que les informations strictement nécessaires à la vérification de conformité sans exposer l’ensemble des données personnelles des parties aux transactions.
Enjeux des Stablecoins et EMT
Les stablecoins comme l’EURCV de SG-FORGE, déployé sur Ethereum, Solana et XRP Ledger, soulèvent des questions spécifiques de protection des données. Les transactions en EURCV sont enregistrées sur des blockchains publiques, créant un registre permanent et transparent des mouvements de fonds. La CNIL veille à ce que les émetteurs de jetons de monnaie électronique (EMT) conformes à MiCA mettent en oeuvre les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles de leurs utilisateurs, y compris la pseudonymisation des adresses et le stockage sécurisé des données KYC.
Cadre Réglementaire
Le cadre réglementaire applicable aux enjeux de protection des données dans le contexte de la tokenisation combine plusieurs textes :
- RGPD (Règlement UE 2016/679) : Cadre général de protection des données personnelles, applicable à tous les traitements de données effectués dans le cadre de la tokenisation et des services sur actifs numériques.
- Loi Informatique et Libertés (loi du 6 janvier 1978, modifiée) : Transposition nationale du RGPD avec des dispositions spécifiques au droit français.
- Loi PACTE (2019) : Le cadre PSAN impose des obligations de conservation de données qui doivent être conciliées avec le RGPD.
- Règlement MiCA (UE 2023/1114) : Les exigences de transparence et de reporting pour les CASP doivent être mises en oeuvre dans le respect du RGPD.
- Directive LCB-FT : Les obligations de vérification d’identité et de conservation des données clients (au moins 5 ans) doivent être conciliées avec le principe de limitation de la durée de conservation du RGPD.
La CNIL travaille en coordination avec l’AMF, l’ACPR et l’ESMA pour assurer la cohérence des exigences de protection des données avec les exigences réglementaires applicables aux actifs numériques. La période transitoire MiCA en France, qui s’achève le 1er juillet 2026, constitue une échéance importante pour l’alignement des pratiques de protection des données avec le nouveau cadre européen.
Chiffres Clés
| Indicateur | Valeur |
|---|---|
| Date de création | 6 janvier 1978 |
| Application du RGPD | 25 mai 2018 |
| PSAN soumis au RGPD | Plus de 100 |
| Licences CASP MiCA en France | 6 |
| Adresses blockchain | Données pseudonymisées (position CNIL) |
Partenariats
La CNIL collabore avec plusieurs institutions dans le contexte de la tokenisation :
- AMF : Coordination sur les obligations de transparence et de reporting des PSAN/CASP, conciliation entre protection des données et régulation des marchés financiers.
- ACPR : Coordination sur les aspects LCB-FT et la collecte de données KYC par les prestataires d’actifs numériques, supervision prudentielle des établissements financiers.
- ESMA : Coordination européenne sur les enjeux de protection des données dans le cadre MiCA.
- EDPB (European Data Protection Board) : Coordination avec les autorités de protection des données des autres États membres sur les enjeux blockchain transfrontaliers.
- SG-FORGE : Le CAST Framework open source intègre les principes de privacy by design préconisés par la CNIL.
- Banque de France : Les enjeux de protection des données liés aux CBDC wholesale (plateforme DL3S) et retail (euro numérique).
Perspectives
Les perspectives de la CNIL dans le domaine de la tokenisation sont marquées par l’évolution rapide des technologies blockchain et des usages des actifs numériques. Le projet d’euro numérique retail, avec une première émission potentielle en 2029, soulève des questions majeures de protection de la vie privée : comment assurer la confidentialité des transactions tout en respectant les obligations LCB-FT, et comment garantir que l’euro numérique n’est pas utilisé comme outil de surveillance des citoyens. La CNIL sera un acteur central de ce débat.
L’écosystème français de la tokenisation que la CNIL encadre comprend des acteurs majeurs : SG-FORGE (EURCV à 452 millions de dollars, obligations tokenisées sur Ethereum, Tezos et Canton Network), BNP Paribas (AssetFoundry, Canton Network avec 3 600 milliards de dollars d’actifs), Crédit Agricole CIB (so|bond, so|cash), CACEIS (agrément CASP MiCA pour la conservation), Natixis (projet Jura), Euroclear France (infrastructure D-FMI) et la Caisse des Dépôts (DNN de 100 millions d’euros). Les gestionnaires d’actifs comme AXA Investment Managers et Amundi investissent dans les obligations numériques.
Le marché financier français — 5 600 milliards d’euros d’obligations, Euronext Paris avec 2 480,8 milliards d’euros de capitalisation du CAC 40, 2 602 milliards d’euros de dette négociable gérée par l’Agence France Trésor — représente un volume considérable de données de transactions financières potentiellement tokenisées que la CNIL devra encadrer. L’écosystème fintech français (1 145 entreprises, 14 licornes, 54 000 emplois), soutenu par Bpifrance (45 % du financement early-stage Web3 en 2023), génère une demande croissante pour des solutions de tokenisation conformes au RGPD. La CNIL, par son expertise en matière de protection des données et sa capacité d’adaptation aux nouvelles technologies, est un garant essentiel de la confiance des citoyens et des investisseurs dans l’écosystème de la tokenisation.
Lien externe : CNIL
La Tokenisation — L’encyclopédie francophone de la tokenisation des actifs numériques
Enjeux Techniques de la Conformité RGPD sur Blockchain
La conformité RGPD sur blockchain pose des défis techniques spécifiques que la CNIL a identifiés et pour lesquels elle propose des solutions pratiques. Le premier défi concerne le stockage des données personnelles. Sur une blockchain publique, toute donnée inscrite est répliquée sur l’ensemble des noeuds du réseau et ne peut être modifiée ou supprimée. La CNIL recommande une architecture hybride dans laquelle les données personnelles sont stockées off-chain (dans des bases de données classiques soumises aux procédures standard de suppression) tandis que seules des empreintes cryptographiques (hashes) ou des identifiants pseudonymisés sont inscrits on-chain.
Le deuxième défi concerne la portabilité des données (article 20 du RGPD). La blockchain facilite la portabilité en permettant aux utilisateurs de prouver la propriété de leurs actifs numériques grâce à leurs clés cryptographiques, mais la portabilité des données KYC entre prestataires reste un enjeu pratique majeur. La CNIL encourage le développement de solutions d’identité décentralisée (DID) qui permettraient aux utilisateurs de contrôler leurs données personnelles tout en satisfaisant aux exigences KYC des PSAN et CASP.
Le troisième défi concerne le transfert international de données. Les blockchains publiques comme Ethereum sont opérées par des noeuds situés dans le monde entier, ce qui implique que les données inscrites on-chain sont potentiellement transférées hors de l’Union européenne. La CNIL veille à ce que ces transferts respectent les dispositions du chapitre V du RGPD, qui impose des garanties appropriées pour les transferts vers des pays tiers n’offrant pas un niveau de protection adéquat.
Le quatrième défi concerne l’analyse de la proportionnalité des traitements. Les activités de surveillance des transactions (transaction monitoring) requises par les obligations LCB-FT impliquent le traitement de volumes importants de données de transaction. La CNIL veille à ce que ces traitements soient proportionnés aux risques identifiés et qu’ils ne conduisent pas à une surveillance excessive des utilisateurs de services sur actifs numériques.
L’adoption croissante des crypto-actifs en France — 10 % de la population détenait des crypto-actifs en 2024 et 33 % des Français envisageaient d’en acquérir en 2025 — amplifie ces enjeux de protection des données. Chaque transaction sur les blockchains publiques génère des données potentiellement qualifiables de données personnelles au sens du RGPD, créant un volume croissant de traitements à encadrer. Le financement Web3 en Europe (2,1 milliards d’euros en 2024) et la dynamique de l’écosystème français (1,3 milliard d’euros de financement fintech en 2024) témoignent de la croissance rapide d’un secteur dans lequel la CNIL doit continuellement adapter ses recommandations et ses contrôles pour protéger les droits fondamentaux des personnes dans un environnement technologique en constante évolution.
Articulation RGPD et Cadre MiCA pour les Actifs Numériques
L’entrée en vigueur du règlement MiCA le 30 décembre 2024 et la transposition en droit français par l’ordonnance 2024-936 du 15 octobre 2024 ont créé de nouvelles obligations de transparence et de reporting pour les prestataires de services sur crypto-actifs qui doivent être conciliées avec le cadre RGPD supervisé par la CNIL. Les six licences CASP MiCA délivrées en France imposent à leurs titulaires des obligations renforcées de collecte de données clients, de traçabilité des transactions et de reporting aux autorités de supervision, obligations qui entrent en interaction directe avec les principes de minimisation des données et de limitation de la durée de conservation du RGPD.
La CNIL examine avec attention le déploiement des stablecoins institutionnels sur les blockchains publiques. L’EURCV de SG-FORGE, déployé sur Ethereum, Solana et XRP Ledger avec une capitalisation de 452 millions de dollars, génère des données de transaction sur des registres publics et immuables. Le CAST Framework open source développé par SG-FORGE intègre des mécanismes de conformité AML au niveau du protocole, mais la CNIL veille à ce que ces mécanismes ne collectent pas plus de données personnelles que ce qui est strictement nécessaire à la vérification de conformité. L’USD CoinVertible, lancé en juillet 2025 sur Ethereum et Solana, étend ces enjeux de protection des données au marché dollar.
Les plateformes institutionnelles de tokenisation soulèvent des questions spécifiques de gouvernance des données. AssetFoundry de BNP Paribas, qui opère sur le Canton Network hébergeant plus de 3 600 milliards de dollars d’actifs tokenisés, traite des volumes considérables de données de transactions financières. Les plateformes so|bond et so|cash du Crédit Agricole CIB, utilisées par la Banque Européenne d’Investissement pour l’émission d’obligations tokenisées, génèrent des données de transactions interbancaires soumises au RGPD. L’agrément CASP MiCA obtenu par CACEIS en juin 2025 pour la conservation d’actifs numériques sur Ethereum public, en partenariat avec Spiko et Twenty First Capital, implique la conservation de données de détention d’actifs numériques soumises aux exigences de la CNIL.
La Digitally Native Note (DNN) de 100 millions d’euros émise par la Caisse des Dépôts via Euroclear D-FMI en novembre 2024, réglée en wCBDC sur la plateforme DL3S de la Banque de France, illustre un cas d’usage dans lequel les données de transaction sont inscrites sur une infrastructure numérique institutionnelle dont le cadre de protection des données doit être validé par la CNIL. Le projet d’euro numérique retail, avec une première émission potentielle en 2029, représente le défi le plus sensible pour la CNIL en matière de protection de la vie privée : garantir que les transactions en euro numérique ne constituent pas un instrument de surveillance de masse tout en permettant le respect des obligations LCB-FT. La limite de détention étudiée de 500 à 3 000 euros par personne et l’absence de frais de transaction facturés par la BCE positionnent l’euro numérique comme un instrument d’inclusion financière dont la CNIL devra encadrer rigoureusement le traitement des données personnelles associées.
La collaboration entre la CNIL, l’AMF, l’ACPR et l’ESMA sera déterminante pour établir un cadre cohérent de protection des données dans l’écosystème tokenisé. Les 29,4 millions d’euros de sanctions prononcées par l’AMF en 2024, les 181 sites frauduleux fermés et les 56 nouvelles enquêtes ouvertes témoignent de l’intensité de la supervision des marchés de crypto-actifs. La CNIL, par son expertise en matière de protection des données et sa capacité d’adaptation aux nouvelles technologies, contribue à l’établissement d’un cadre de confiance indispensable à l’adoption institutionnelle de la tokenisation en France et en Europe.