Blockchain & RGPD : une impossible entente ?

En apparence, totalement incompatibles, tout ne les oppose pas. Pour rappel, le RGPD protège la vie privée et les données et introduit un nouvel acteur : le délégué à la protection des données, tandis que la Blockchain stocke les informations de façon désintermédiée dans une base de données dont les transactions sont partagées et exposées publiquement. Une opposition primaire qui freine les initiatives en faveur de la réglementation de la Blockchain, jugée (à tort) contraire...
Clément Martinez Clément Martinez12 janvier 20206 min

En apparence, totalement incompatibles, tout ne les oppose pas. Pour rappel, le RGPD protège la vie privée et les données et introduit un nouvel acteur : le délégué à la protection des données, tandis que la Blockchain stocke les informations de façon désintermédiée dans une base de données dont les transactions sont partagées et exposées publiquement. Une opposition primaire qui freine les initiatives en faveur de la réglementation de la Blockchain, jugée (à tort) contraire aux fondamentaux du RGPD.

Remarque : Nous devons distinguer la Blockchain privée de la Blockchain publique. En effet, la Blockchain privée a pour caractéristique d’avoir un acteur central qui assure le contrôle de la participation des différents acteurs et de la validation par ceux-ci. Celui-ci peut répondre de la bonne exécution des règles imposées par le RGPD. Les différents droits imposés par le RGPD seraient donc de la responsabilité de « l’administrateur » et ce dernier pourrait être l’interlocuteur unique en cas de litiges. Quant à elle, la version publique, popularisée notamment par le Bitcoin, n’a ni de filtre ni de limitation sur les potentiels participants. Ce qui fait la force des Blockchains publiques en fait paradoxalement le principal point de frottement avec les exigences du RGPD. Dans cette chronique, nous ferons un focus sur les Blockchains publiques.

 

Une opposition finalement peu pertinente ?

 

Là où le RGPD légifère en faveur de la protection de la vie privée et des données, le système Blockchain publique met à disposition de tous, à tout moment, l’ensemble des transactions sur les informations stockées. Mais il ne s’agit que des transactions et non des données elles-mêmes, et le chiffrement des données y est systématique. Il n’y a donc a priori pas de contradiction.

Autre obstacle possible : l’immutabilité, voire l’irréversibilité, de la Blockchain semble s’opposer au « droit à l’oubli » tel qu’il est prévu par le RGPD. Il est de fait très compliqué de modifier ou de supprimer stricto sensu un bloc dans la Blockchain. C’est même contraire à un des piliers de la Blockchain et les seuls moyens seraient de recalculer la chaîne dans son intégralité en amont de l’évènement indésirable, voire de dupliquer la chaîne (le système garderait l’historique mais le comportement global se verrait modifié). Mais agir ainsi reviendrait à nier la raison même de la construction de la Blockchain.

Pourtant le système Blockchain n’est pas incompatible avec l’exercice du droit à la rectification des données. Si on ne peut pas modifier un bloc déjà existant, certaines techniques existent et sont utilisées aujourd’hui, comme ajouter une nouvelle transaction pour rectifier une entrée déjà présente. Peut-être faut-il revenir à l’esprit des textes du RGPD, et s’assurer de manière définitive que les données personnelles ne soient plus traitées contre la volonté des personnes concernées ?

Un autre frein possible au RGPD résiderait dans le rôle du « responsable de traitement des données », qui est le garant de la conformité des traitements des données personnelles au sein de l’organisation qui l’a désigné. Ce rôle a été conçu et pensé dans un écosystème centralisé, et semble contredire à première vue au principe de désintermédiation de la Blockchain publique. En effet c’est le système lui-même qui joue le rôle d’arbitre.

En fonction de la nature de la Blockchain concernée, plusieurs schémas de gouvernance sont possibles. Le premier responsable de traitement qui vient naturellement à l’esprit est le développeur à l’origine de la Blockchain : il a effectivement déterminé les moyens et les finalités du traitement de l’information. Mais quid des nœuds participants au système ? Quel est leur rôle dans le traitement des données ? Ne sont-ils que des musiciens jouant la partition du chef d’orchestre ou sont-ils également chefs d’orchestres pour le morceau de musique qui les occupent ?

 

Quelles solutions ?

 

La CNIL apporte de premières réponses à ces interrogations, dans une étude qui esquisse des débuts de solutions pour rapprocher la Blockchain publique des règles du RGPD.

Il y est suggéré que l’on qualifie le participant à la Blockchain de responsable conjoint, qui a un droit d’écriture sur la chaîne et qui participe au même traitement des données. La CNIL privilégierait la qualification de responsable conjoint et non celle de co-responsable de traitement à défaut de précision quant au cadre d’intervention des parties prenantes. Les mineurs ne seraient, quant à eux, que des utilisateurs et nullement des responsables de traitement dans la mesure où ils n’auront pas déterminé les finalités de la Blockchain.

On notera cependant que les participants n’interviennent pas toujours au même niveau que le créateur de la Blockchain : dans le cas d’un « Smart Contract », ils seront là pour exécuter le protocole défini par le créateur sur instruction ou non d’un participant.

Concernant le « droit à l’oubli » et la sécurisation des données une fois versée dans la Blockchain, la CNIL suggère un système en deux temps. D’abord, le stockage des données devra être au maximum sécurisé grâce aux dernières techniques de chiffrement. Ne pas stocker les informations en clair paraît une recommandation évidente. Dans un second temps, la CNIL recommande d’agir via la clé de chiffrement : en détruisant cette clé, plus aucun acteur (ni même le responsable du traitement) ne pourront comprendre la donnée. Celle-ci est donc rendue virtuellement indéchiffrable, ce qui est dans l’esprit d’une suppression ! L’utilisateur reste donc maître de ses données grâce au chiffrement inhérent au système Blockchain. Une autre piste est pour nous l’anonymisation des données. En effet, ces dernières vont perdre la qualité de donnée personnelle et ne permettront plus aucune exploitation en relation avec une personne. De fait, la donnée personnelle est supprimée : seule demeure l’information anonyme. Encore faut-il qu’elle devienne vraiment anonyme et ne demeure en aucun cas identifiante.

Clément MARTINEZ

Sources : Deloitte, Pixellibre

Pour nous soutenir : HelloAsso Fandas.

Laisser un commentaire

Champs obligatoires *