Le RGPD est entré en vigueur à partir du 25 mai 2018. Le développement des Blockchain peut-il être compatible avec cette nouvelle règlementation européenne, qui vise à renforcer les droits des usagers en matière d’utilisation de leurs données personnelles ?

La technologie Blockchain est une technologie de registre partagé (Distributed Ledger Technology) destinée à remplacer tous les tiers de confiance et reposant sur deux fonctionnalités :

1)    Permettre la transmission d’informations via un répertoire de données incorruptible et irréversible

2)    Permettre de conserver la tracabilité de ces informations.

Avec l’entrée en vigueur du RGPD, il est essentiel de s’interroger sur la compatibilité de cette technologie avec la protection des données personnelles, d’autant plus qu’il n’existe pas une Blockchain mais des Blockchain dont la mise en œuvre peut être protéiformes (privée, semi-privée, publique).

La Blockchain publique est un registre ouvert à tous les participants, sans possibilité de restriction pour la vérification et validation des données, le processus décisionnel se faisant par consensus de la majorité des acteurs du réseau.

A contrario, la Blockchain privée est un registre où les participants sont séléctionnés pour la vérification et la validation des données, le processus décisionnel se faisant par consensus d’acteurs prédéfinis et prélimités.

Une blockchain semi-privée pourra proposer une architecture plus ouverte que la Blockchain privée mais ses principes de fonctionnement seront les mêmes que ceux de la Blockchain privée.

D’ores et déjà, il est évident que les enjeux relatifs à la protection des données sont différents.

Les difficultés posées par la Blockchain publique

Contrairement à une idée reçue, l’anonymat sur la Blockchain publique n’est pas nécessairement intégrale du fait de la cryptographie asymétrique.

 Certes, l’adresse publique est générée par le portefeuille sans que son propriétaire n’ait besoin de révéler ou démontrer son identité.

Néanmoins l’ensemble de ses transactions peut être suivi et retracé sur la Blockchain publique, puisque c’est justement l’intérêt même de la DLT.

Il est ainsi possible de reconstituer l’historique complet de transactions d’un utilisateur de la Blockchain, voire même de remonter jusqu’à son identité par le biais de son adresse IP traçable.

Dans le cas d’un traitement de données soumises à l’application du RGPD, celui-ci prévoit que le responsable des traitements doit mettre en œuvre des mesures appropriées pour démontrer que le traitement est conforme.

Dans le cas de la Blockchain publique, une difficulté se pose immédiatement : qui est responsable ?

On pourrait admettre que la majorité des acteurs d’une Blockchain publique vote pour la désignation d’un délégué à la protection des données.

Mais dans le cas contraire, qui serait sanctionné ?

A l’heure actuelle, la décentralisation de la Blockchain publique a pour conséquence de rendre inapplicable les dispositions du RGPD.

En d’autres termes, aucune protection des données échangées ne peut être garantie autrement que par la confiance en la technologie des registres distribués.

En outre, le RGPD prévoit un droit à l’effacement de ses données personnelles, ce qui est en totale contradiction avec la technologie Blockchain.

En effet, celle-ci repose sur l’irréversibilité des données transcrites dans la chaine des blocs validés par les participants.

La conformité des Blockchain privées

Pour ce qui est des Blockchain privées, celles-ci sont justement utilisées en tant que registre de traçabilité de données pour un secteur bien particulier (banque, chaine de production, éducation, …).

Les acteurs de ce registre sont identifiés et possèdent en général divers niveaux d’accréditation pour la vérification et la validation. La désignation d’un responsable de traitement et d’un délégué à la protection des données est donc possible et indispensable.

Le responsable de traitement aura plusieurs missions :

1)    Définir le risque de la conservation des données pour les droits des personnes considérées et mesurer son impact

2)    Sécuriser les données et avertir immédiatement la personne concernée en cas de violation de ces données

Dans le cas d’une Blockchain privée, le responsable de traitement devra donc veiller à ce que les données transitant par le registre soient sécurisées et qu’il est impossible de reconstituer l’identité des personnes en procédant à des recoupements.

Le délégué à la protection des données est la personne désignée pour mettre en œuvre les mesures techniques de protection et de conservation, notamment la tenue d’un registre détaillé sur les activités du traitement.

La Blockchain ayant pour fonctionnalité principale de permettre la tenue d’un registre infalsifiable et distribué, cela ne devrait pas poser de difficultés techniques.

Concernant le droit à l’effacement des données, cette obligation peut être mise en œuvre dans une Blockchain privée contrairement à la Blockchain publique, avec quelques aménagements.

Il faudrait alors reconstruire la chaine de blocs en supprimant la donnée dont l’effacement est demandé, ce qui n’est possible que lorsque le consensus n’est pas décentralisé.

Cependant, cela risque à l’avenir de poser quelques difficultés d’ordre technique.

Dans un rapport publié en 2016, l’Open Data Institute estime que la technologie Blockchain ne permet pas l’effacement d’une donnée ou l‘intervention sur les nœuds du réseau sans risquer des dommages affectant l’ensemble de la chaine. En effet, le risque serait de devoir effacer le bloc entier comprenant la donnée ou de conserver des données endommagées, ce qui est aux antipodes de l’objectif de traçabilité infalsifiable souhaité.

Dès lors, il parait compliqué d’obliger le responsable du traitement à la mise en œuvre du droit à l’effacement par décision de justice. Le droit à l’effacement devant nécessairement être mis en balance avec la nécessité de la finalité du traitement des données.

En conclusion, il existe plusieurs difficultés d’application du RGPD au sein d’une Blockchain, quel que soit son protocole. Il faut néanmoins tempérer en rappelant que l’entrée en vigueur du RGPD est très récente, et que la pratique ainsi que les avancées technologiques viendront probablement résoudre la plupart de ces questions.

Maître Marina CARRIER

Avocat en droit des affaires et droit du numérique 

Conseil en fiscalité et implémentation Blockchain, cryptomonnaies et ICO

Vous êtes en cours de développement d’un projet autour de la Blockchain publique? Vous souhaitez mettre en place une Blockchain privée pour les besoins de votre secteur d’activité? 

Le cabinet vous accompagne et vous conseille dans la mise en oeuvre de votre projet pour la conformité règlementaire et la sécurisation des données personnelles.

Suivez le cabinet sur les réseaux sociaux: