Les faits : Contrats intelligents (« smart contracts »), transactions financières, levées de fonds, transfert d’actifs (bitcoin), vote en ligne, gestion de droits de propriété intellectuelle, la blockchain est aujourd’hui utilisée dans des domaines variés. Notamment caractérisée par le partage, la décentralisation et l’irréversibilité des informations transmises par son biais, sa compatibilité aux grands principes posés par le RGPD soulève de nombreuses questions.

 

La blockchain est définie comme une technologie de transmission d’informations et de stockage, transparente et sécurisée permettant de retranscrire toutes les transactions de ses utilisateurs et d’en assurer leur traçabilité. Chaque nouvelle transaction effectuée par un participant est vérifiée et validée par un membre du réseau blockchain (« un mineur »), puis cryptée. Elle constitue alors un bloc horodaté qui vient s’ajouter à la chaîne de blocs précédents, stockés de façon décentralisée sur l’ensemble des serveurs du réseau et ne pourra plus être modifiée.

Pour la CNIL, la blockchain n’est donc qu’« une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées (…) sont visibles  de l’ensemble des utilisateurs depuis sa création. » Cette technologie permet de réaliser une multitude de traitements de données auxquels s’applique le RGPD. Les enjeux de cette nouvelle règlementation avec ceux de la blockchain semblent toutefois à première vue opposés. Le RGPD est ainsi consacré à la protection des données personnelles en tant qu’attribut de la vie privée alors même que la blockchain est conçue comme un outil de transparence et de partage. Toutefois, loin de condamner son utilisation, la CNIL vient de livrer ses premiers éléments d’analyseen septembre 2018.

Selon elle, les données personnelles contenues au sein d’une blockchain sont relatives à l’identifiant des acteurs de la chaîne et à l’objet de la transaction. Mais alors que la désintermédiation fait la force de la blockchain et garantit l’authenticité de ses informations, s’affranchissant de tout contrôle centralisé, le RGPD confie le traitement de données à un tiers de confiance, qu’il convient d’identifier. Pour elle, chaque participant qui crée une nouvelle écriture, en rapport avec son activité professionnelle, endossera cette qualité, les « mineurs » qui se limitent à la validation des transactions étant alors le plus souvent considérés comme  des sous-traitants.

La CNIL s’interroge aussi sur l’aptitude de la blockchain à assurer une parfaite conformité au RGPD concernant la protection des droits des personnes et offre des solutions pour s’en approcher. Par exemple, l’irréversibilité des actions effectuées sur la blockchain permet indéniablement de répondre aux obligations de traçabilité du consentement ou des actions effectuées sur les données. Mais celles-ci ne pouvant techniquement être modifiées ou supprimées, cet aspect heurte les principes du RGPD qui s’attache au contraire à garantir une conservation limitée et un droit de rectification et de suppression des données. La CNIL recommande donc un format de stockage haché et le recours à des procédés cryptographiques pour rendre la donnée quasi-inaccessible et ainsi se rapprocher des effets d’un effacement de celle-ci.

Ce qu’il faut retenir :

Aussi révolutionnaire soit-elle, les spécificités du fonctionnement de la blockchain peuvent directement impacter le respect des obligations découlant du RGPD. Une étude d’impact préalable à la mise en œuvre d’un traitement utilisant cette technologie est préconisée afin d’en apprécier les risques et l’opportunité d’une solution alternative plus adaptée.

Par Me Pierre-Randolph Dufau
Avocat à la cour
Fondateur de la SELAS
PRD avocats