La Blockchain est une technologie qui prend de l’ampleur d’année en année, et qui par la même occasion, suscite un certain nombre d’interrogations quant à sa compatibilité avec le Règlement général sur la protection des données (RGPD). Il est donc opportun de s’interroger sur ce point.
Qu’est-ce qu’une blockchain ?
Une blockchain permet de « stocker et d’échanger de la valeur sur internet sans intermédiaire centralisé » selon Blockchain France. Une blockchain va permettre le stockage de données tout en établissant un inventaire de l’ensemble des échanges réalisés entre les utilisateurs ; et ce depuis sa création. Le système se veut sécurisé et infalsifiable. La particularité de la blockchain est qu’il n’existe aucun intermédiaire. Comme l’écrit le mathématicien Jean-Paul Delahaye, il faut s’imaginer « un très grand cahier, que tout le monde peut lire librement et gratuitement, sur lequel tout le monde peut écrire, mais qui est impossible à effacer et indestructible. »
Principes fondamentaux du droit des données
Le RGPD s’applique à tout traitement de données. Conformément à l’article 4 du RGPD, une donnée est « toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable une personne qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, par exemple un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Le règlement ne s’applique donc pas aux données anonymisées.
Il existe certains grands principes devant être respectés, comme l’autodétermination de la personne sur ses données. Ce droit consacré par l’article 54 de la loi pour une République numérique, signifie que toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant.
En outre, un principe d’accountability (responsabilité) est imposé. Celui-ci est essentiel. Sous l’empire de la loi de 1978, les personnes traitant les données devaient procéder à des déclarations à la CNIL. Désormais, c’est un processus inverse qui est mis en place, connu sous le nom d’accountability.
Le règlement et les lois imposent ainsi aux organisations de tracer l’ensemble des traitements de données personnelles mis en œuvre, afin de s’assurer que ceux-ci sont en conformité avec la loi. Le responsable des données doit réaliser une étude d’impact afin de vérifier que le traitement concerné engendre un risque élevé sur les droits et libertés des personnes. Cela permettra de connaître la provenance, la particularité et la gravité de ce risque. Ainsi, l’accountability est une obligation qui incombe au responsable du traitement.
En résumé, c’est un ensemble de bonnes pratiques destinées à améliorer la protection des données et permettant de démontrer aisément l’efficacité des mesures prises.
Des risques pour la protection des données personnelles
Selon la CNIL, une blockchain peut contenir deux catégories de données à caractère personnel : « l’identifiant des participants et des données dites complémentaires ».
Concernant la première catégorie, chaque participant dispose « d’une clé publique, ce qui permet d’assurer l’identification de l’émetteur et du destinataire d’une transaction ». Aussi, à propos de la seconde catégorie, « il peut y avoir des données complémentaires, inscrites « dans » une transaction tel un diplôme, ou encore un titre de propriété ». Ainsi, si ces données sont relatives à des personnes physiques, directement ou indirectement identifiables, il s’agit de données à caractère personnel.
Sur la base de cette distinction, l’autorité administrative indépendante indique que « la grille d’analyse habituelle du RGPD s’applique à savoir : une identification du responsable de traitement, une mise en œuvre des droits, une mise en place de garanties appropriées, obligation de sécurité, etc ». La CNIL appelle donc les protagonistes à « s’interroger très tôt, en application du principe de protection de la vie privée dès la conception des produits et des services (Privacy by design), sur l’opportunité de recourir, pour la mise en œuvre de leurs traitements, à la technologie Blockchain plutôt qu’à une technologie alternative ».
Un avenir sous le signe de la coopération
Une réponse européenne, voire internationale, semble nécessaire à l’avenir, tant la technologie de la blockchain progresse. De plus, cette dernière présente des enjeux au niveau des droits et libertés fondamentaux. Ainsi, la CNIL est précurseur, puisque c’est une des premières autorités à se saisir officiellement du sujet. Elle indique « vouloir s’inscrire dans une démarche de coopération avec ses homologues européens pour proposer une approche solide et harmonisée ».
Enfin, une coopération entre d’autres régulateurs tels que ceux issus du monde de la banque et de la finance (ACPR, AMF) est nécessaire, afin de permettre une meilleure lisibilité des diverses règlementations applicables à la Blockchain.
Ilias CHRAIBI – M2 Cyberjustice – Promotion 2021/2022
Sources :
Blockchain France – https://blockchainfrance.net
Sénat – « Comprendre les blockchains : fonctionnement et enjeux de ces nouvelles technologies »
CNIL « Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ? » – 24 septembre 2018