Skip to main content
Données personnelles

Traitements de données et blockchain : le CEPD publie son projet de lignes directrices

Imprimer

Lignes directrices du CEPD n° 02/2025, version 1.1 (8 avril 2025)

Le Comité européen de la protection des données (CEPD) vient de publier, en date du 8 avril 2025, une version préliminaire de ses lignes directrices sur les traitements de données à caractère personnel via les technologies de blockchain. Ce document, actuellement soumis à consultation publique, propose une grille d’analyse des enjeux de conformité au RGPD lorsqu’un traitement repose – en tout ou partie – sur une technologie dite « blockchain ». Le CEPD constate que certaines caractéristiques fondamentales des blockchains sont difficilement conciliables avec les exigences du RGPD, mais s’efforce de proposer des pistes de conformité adaptées – tout en rappelant que, dans certains cas, le recours à cette technologie devra tout simplement être écarté.

Une technologie polymorphe aux propriétés spécifiques

La blockchain est, dans son principe, un registre distribué permettant l’enregistrement chronologique et immuable de données, partagé entre plusieurs nœuds d’un réseau. Elle se caractérise par l’absence d’autorité centrale, l’usage de mécanismes de consensus pour valider les transactions, et une transparence native qui permet à chaque participant d’accéder à tout ou partie des données inscrites.

Le CEPD rappelle toutefois que cette définition générique recouvre en réalité une grande variété de modèles techniques. Selon les cas, une blockchain pourra être publique ou privée, ouverte ou restreinte, avec des règles de participation et de gouvernance très variables. Ces différences ont un impact direct sur les opérations de traitement susceptibles d’être mises en œuvre et sur la capacité des responsables de traitements et sous-traitants d’assurer leur conformité aux règles du RGPD.

Les données personnelles susceptibles de se retrouver sur une blockchain sont également multiples : identifiants pseudonymes (comme des clés publiques), adresses IP, données de contenu associées à des transactions (par exemple des documents, contrats ou informations de paiement), voire données biométriques ou sensibles dans certains cas d’usage. Certaines de ces données peuvent être directement stockées dans les blocs (on-chain), d’autres sont simplement référencées dans la chaîne sous forme de pointeurs ou d’empreintes, lorsque les données elles-mêmes sont hébergées hors chaîne (off-chain).

Des points de friction clairs avec les principes du RGPD

Le CEPD identifie plusieurs tensions structurelles entre les propriétés techniques de la blockchain et les exigences du RGPD. En particulier :

  • Principe de limitation de la durée de conservation (article 5(1)(e) du RGPD) : une fois enregistrées, les données inscrites dans la blockchain ne peuvent généralement plus être supprimées, ce qui entre en contradiction avec le principe de conservation limitée.
  • Droit à l’effacement et droit de rectification : l’irréversibilité des enregistrements blockchain rend a priori difficile, voire impossible, l’exercice effectif de ces droits.
  • Qualification des acteurs : la décentralisation rend complexe l’identification d’un ou plusieurs responsable(s) de traitement clairement identifié(s), en particulier dans les blockchains dites « permissionless ». Le CEPD se demande notamment si, dans certains cas, les « nœuds » de la blockchain ne pourraient pas assumer un rôle de responsable de traitement.
  • Minimisation des données : Le fonctionnement des blockchains, qui repose sur l’ajout successif et irréversible de nouvelles données sans possibilité de suppression, soulève des difficultés au regard du principe de minimisation. Ces difficultés sont accentuées par le fait que les données ainsi inscrites peuvent être conservées indéfiniment et répliquées sur un grand nombre de nœuds du réseau et par le caractère a priori transparent des blockchains qui permettent à tous d’accéder aux données inscrites.
  • Transferts internationaux : La technologie blockchain conduit fréquemment à des transferts de données hors UE, notamment lorsque des nœuds situés dans des pays tiers participent au réseau. Dans les blockchains publiques, ces nœuds ne sont ni sélectionnés ni encadrés, ce qui peut poser des difficultés de visibilité et donc de mise en conformité.

Le CEPD insiste à plusieurs reprises sur le fait que les caractéristiques techniques propres aux blockchains – aussi spécifiques ou innovantes soient-elles – ne sauraient justifier une dérogation aux exigences de la réglementation sur la protection des données. L’absence de contrôle centralisé ou l’impossibilité d’effacement ne peuvent, à elles seules, exonérer les acteurs de leurs obligations légales.

Les recommandations du CEPD pour concilier protection des données et blockchain

Pour surmonter les tensions entre les principes du RGPD et la nature des blockchains, le CEPD formule une série de recommandations à destination des personnes envisageant de recourir à la blockchain. Ces recommandations sont structurées autour de l’application rigoureuse du principe de privacy by design et by default (article 25 RGPD), qui doit guider l’ensemble des choix techniques et organisationnels liés à l’adoption d’une blockchain.

  • La première étape : s’interroger sur la nécessité même du recours à une blockchain. Le CEPD invite les organisations à analyser, dès la phase de conception, si l’utilisation d’une technologie blockchain est réellement nécessaire au regard des finalités poursuivies. Si les mêmes objectifs peuvent être atteints via des technologies alternatives offrant de meilleures garanties en matière de protection des données, alors ces alternatives doivent être privilégiées.
  • Choisir un type de blockchain adapté aux enjeux de protection des données. Parmi les différentes configurations possibles, le CEPD recommande de privilégier les blockchains dites permissionnées, dans lesquelles l’accès à la lecture ou à l’écriture est réservé à un nombre limité d’acteurs identifiés. Selon le comité, ce modèle permet une meilleure gouvernance, une répartition plus claire des responsabilités, et offre des leviers plus efficaces pour garantir les droits des personnes concernées.
  • Éviter, autant que possible, le stockage de données personnelles « en clair » sur la chaîne. Le CEPD considère que le stockage direct de données personnelles sur la blockchain (on-chain), sans mesure de protection, contrevient quasi systématiquement aux principes du RGPD. En conséquence, il recommande :
  • de stocker les données hors chaîne (off-chain) dans la mesure du possible (une simple référence non identifiante étant stockée sur la chaîne) ;
  • à tout le moins, d’utiliser des techniques telles que le chiffrement, les fonctions de hachage, les engagements ou les zero-knowledge proofs, en tenant compte de leurs limites.

Le CEPD note dans plusieurs sections de ses lignes directrices que la mise en place de ces mesures est un préalable indispensable pour pouvoir, ensuite, espérer être en mesure de se conformer aux principes de limitation de la durée de conservation et faire droit aux demandes de rectification, d’opposition et/ou d’effacement de leurs données par les personnes concernées.

  • Limiter dès l’origine les données traitées et les finalités poursuivies. Conformément au principe de minimisation, seules les données strictement nécessaires doivent être traitées. Le respect de ce principe est d’autant plus crucial dans le contexte des blockchains, car, une fois les données inscrites, elles ne sont plus modifiables ni supprimables.
  • Mettre en œuvre une gouvernance rigoureuse du système. Le choix d’une blockchain implique d’établir un cadre de gouvernance structuré, comprenant des règles techniques, organisationnelles et juridiques claires. Ce cadre doit notamment permettre d’attribuer les rôles de responsable de traitement et de sous-traitant, de gérer les accès, les incidents et les évolutions du système. Cette gouvernance doit notamment tenir compte de l’évolution des technologies et veiller à ce que les algorithmes soutenant la sécurité et la confidentialité de la blockchain ne deviennent pas défaillants.
  • Garantir l’exercice des droits des personnes concernées. Les projets blockchain doivent intégrer, dès leur conception, des mécanismes permettant aux personnes concernées d’exercer leurs droits. Le CEPD note que certaines solutions techniques peuvent aider à pallier les limites inhérentes à la technologie, mais ne sauraient suffire si elles ne s’inscrivent pas dans une démarche plus globale de conformité.
  • Planifier l’analyse d’impact comme un outil central de pilotage.
    Le recours à une technologie blockchain implique dans la majorité des cas un risque élevé pour les droits et libertés des personnes concernées. Il en découle une obligation quasi systématique de réaliser une analyse d’impact relative à la protection des données (AIPD).

En annexe de ses lignes directrices, le CEPD propose une série de recommandations synthétiques résumant ses recommandations et bonnes pratiques attendues des acteurs ayant recours à la blockchain pour traiter des données personnelles.

Les lignes directrices du CEPD font actuellement l’objet d’une consultation publique jusqu’au 9 juin 2025. Leur contenu est donc susceptible d’évoluer, même si cela ne devrait pas affecter les grands principes dégagés par le CEPD dans cette première version.

Imprimer

Articles sur le même sujet

Données personnelles

Vérification de l’âge des personnes concernées, le CEPD publie une déclaration


Données personnelles

Peut-on demander à un client qu’il coche « Madame » ou « Monsieur » dans un formulaire de commande ?


Données personnelles

Analyses d’impact des transferts de données : la CNIL publie son guide


Close Menu