La cryptomonnaie en tant que donnée personnelle
Une adresse de portefeuille Bitcoin est une chaîne de 26 à 35 caractères alphanumériques en codage Base58Check, commençant par "1", "3" ou "bc1". Une adresse Ethereum est "0x" suivie de 40 caractères hexadécimaux. Ces adresses sont pseudonymes — elles n'identifient pas directement les individus — mais en vertu du RGPD, les données pseudonymes qui peuvent être liées à un individu par un traitement supplémentaire sont des données personnelles.
Une plateforme d'échange de cryptomonnaie qui détient des données KYC (liant les adresses de portefeuille à des identités de clients vérifiées) détient des données personnelles au sens du RGPD : l'adresse de portefeuille, combinée avec le dossier KYC, identifie une personne physique. L'adresse de portefeuille seule est une donnée personnelle dans l'environnement de données de l'échange, car l'échange peut la lier à un individu.
La réglementation MiCA de l'UE (Marchés des crypto-actifs), en vigueur à partir de décembre 2024, ajoute une couche de réglementation financière : les fournisseurs de services d'actifs cryptographiques (CASP) doivent mettre en œuvre des contrôles appropriés pour la protection des données des clients. L'intersection de MiCA et du RGPD signifie qu'un échange de cryptomonnaie européen est soumis à la fois à la réglementation financière (les exigences de protection des données de MiCA pour les CASP) et à la législation générale sur la protection des données (RGPD) pour les mêmes données d'adresse de portefeuille.
Le fossé de détection
Les outils de détection PII standard ont été conçus pour les identifiants financiers traditionnels : IBAN, numéro de compte, numéro de routage, SWIFT/BIC. Ces outils n'ont aucune connaissance des formats d'adresse de cryptomonnaie. Un document contenant une adresse de portefeuille Bitcoin, une adresse Ethereum et un code SWIFT aura le code SWIFT détecté et les deux adresses de cryptomonnaie manquées par tout outil qui n'inclut pas les types d'entités d'adresse crypto.
Pour un échange de cryptomonnaie européen traitant des documents KYC : les IBAN des comptes bancaires des clients sont détectés par des outils standards. L'adresse de portefeuille Bitcoin du client utilisée pour le financement initial n'est pas détectée. Le code SWIFT pour le virement de leur banque est détecté. L'adresse Ethereum utilisée pour les achats de jetons n'est pas détectée.
La détection manquante n'est pas un fossé mineur — les adresses de portefeuille sont des identifiants financiers essentiels dans les contextes crypto, aussi sensibles que les numéros de compte dans les contextes bancaires traditionnels.
L'article 32(1)(a) du RGPD exige la pseudonymisation et le chiffrement comme mesures techniques de base. 56 % des amendes RGPD citent un chiffrement inadéquat comme un facteur contributif. Une organisation qui chiffre toutes les PII détectées mais ne parvient pas à détecter les adresses de portefeuille de cryptomonnaie n'a rien chiffré de pertinent pour ses opérations commerciales essentielles.
Sources :