Blockchain et RGPD : une cohabitation en question

La révolution blockchain est en marche. La législation essaie de suivre, parfois avec succès, parfois pas vraiment. Du point de vue fiscalité, la France a fait fort ! Si l’Hexagone est l’un des pays au taux d’imposition le plus fort, la fiscalité est très claire.

En revanche, il y a un point qui semble complètement oublié, c’est celui de la protection des données à caractère personnel. Avec son règlement général sur la protection des données (ci-après, RGPD), entré en application en mai 2018, le législateur européen s’est doté d’un texte de référence en la matière. Très discuté, il est courant de lire tout et n’importe quoi sur le sujet. Si l'on ajoute la blockchain à la problématique, les esprits divergent encore plus !

Présentation rapide du RGPD

Avant d’évoquer les interactions et la cohabitation, il est indispensable de comprendre les bases et principes du RGPD.

La compréhension de la législation est en effet essentielle, car, même chez certains avocats ou DPO (on reviendra sur cette notion), une certaine exagération quant aux dispositions entraîne une lecture punitive du règlement. Or, s’il y a des contraintes, ce n’est pas aussi terrible que certains pourraient penser !

Le règlement s’applique à toutes les données dites identifiantes des personnes physiques. La donnée est prise au sens très large et presque tout est une donnée personnelle. Certaines sont directement (nom et prénom) ou indirectement identifiantes (numéro de téléphone, numéro de sécurité sociale). Pour ces dernières, il est nécessaire de croiser avec une ou plusieurs autres données afin de remonter à la personne concernée. Sans ce croisement, la donnée est brute et n’est pas qualifiée de personnelle.

L’application territoriale du RGPD est très large : toute entité établie au sein de l’Union européenne (UE), toute entité établie hors UE et utilisant les données de personnes physiques installées sur le territoire de l’UE. En bref, difficile d’y échapper !

Les acteurs du RGPD sont nombreux : outre la personne concernée, on trouve notamment le responsable du traitement et le sous-traitant. Le premier est celui qui va déterminer les finalités et les moyens du traitement de données et qui va l’utiliser à ses propres fins. Le second agit au nom et pour le compte du responsable du traitement et il n’a pas d’intérêt à utiliser les données. En cas de manquements au RGPD, c’est la responsabilité du responsable du traitement et/ou du sous-traitant qui sera recherchée. Ah, qu’est-ce qu’un traitement ? En gros, tout regroupement de données personnelles ! Même sur un papier !

Aussi certaines données sont plus sensibles que d’autres et font l’objet d’une interdiction de principe à les traiter. Ce sont par exemple les données de santé, liées à la religion, l’orientation sexuelle ou les opinions politiques. Pour pouvoir les utiliser, il existe néanmoins des exceptions légales.

Les personnes concernées ont des droits renforcés par rapport à la législation précédente, mais, contrairement à l’idée reçue, il n’y a pas de grande évolution. La principale est que, si le consentement est obligatoire (et non, ça ne l’est pas toujours !), c’est désormais au responsable du traitement de prouver, avec l’aide du sous-traitant si besoin est, qu’il l'a bien recueilli de manière explicite et positive. Donc, la case précochée, « oui je veux recevoir vos offres commerciales », cela ne marche plus ! La personne doit cocher elle-même la case pour considérer le consentement reçu. En outre, le RGPD prévoit un droit à la portabilité et un droit à l’oubli. On y reviendra.

Le RGPD met l’accent sur la responsabilisation des acteurs, que l’on désigne sous trois anglicismes : accountability, privacy by design, privacy by default. En gros, la protection intervient en amont de la réalisation du traitement : puis-je utiliser ces données ? Si oui, comment ? Quid de la sécurité ? Pour des données assez sensibles, il est possible de réaliser une analyse d’impact ou PIA (Privacy Impact Assessment).

Parmi les mesures de sécurité citées par le RGPD, on a la pseudonymisation et l’anonymisation. La première change le nom de la donnée afin qu’elle ne soit plus identifiante. En théorie, il n’est pas alors pas possible de remonter jusqu’à la personne concernée sans un croisement de données qui n’est possible que par négligence ou faille de sécurité. En outre, la pseudonymisation n’est pas définitive. À l’inverse, l’anonymisation est irréversible et il n’est alors plus possible de revenir à la donnée brute. En conséquence, le RGPD n’est pas applicable aux données anonymisées.

Enfin, le RGPD a inventé un nouveau métier, celui de Data Protection Officer (DPO, très rarement désigné sous son nom français, Délégué à la protection des données ou DPD). C’est la Madame ou le Monsieur données personnelles d’une entité, la personne qui contrôle le respect de la législation pour tous les projets impliquant l’utilisation de données. Son rôle est essentiel et doit être absent de tout conflit d’intérêts.

Voilà, vous avez désormais quelques bases en tête ! Retenez-les et l'on en vient maintenant à la partie blockchain.

Les interactions entre blockchain et RGPD

 Rentrons maintenant dans le vif du sujet. En préambule, on constate que la technologie blockchain ne diffère pas tellement des autres technologies pour un certain nombre de points. Ainsi, des données sont utilisées, directement ou indirectement identifiantes.

La présence de données à caractère personnel : interaction primitive

Cela paraît évident, mais pour que l’on puisse discuter des relations entre blockchain et RGPD, il faut des données personnelles ! Une entité qui n’utilise que des données d’entreprise et professionnelles ou anonymisées de manière irréversible n’a pas à tenir compte du RGPD pour sa blockchain.

Au contraire, en cas de présence de données personnelles ou pseudonymes, la blockchain n’est pas un OVNI technologique. Elle utilise le même matériel à disposition que n’importe quelle technologie informatique, mais à d’autres fins. Le RGPD s’applique donc bien à la technologie blockchain.

La CNIL a la même analyse lorsqu’elle précise que «  le RGPD n’a pas pour objectif de réguler des technologies, mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles ». Traduction : on se fiche un peu de la technologie que vous utilisez tant que vous ne faites pas n’importe quoi avec les données personnelles !

Le cas des transferts d’actifs et de la blockchain Bitcoin

D’aucuns pourraient être étonnés de lire que le RGPD s’applique à la blockchain Bitcoin. En effet, que vient faire un texte sur les données personnelles dans une blockchain qui n’en contient pas ? Si vous avez retenu le premier paragraphe ET que vous connaissez votre blockchain sur le bout des doigts, un mot vous vient à l’esprit : pseudonyme !

Vous aussi, vous vous êtes battus contre les fossoyeurs du Bitcoin qui estimaient que les transactions étaient anonymes et que l’on pouvait passer à la blanchisserie en toute impunité ? En effet, vous saviez que les transactions retracées dans la blockchain Bitcoin sont pseudonymes. Or, toute donnée pseudonyme peut permettre de remonter jusqu’à la personne qui se cache derrière ledit pseudo. Dans ce cas, le RGPD n’est pas un texte à ignorer pour le transfert d’actifs pseudonymes.

Néanmoins, on ne va pas se mentir : au vu des caractéristiques de cette blockchain, personne n’ira chercher des noises. D’une part, qui est responsable du traitement ou sous-traitant ? Tout le monde et personne ! Il est donc impossible de désigner une quelconque responsabilité si par extraordinaire il y avait un manquement. D’autre part, sa réputation de blockchain ultra-sécurisée et impénétrable fait que les modalités relatives à la sécurité des données sont acquises. Pour résumer : une application caduque !

Les plateformes d’échange, elles, sont des entreprises comme les autres. D’une part, elle possède de nombreuses données personnelles de leurs clients (nom, prénom…) et, d’autre part, elles sont en possession des clés privées qui identifient directement une personne. Si elles sont basées au sein de l’UE ou si une partie de leurs clients est établie dans l’UE, elles doivent appliquer le RGPD.

En parallèle, si la blockchain utilise des données purement anonymes, comme c’est le cas de Monero, alors le RGPD n’a pas vocation à s’appliquer. La plateforme d’échange ne peut bien entendu pas se prévaloir de cette exception, car elles sont toujours en possession des données identifiantes de leurs clients.

Le cas des smart contracts

Avec un smart contract, les interactions sont plus évidentes. En effet, dans un smart contract, « si X est réalisé, alors on exécute Y ». Or, sauf cas particulier, ce programme informatique comprend des données à caractère personnel, potentiellement au moins l’une des parties.

Le RGPD s’applique donc bien aux smart contracts.

Le cas de la traçabilité

La blockchain est une technologie utilisée pour améliorer la traçabilité de certains produits, notamment alimentaires. A priori, aucune donnée personnelle n’est utilisée et le RGPD n’a pas vocation à s’appliquer.

Les problématiques posées par l’application du RGPD à la technologie blockchain

Non, tout n’est pas rose au sein du couple blockchain / RGPD. Certaines dispositions de ce dernier posent des difficultés avec certaines caractéristiques de la blockchain. Néanmoins, les problématiques que certains prétendent insurmontables ne le sont en fait pas vraiment.

L’immutabilité de la blockchain face aux droits des personnes concernées

Les articles 13 à 22 du RGPD répertorient une partie des droits des personnes dont les données sont collectées. Ceux qui nous intéressent en priorité sont le droit d’accès, droit de rectification, droit à l’effacement et droit à la portabilité des données. Le droit à l’information ne pose aucune difficulté et le droit de s’opposer ne s’applique pas, en général, pour une blockchain.

Mis à part pour le droit d’accès, lorsque ces droits sont exécutés, cela équivaut à une altération de la donnée ou du traitement, qu’elle soit rectifiée, effacée ou transférée.

Or, l’une des caractéristiques principales de la blockchain et ce qui fait sa force, c’est son inaltérabilité et son immutabilité. Dans ce cas, comment concrétiser l’exercice des droits ?

Le droit d’accès

Si une personne souhaite avoir accès à ses données stockées dans la blockchain, c’est possible. Néanmoins, cette obligation incombe au responsable du traitement qui peut, si nécessaire, demander l’aide de l’éventuel sous-traitant.

Or, comme nous le verrons dans la partie suivante, déterminer les rôles de chacun peut s’avérer complexe. Mais, techniquement, contrairement aux suivants, il est assez simple de répondre favorablement à l’exercice de ce droit.

Le droit à l’effacement

Contrairement à ce que l’on aurait pu penser, le constat fait par la CNIL et le service de recherche du Parlement européen (EPRS) est plutôt positif. Certes, les deux organismes observent à juste titre l’impossibilité ou l’extrême complexité pour effacer une donnée conservée dans une blockchain.

Mais, au lieu de prononcer définitivement le divorce entre la blockchain et le RGPD, des solutions sont proposées. La première, c’est le choix du format de stockage de la donnée. Avec  un procédé cryptographique, la donnée est rendue quasiment inaccessible. La définition assez floue donnée par le RGPD du droit à l’effacement permet d’estimer que la donnée est réputée « effacée » ou « oubliée », car il peut arriver que le responsable du traitement désigné n’ait même pas la possibilité de l’effacer.

C’est exactement le cas si la clé privée est soit détruite soit, par défaut, possédée par le seul propriétaire qui lui seul a accès à cette clé et qui, s’il a bien fait les choses, l’a noté sur un papier et non numériquement. Ainsi, lors d’un transfert d’actifs entre deux wallets, quand bien même on a accès aux deux clés publiques sur la blockchain Bitcoin, il est impossible de remonter jusqu’à la personne si la clé privée est détruite ou inaccessible à tous. En effet, si elle n’est pas détruite, et sauf négligence grave du propriétaire ou grande malchance comme un cambriolage, l’inaccessibilité est tout comme.

Bien entendu, lorsque la clé est conservée par la plateforme d’échanges, c’est différent, mais la destinée est identique. On mise alors sur la sécurité.

Le droit à la rectification

Comme pour le droit à l’effacement, l’immutabilité de la blockchain rend effectivement impossible l’exercice du droit à la rectification.

La solution proposée intervient lors de la mise à jour des blocs. En effet, une transaction ultérieure peut annuler une transaction antérieure et, ipso facto, la seconde est réputée « rectifiée ». Par exemple, lors de la première transaction, A transmet 10 BTC à B. Dans une seconde transaction, B transfère 8 BTC à C. Lors de la mise à jour du bloc, la seconde transaction aura rectifié la première transaction, car B s’est délesté de 8 BTC. Ainsi, la première transaction reste visible, mais est déjà rectifiée par la seconde transaction. C’est un peu tiré par les cheveux, mais difficile de trouver une autre solution !

Le droit à la portabilité

Ce droit est l’une des grandes nouveautés du RGPD. Pour résumer rapidement, cela permet de demander le transfert des données d’un responsable du traitement A à un responsable du traitement B. Le caractère immuable de la blockchain permet-il cela ?

En théorie, non car il est impossible d’altérer une blockchain. Or, sans toucher à la donnée en cas de portabilité, on touche à deux blockchains : celle qui transfère la donnée, celle qui la reçoit. Néanmoins, la CNIL estime que cela n’engendre aucune difficulté.

Toutefois, il ne faut pas oublier que la portabilité suppose une interopérabilité pour que le transfert soit réussi. En d’autres termes, si les données ne sont pas lisibles après transfert, cela ne marche pas !

On sera donc plus nuancé que la CNIL. Oui, contrairement à l’effacement ou à la rectification, la portabilité est possible uniquement si les données sont lisibles pour le responsable du traitement B.

La répartition des rôles de responsable du traitement et de sous-traitant

Le responsable du traitement

Toute la responsabilité reposant sur ces deux acteurs, il est essentiel de déterminer qui fait quoi lorsque l’on utilise la technologie blockchain.

Or, le RGPD n’a pas prévu une gestion distribuée ou décentralisée des données. En effet, le traitement est réalisé au profit d’un ou plus acteurs s’il y a des responsables de traitements conjoints. En d’autres termes, pour le RGPD, la gestion des données ne peut être que centralisée et définir juridiquement les acteurs lorsque la gestion n’est pas centralisée peut s’avérer complexe.

À première vue, séparons ce que la CNIL appelle les participants des autres. Les premiers ont un droit d’écriture sur la blockchain, ils déterminent les moyens et les finalités du stockage de données. Dit plus simplement, ce sont eux qui choisissent d’utiliser une blockchain. Par exemple, si un courtier souhaite créer une assurance en cas de retard d’avion, c’est ce courtier qui est responsable du traitement. Cet exemple implique d’ailleurs un smart contract.

Pour ce dernier, c’est le même principe. L’utilisation d’un smart contract est à l’initiative d’une personne ou d’une entité. C’est donc elle qui sera responsable du traitement, le courtier dans notre exemple.

Le sous-traitant

Les mineurs ne sont que des exécutants et ne font que valider les transactions qui leur sont soumises. Ils sont donc des sous-traitants au sens du RGPD, mais des sous-traitants très particuliers, car il est bien difficile d’appliquer les dispositions de l’article 28 aux mineurs et même d’engager leur responsabilité en cas de problème.

Pour les autres cas, c’est en cas de smart contracts que l’on retrouve la sous-traitance. La quasi-totalité des sous-traitants seront les éditeurs de logiciels qui traitent les données pour le compte de leur client ou l’architecture blockchain dans son ensemble. Les données ne sont donc pas collectées dans leur intérêt et ils ne font qu’exécuter des instructions de leurs clients.

Dans cette relation entre le responsable du traitement et son sous-traitant, le document le plus important est le contrat de sous-traitance qui détermine les droits, les devoirs et les responsabilités de chacun. Comme pour toute relation commerciale en somme.

Conclusion

Cet article aurait pu être bien plus long, mais il fallait bien faire des choix pour éviter le roman !

Contrairement aux idées reçues, il n’y a donc pas de réelle incompatibilité entre blockchain et RGPD. C’est une technologie disruptive, mais elle n’est exceptionnelle au point de voir le RGPD comme un poison.

La conformité à certaines dispositions peut apparaître complexe, mais ce n’est pas insurmontable en soi.

Acteurs de la blockchain, n’ayez donc pas peur du RGPD qui n’est pas si méchant que cela !

Anciennement juriste spécialisé en droit des données personnelles, je me suis très vite intéressé au Bitcoin, à la blockchain et à leurs implications juridiques, notamment la fiscalité. Je suis aujourd'hui consultant indépendant dans le domaine des cryptomonnaies et de la blockchain et suis installé en Suisse.

Benjamin Allouch

164 articles

Tous ses articles