L’entrée en vigueur imminente du règlement général de l’Union européenne sur la protection des données (RGPD) coïncide avec l’émergence des blockchains en tant que nouvelle méthode de stockage et de gestion des données (1).

La technologie blockchain offre un dispositif d’enregistrement électronique partagé, infalsifiable et irréversible qui permettrait d’évincer les « tiers de confiance » (banques, assurances, notaires, l’Etat, etc. …) dans bon nombre de secteurs (2).

Dès le 25 mai 2018, RGPD renforce les notions de consentement, de droit à l’oubli et de libre accès et introduit le droit à la portabilité des données. Le règlement européen modifie radicalement l’utilisation de la donnée. Il impose d’abord un traitement licite et légitime des données (3). D’ailleurs, il permet aux citoyens européens de bénéficier d’une information préalable au traitement et avoir des droits d’accès, de rectification et d’opposition (4). Ensuite, dans le cadre d’RGPD, les données doivent être conservées pour une durée adéquate et proportionnée au traitement pour lequel elles ont été collectées (5). Enfin, les données doivent être protégées et la confidentialité assurée (6).

RGPD introduit de lourdes sanctions financières en cas de non-respect de ses principes, les pénalités peuvent aller jusqu’à 4% du chiffre d’affaires global ou 20 millions d’euros (7) .

Confronter la législation européenne sur la protection des données personnelles à la technologie blockchain nécessite la conciliation de deux objectifs normatifs de l’ordre juridique européen : la protection de droits fondamentaux et la promotion de l’innovation.

L’examen d’RGPD permettra d’identifier une cohabitation envisageable avec la technologie blockchain malgré un certain nombre de difficultés identifiées. Mais conçu de manière appropriée, les blockchains peuvent contribuer à l’objectif de souveraineté des données de RGPD.

Les données des blockchains qualifient l’application de RGPD

RGPD définit extensivement les données comme toute information se rapportant à une personne identifiée ou identifiable (8). La caractérisation de données à caractère personnel engendre pour leur traitement le respect d’un certain nombre de conditions (9).

Les blockschains sont des bases de données répliquées en annexe gérées par un algorithme de consensus et stockée sur plusieurs nœuds (ordinateurs). Les données peuvent être stockées sur les blockchains en texte brut ou peuvent être cryptées ou hachées à la chaîne.

Ces données sont toujours considérées comme des données à caractère personnel en vertu du droit de l'Union européenne, car elles sont simplement pseudonymisées et ne sont pas irréversiblement rendues anonymes. Cela signifie que sur une blockchain, les clés publiques (clé servant d’adresse sur une blockchain, connue de tous, elle permet à un émetteur de désigner un destinataire) sont considérées comme des données personnelles, tout comme les données relatives à une personne physique qui est hachée dans la chaîne.

En conséquence, les données stockées par une blockchain sont soumises au RGPD (10).

Cette constatation a de vastes implications car les personnes concernées sont en mesure d'invoquer leurs droits RGPD, y compris leur droit d'accéder aux données et de les faire modifier ou supprimer. Or, sur un registre infalsifiable, ces droits ne peuvent cependant pas être facilement mis en œuvre.

Il semblerait qu’à l’heure actuelle la plupart des blockchains ne sont pas conformes au RGPD (11). La mise en conformité des blockchains se développe.

Le destinataire des obligations RGPD dans les blockchains

Il est très difficile de déterminer quelle entité sera le destinataire de ces obligations.

Le RGPD considère que le responsable du traitement, c'est-à-dire la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel, doit se conformer à ces principes (12).

Ainsi, savoir qui détermine les finalités et les moyens de traitement dépend des modalités de gouvernance précises de la blockchain donnée.

Certains soutiennent que les nœuds (ordinateur relié au réseau blockchain et utilisant un programme relayant les transactions. Les nœuds conservent une copie du registre blockchain et sont répartis partout dans le monde) seront dans la plupart des cas qualifiés de contrôleurs de données, mais il est également possible d’envisager que d'autres acteurs, tel que les personnes concernées par le traitement des données, le fassent dans certaines circonstances. Le problème est que, contrairement aux contrôleurs centralisés, les nœuds et les personnes concernées ne peuvent pas se conformer aux obligations du RGPD, compte tenu de leur influence limitée sur les informations stockées (13).

D’autres soutiennent que la blockchain n’est pas responsable du traitement (14). En effet, dans le cadre d’une blockchain ouverte en tant que protocole, ce n’est pas un service, comme peut l’être un logiciel, mais un langage informatique permettant à des machines de communiquer au moyen d’applications.

Dans cette perspective, aucun des acteurs de la blockchain n’est susceptible de répondre à la qualification de responsable de traitement. En effet, d’une part, les développeurs du code source sont généralement pseudonymes et désintéressés, si ce n’est bénévoles. D’autre part, les mineurs (personnes – particuliers ou sociétés- qui connectent sur le réseau une ou plusieurs machines équipées pour effectuer du minage. Le minage est l’utilisation de la puissance de calcul informatique afin de traiter des transactions, sécuriser le réseau et permettre à tous les utilisateurs du système de rester synchronisés. Chaque mineur est rémunéré au prorata de la puissance de calcul qu’il apporte au réseau) ont un simple rôle technique de validation des transactions, sans connaissance du contenu de celles-ci (15).

Par conséquent, dans cette vision architecturale, aucune personne détermine les « finalités et les moyens du traitement des données à caractère personnel » (16).

Dans cette optique, les services aux frontières de la blockchain, comme les plateformes de change, les processeurs de paiement ou les explorateurs de blockchains, devront appliquer RGPD dans la mesure où ils sont responsables du traitement.

La problématique du droit à l’oubli dans les systèmes de blockchain actuels

RGPD confronte également les blockchains à la problématique du droit à l’oubli (17).

En effet, le caractère immuable des données contenues dans une blockchain irait à l’encontre des principes de droit de rectification de ses données (18) ou encore du droit à l’effacement et de conservation limitée de ses données (19) puisqu’un bloc ne peut être retiré ou altéré de la chaîne de bloc (20).

L’utilisation de système de blockchain privée pour une mise en conformité RGPD

Comme toute nouvelle technologie, la blockchain, depuis sa conception à évolué.

Elle n’est plus uniquement construite sur le modèle de blockchain publique ( blockchain ouverte à tout utilisateur que ce soit en termes de lecture -libre accès au registre-, d’usage -envoi de transactions en pair-à-pair- et de participation au bon fonctionnement du réseau- validation des transactions- chacun peut devenir mineur sur une blockchain publique) comme l’était le Bitcoin.

La blockchain qui n’est pas publique, qu’on qualifie de blockchain privé peut être administrée (le fonctionnement de la blockchain est organisé et encadré par un administrateur, qui détient la majorité de la puissance de calcul disponible sur le réseau), en consortium (plusieurs acteurs s’entendent pour contrôler le réseau) ou privée (un seul acteur a autorité sur le réseau). Ces modes de fonctionnement permettent à une autorité désignée de garder la main sur les transactions et potentiellement de les contrôler et les rectifier.

Un principe de base de la blockchain est que plus le nombre de mineurs indépendants augmente, moins la blockchain est susceptible d’être modifiée. Moins elle en a, comme dans les blockchains non-publiques, plus il est en théorie facile d’en changer le contenu.

Ainsi, sur le papier, l'usage de blockchain privée permettrait la mise en conformité de les blockchain avec RGPD car cela permertterait de modifier les données.

Mais les opérations sur blockchain sont plus lourdes et coûteuses puisqu’elles impliquent une duplication et des systèmes de vérification/contre-vérification du contenu. Par conséquent, une telle entreprise de modification de la blockchain reste lourde en termes de processus et de puissance de calcul nécessaire.

De plus, le recours à une telle technologie étant justifié par un souci de sécurité et d’immuabilité, l’absence de ces qualités réduites considérablement l’intérêt d’investir dans une blockchain par rapport à des systèmes plus classiques d’infrastructures de données. En effet, la blockchain privée constitue une hérésie pour certains qui considère qu’une blockchain est par essence publique (21).

La Blockchain, un outil de mise en œuvre du RGPD ?

D’un point de vue plus pratique, la technologie blockchain garantie l’anonymat, n’importe quel internaute peut télécharger l’intégralité des informations de la blockchain et y accéder. Le chiffrement asymétrique d’une blockchain et la distribution entre de très nombreux nœuds rend impossible toute anomalie dans le système. Enfin, à terme, les transactions sont immuables (22).

Ainsi, du fait de ces caractéristiques techniques, les blockchains présentent de nombreux atouts afin de faciliter la mise en œuvre du RGPD.

Cinq cas d’application de blockchain au RGPD ont été identifié (23).

Tout d’abord, concernant la gestion des accès, une blockchain publique permet de contribuer à la sécurité des données exigée par le RGPD via la gestion des habilitations. Ensuite, le recueil et la gestion du consentement client préalable à certaines tâches de collecte et de traitement de données personnelles, préalablement anonymisées, peuvent être opérées via une blockchain. Par ailleurs, la sécurité des données et leur traitement légitime sont un axe majeur du RGPD. Dans cette perspective, une blockchain privée, interfacée avec l’ensemble des applicatifs, peut permettre de tracer l’accès aux données sensibles. Le RGPD permet aux personnes physiques d’effectuer une demande de rectification, complétion, mise à jour ou suppression de leurs données personnelles, et également d’être notifiées lors d’une violation des données. Une blockchain publique permet la notification et la transmission de preuves liées à ces processus par les parties impliquées. Enfin le stockage des données clients sur une blockchain est un cas d’usage évident. Par ailleurs, des expérimentations récentes autour d’une blockchain privée altérable permettent de résoudre l’incompatibilité entre le droit à l’oubli prévu par le RGPD et le principe d’immuabilité propre à cette technologie (24).

Par Charlotte Kusnir

(1) Finck, Michèle, Blockchains and Data Protection in the European Union (November 30, 2017). Max Planck Institute for Innovation & Competition Research Paper No. 18-01.

(2) BCTG Avocats, La technologie blockchain, 19 octobre 2017

(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, articles 5 & 6

(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, articles 15, 16, 17, 21

(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 18

(6) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 32

(7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, articles 83 & 84

(8) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 4

(9) Finck, Michèle, Blockchains and Data Protection in the European Union (November 30, 2017). Max Planck Institute for Innovation & Competition Research Paper No. 18-01.

(10) Finck, Michèle, Blockchains and Data Protection in the European Union (November 30, 2017). Max Planck Institute for Innovation & Competition Research Paper No. 18-01.

(11) Finck, Michèle, Blockchains and Data Protection in the European Union (November 30, 2017). Max Planck Institute for Innovation & Competition Research Paper No. 18-01.

(12) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 4

(13) Finck, Michèle, Blockchains and Data Protection in the European Union (November 30, 2017). Max Planck Institute for Innovation & Competition Research Paper No. 18-01.

(14) O'rorke, William, Blockchain et GDPR : le malentendu, 23 novembre 2017, Blockchain Partners

(15) O'rorke, William, Blockchain et GDPR : le malentendu, 23 novembre 2017, Blockchain Partners

(16) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 4

(17) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, articles 16 & 17

(18) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 16

(19) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit règlement général sur la protection des données, article 17

(20) Martin-Forissier, Caroline, Blockchain et RGPD, une union impossible ?, Laboratoire d'innovation numérique de la CNIL, 24 août 2017

(21) Martin-Forissier, Caroline, Blockchain et RGPD, une union impossible ?, Laboratoire d'innovation numérique de la CNIL, 24 août 2017

(22) Rave, Jérôme, La blockchain, un levier dans la mise en oeuvre du RGPD ?, Les Echos, 8 mars 2018

(23) Rave, Jérôme, La blockchain, un levier dans la mise en oeuvre du RGPD ?, Les Echos, 8 mars 2018

(24) Rave, Jérôme, La blockchain, un levier dans la mise en oeuvre du RGPD ?, Les Echos, 8 mars 2018