Publication de la CNIL : https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles
Près de dix ans après la création du bitcoin, la CNIL se saisit du cas blockchain et livre, dans une publication du 24 septembre, ses premières conclusions sur la compatibilité entre cette technologie et le RGPD.
Avant toute chose, la CNIL se risque à définir la blockchain et à en exposer les principales caractéristiques. Sa vision correspond à celle généralement admise : la blockchain est une technologie permettant de créer et gérer un journal sécurisé d’évènements, distribué, décentralisé (en principe), et consultable par tous les utilisateurs. La CNIL distingue trois types de blockchains :
– La blockchain publique : celle qui correspond à la vision originelle de cette technologie pensée comme une solution technique au fameux « problème des généraux byzantins » qui touche la sécurité des échanges d’information en l’absence de tiers de confiance. Les blockchain publiques sont véritablement transparentes, décentralisées, utilisables et accessibles par tous. Parmi elles, on compte le Bitcoin ou encore l’Ethereum ;
– La blockchain à permission : soit une version quelque peu « captive » de la blockchain, puisque l’on y retrouve l’ombre d’un organisme central dans la personne de celui (ou ceux) qui en détermine(nt) les règles et accorde(nt) les permissions ; et
– La blockchain privée : qui, comme le relève la CNIL, n’est en réalité qu’une base de données distribuée classique.
La CNIL passe ensuite la blockchain au crible de certaines des problématiques de la protection des données version « RGPD » :
– Y a-t-il des données personnelles dans la blockchain ? Cette question ne soulève pas de difficulté, car la blockchain comprend nécessairement les clefs de chiffrement publiques des personnes intervenant dans une transaction validée. Il s’agit de données indirectement identifiantes, mais non moins personnelles. Par ailleurs, d’autres données personnelles peuvent être traitées par le biais d’une blockchain : ce sont des données complémentaires, éléments des transactions enregistrées (ex : un nom, une adresse etc.).
– La distribution des rôles. Puisque la blockchain contient des données personnelles, le RGPD a vocation à s’appliquer et il faut bien retrouver les responsables (de traitement) et leurs sous-traitants. Cet exercice n’est pas très naturel, car, comme le relève la CNIL, le RGPD a été pensé pour des systèmes centralisés, alors que la blockchain se veut l’inverse.
La CNIL estime tout de même sans trop hésiter que les « participants », c’est-à-dire ceux qui soumettent une transaction à son enregistrement dans la blockchain, devraient être responsables de traitement (sauf le cas de personnes physiques n’agissant pas dans le cadre d’une activité professionnelle). En effet, ceux-ci détermineraient les finalités du traitement, mais également les moyens, par le simple fait de choisir de recourir à la blockchain.
Les notions de sous-traitance et de responsabilité conjointe de traitement semblent en revanche bien plus compliquées à réconcilier avec la nature même d’une blockchain. Dans le cas d’une blockchain à permission, la CNIL estime que les administrateurs pourraient être responsables conjoints dans certains cas et que les mineurs – qui valident les transactions, sont connus et contrôlés par les administrateurs – pourraient être sous-traitants. En pareil cas, un contrat devrait être passé entre eux.
En revanche, l’on voit difficilement comment les dispositions du RGPD relatives à la sous-traitance et à la responsabilité conjointe de traitement pourraient s’appliquer à une blokchain publique, où les mineurs et les participants ne se connaissent ni ne se contrôlent. La CNIL évoque à demi-mot cette incompatibilité, en renvoyant à des réflexions plus poussées.
– La minimisation des risques pour les personnes concernées. Ici, la solution de la CNIL consiste surtout à encourager les acteurs à bien réfléchir avant de choisir la blockchain comme technologie de traitement. Il sera en effet difficile d’agir une fois les données enregistrées dans une blockchain publique. Par exemple :
(i) Comment encadrer les transferts hors UE alors que toute personne qui rejoint la blockchain, où qu’elle se trouve, télécharge automatiquement la version la plus à jour de tout l’historique des transactions ?
(ii) Comment définir et observer des durées de conservation alors que la technologie blockchain repose sur la pérennité et l’inviolabilité des données qui y sont inscrites ?
– L’(impossible) exercice de certains droits des personnes. Selon la CNIL, l’exercice du droit d’accès est entièrement compatible avec la blockchain, car celle-ci est, par nature, transparente. En revanche, les autres droits (rectification, effacement, opposition, limitation, retrait du consentement) ne le sont pas, car la blockchain n’admet – conceptuellement et techniquement – aucune altération de sa substance. La CNIL relève cependant l’existence de « techniques » qui permettraient de « se rapprocher » d’une conformité avec le RGPD, sans donner plus de détails.
Au travers des premières réflexions de la CNIL, l’on entrevoit surtout une incompatibilité conceptuelle entre les législations actuelles sur la protection des données, créées afin de protéger les personnes concernées contre les abus éventuels d’organismes centraux (l’Etat, les entreprises commerciales etc.), et la blockchain, qui propose justement une mécanique décentralisée, où les risques d’abus par une personne sont annihilés par le nombre des autres utilisateurs, aux pouvoirs identiques. Ainsi, forcer le RGPD sur la blockchain, sans discernement, pourrait s’avérer contreproductif.