Conformité blockchain et RGPD, tour d’horizon 2019
Conformité blockchain et RGPD, tour d’horizon 2019
Aurélie Bayle, Université de Montpellier, pour le webmagazine Octave
La technologie blockchain est, depuis l’explosion du Bitcoin fin 2017, le nouveau sujet incontournable que chacun essaie d’appréhender à sa manière.
Souvent présentée comme une « révolution », un « mystère » ou encore une « technologie disruptive », cette dernière demeure complexe à apprivoiser. Néanmoins, elle a pourtant retenu l’attention récente de l’Autorité Française de Protection des Données : la Commission Nationale de l’Informatique et des Libertés (CNIL).
Au-delà de ses missions de régulation, protection et sanction, pour lesquelles la CNIL fait davantage les grands titres de presse, cette dernière a aussi et surtout une vocation d’information et d’anticipation. C’est exactement dans ce contexte que la CNIL a jugé pertinent de se saisir des développements de la technologie blockchain et de ses cas d’usages, pour en apprécier les conséquences et enjeux sur les droits et libertés des individus.
1. Blockchain : hype ou réalité
A défaut de définition légale complète et exhaustive, la technologie « disruptive » qui déchaîne les passions mérite d’être explicitée et rendue accessible.
Bien qu’emprunté au lexique du marketing appliqué au numérique, ce qualificatif est alors entendu comme une « innovation de rupture, par opposition à l’innovation incrémentale qui se contente d’optimiser l’existant [1]». L’optimisation de l’existant, c’est précisément ce que constitue la blockchain. Non pas révolutionnaire en ce qu’elle crée de toute pièce un schéma cryptographique ou une nouvelle découverte algorithmique, elle se dénote et marque les esprits par l’accumulation de techniques cryptographiques et de couches technologiques singulières, créant une architecture bien particulière, a minima difficile à appréhender.
Pour tenter d’en proposer une définition concise, la blockchain pourrait alors se présenter comme une base de données immatérielle, distribuée et décentralisée, répertoriant l’ensemble des transactions ou informations inscrites en son sein et horodatées, ce depuis sa création. Toute information ou transaction insérée, via un regroupement par « blocs » (une sorte de conteneur numérique), qu’elle soit simplement stockée ou à partager, se voit structurée par des mécanismes cryptographiques dits « de pair à pair » (chaque utilisateur est un serveur) mettant en œuvre des signatures par clé cryptographiques asymétriques (publiques et privées), garantissant à la fois une sécurité et une transparence des échanges depuis le commencement de la chaîne. Il y a 10 ans, les premières transactions en Bitcoins naissaient.
S’il est indéniable que le potentiel de la blockchain demeure palpable, force est de constater que certaines de ses particularités soulèvent de nombreuses interrogations eu égard aux dispositions actuellement en vigueur. Quand bien même les aspects juridiques principalement fiscaux ont été les premiers pointés du doigts, la protection des données n’est pour autant pas en reste.
L’immutabilité étant un paramètre tout sauf négligeable, mais pas le seul, la CNIL a ainsi décidé, dès le mois de septembre 2018, de s’emparer de ce sujet et d’exprimer ses préconisations à destination notamment des membres de la « blocksphère », ces acteurs qui souhaitent recourir à cette technologie ou qui évoluent dans son environnement.
2. Blockchain et protection des données : quand la CNIL s’en mêle
La CNIL a été l’une des premières Autorités de Protection des Données européennes à s’emparer de ce sujet et de ses complexités, afin de proposer une analyse juridique et technique pour accompagner l’écosystème et ses acteurs. La présente note ne traitera pas de l’exercice effectif des droits, faisant l’objet d’une analyse à part.
Cette dernière décline son analyse avec plusieurs points majeurs :
- Application du RGPD à la blockchain: « La blockchain est une technologie sur laquelle peut s’appuyer un traitement de données à caractère personnel, et non pas un traitement ayant une finalité à part entière [2]». La blockchain est alors supposée comme un outil, un support de données, un protocole, et non pas le traitement en lui-même.
- Blockchain et données personnelles: la gardienne des droits des personnes évoque la contenance de « deux grandes catégories de données à caractère personnel » au sein de la blockchain.
En effet, au-delà des adresses publiques des utilisateurs et mineurs, composées de suites de chiffres et lettres basés sur la clé publique d’un individu, l’Autorité mentionne des données qu’elle qualifie de « complémentaires », pouvant être ajoutées et stockées au sein de la blockchain. Par « données complémentaires » ou « charge utile », la CNIL entend tout type de données à caractère personnel, qu’elles ‘appartiennent’ ou non aux participants et mineurs, ou à tout autre individu. - Anonymat: à la lecture des définitions induites du RGPD, la blockchain témoigne davantage de pseudonymat avec les adresses publiques que d’anonymat. Rappelons à cette occasion que le RGPD ne s’applique pas aux données rendues anonymes, mais s’applique aux données pseudonymisées, et donc, par destination, s’applique aux usages de la blockchain mettant en œuvre des traitements de données à caractère personnel pseudonymes.
- Rôles et responsabilités: le RGPD est un Règlement a vocation centralisée, qui peine à appréhender les complexités de la blockchain. Pour autant, la CNIL propose des pistes de qualification : tous les participants du réseau qui soumettent des transactions peuvent être considérés comme responsables de traitement, à la condition que l’activité soit d’ordre professionnel ou commercial, via une personne morale ou non. Dans le cadre d’un groupe de participants, il est possible de désigner un responsable de traitement nommément. Ainsi, on notera l’absence de responsabilité de traitement pour les participants dans leur usage « domestique ». Il en va de même pour les mineurs, considérés comme ne déterminant pas les finalités et moyens des traitements. En revanche, ces derniers peuvent être qualifiés de mineurs au même titre que les développeurs de smart contracts selon les cas, sans position définitive cependant de la part de la CNIL.
- Mise en œuvre d’un projet/traitement utilisant la technologie blockchain: si la CNIL considère les adresses publiques et identifiants des participants ou mineurs, affichés en clair, comme « indispensables au bon fonctionnement » de la blockchain et ne pouvant faire l’objet de davantage de protection et minimisation, le sort est tout autre pour les données dites « complémentaires ». Ces dernières, pouvant recouvrer toute forme et tout contenu identifiant ou non, devraient faire l’objet d’un stockage et un traitement « en dehors de la blockchain » aussi entendu « offchain », pour laisser place à de simples « preuves d’existence des données » au sein de la chaîne en elle-même.
Seules exceptions admises par l’Autorité : lorsque le responsable de traitement témoigne de contraintes légales l’obligeant à rendre des données publiques sans limitation temporelle, ou encore lorsque les « risques résiduels sont acceptables ».
Enfin, la CNIL appuie sur l’importance de l’objectif poursuivi : la blockchain n’est pas nécessairement la technologie adéquate et peut être source de difficultés, une analyse d’impact et de besoins précise est absolument nécessaire, qu’il s’agisse du recours à la technologie ou à sa typologie (publique, privée, hybride). Les blockchains permissionnées (ou hybrides) sont recommandées au vu de l’extraterritorialité de la technologie.
Aurélie Bayle est titulaire d’un Master II en Droit de la Consommation & Concurrence de l’Université de Montpellier. A ce jour, elle réalise un doctorat en droit privé dans cette même université, sous la direction du Professeur Mainguy, travaillant sur la compatibilité de la technologie blockchain face aux nouvelles réglementations en matière de protection des données. Dans le même temps, elle est Déléguée à la Protection des Données du Groupe be|ys (almerys).
Elle a réalisé plusieurs missions de conseil pour différents projets blockchain, notamment le projet H2020 « MyHealthMyData ». A côté de ces activités principales, elle est également consultant et speaker dans des conférences à propos d’identité numérique, de blockchain sur les aspects légaux, et de protection des données.
Share this Post