L’impact du RGPD sur la Blockchain publique ou Faut-il avoir peur de la blockchain… ?

Tout le monde en parle, l’a vu mais personne ne sait vraiment ce que c’est … et où les données personnelles recueillies à l’occasion sont stockées…

Un peu d’histoire : La première Blockchain publique est apparue en 2008 avec le Bitcoin (monnaie virtuelle).

Qu’est-ce que c’est ?

Des transactions électroniques de pair-à-pair et sans intermédiaire sont devenues possibles. Dans le cadre de cette nouvelle technologie, une personne peut effectuer une transaction, échanger de la valeur (une action ou de l’argent par exemple) avec une autre personne sans que cette transaction soit régulée par une banque centrale. En l’espèce, n’importe quelle personne peut participer au processus de validation de la transaction. L’ensemble des données est inscrit dans un registre virtuel, accessible à tous et répliqué en plusieurs exemplaires.

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le  25 mai 2018, s’est posée la question de la compatibilité de ce dernier avec la Blockchain publique. En effet, le nouveau Règlement renforce la protection des données personnelles pour les individus au sein de l’Union européenne.

Dans le cadre de cette nouvelle technologie, la Blockchain publique satisfait-elle aux exigences du RGPD ? La CNIL s’est saisie de ce sujet et a proposé des solutions pour assurer la conformité de la Blockchain publique au Règlement.

La qualification des acteurs / utilisateurs

La Commission considère que le participant (la personne à l’initiative de la transaction) pourra dans un certain nombre de cas être qualifié de responsable de traitement :

– lorsqu’il est une personne physique et que le traitement est en lien avec une activité professionnelle ou commerciale 

– lorsqu’il est une personne morale qui inscrit une donnée à caractère personnel

En effet, le participant détermine les finalités (les objectifs poursuivis) et les moyens (le recours à cette technologie, le format de la donnée) du traitement. Cependant, une personne qui par exemple procède à la vente ou à l’achat de Bitcoin pour son propre compte ne pourra pas être considérée comme responsable de traitement.

Concernant la sous-traitance, la question est plus délicate. Le RGPD dispose d’une obligation de contractualiser les relations entre responsable de traitement et sous-traitant. Dans le cadre d’une blockchain publique, cela pose quelques difficultés. La CNIL mène actuellement une réflexion sur cette question.

Les droits compatibles avec la Blockchain 

La Commission considère que l’exercice du droit à l’information, du droit d’accès et du droit à la portabilité est compatible avec les propriétés techniques de la Blockchain.

La Blockchain publique face au défit du RGPD

Le droit à l’effacement, le droit de rectification et le droit d’opposition au traitement ne peuvent être exercés de manière effective.

Conformément au principe d’irréversibilité des données, une fois la transaction inscrite, il n’est pas possible de procéder à la suppression ou à la modification des données personnelles.

Concernant le droit à la rectification, le responsable de traitement peut inscrire la donnée mise à jour dans un nouveau bloc et la transaction ultérieure pourra annuler la première transaction. Cependant, cette dernière figurera toujours dans la chaîne de blocs.

La CNIL a pris connaissance de solutions technologiques qui permettraient de se rapprocher des exigences de conformité du Règlement. Leur équivalence doit être évaluée, les risques sur les droits et les libertés des personnes étant élevés dans le cadre d’une blockchain publique.

Au surplus, les obligations encadrant les transferts internationaux de données personnelles sont particulièrement difficiles à respecter. Force est de constater qu’en l’état, le responsable de traitement peut difficilement exercer un contrôle sur la localisation des mineurs.

Alors la Blockchain est elle conforme à la RGPD ?

Clairement non en termes de conservation des données mais c’est surtout autrement qu’il convient de poser la question :

Le RGPD n’est-elle pas déjà dépassé par cette technologie si libre et innovante ?

Bouziane BEHILLIL