L’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018 a bouleversé tous les écosystèmes. Pour rappel, le RGPD a pour fonction principale de protéger les données personnelles des individus, en particulier lorsque ces données sont collectées et utilisées par tout organismes.
La difficulté, c’est que la réglementation sur la protection des données personnelles a été pensée pour des organismes qui opèrent des traitements sur les données personnelles de manière centralisées avec, à sa tête, un responsable déterminé.
Or, la blockchain n’est pas assimilable à un acteur économique traditionnel car sa caractéristique principale est d’être décentralisée. Qui plus est, elle stocke des informations sur un nombre indéfini de serveurs et les rend visibles à l’ensemble des participants. Il est donc difficile d’identifier un pouvoir décisionnaire et lui attribuer un certain nombre d’obligations en matière de protection de la vie privée des personnes.
Afin de comprendre comment le RGPD et la blockchain peuvent trouver un terrain d’entente, il convient de s’interroger sur les éléments suivants :
- Qu’est-ce que la blockchain ?
- Blockchain et RGPD : qui est responsable ?
- Blockchain et RGPD : comment le RGPD s’applique à la blockain ?
Blockchain et RGPD : de quoi parle-t-on ?
Qu’est-ce que la blockchain ?
La blockchain est une technologie qui correspond à une immense base de données qui est partagée simultanément par tous ses utilisateurs qui sont à la fois détenteurs de ces données. Ces derniers peuvent inscrire de nouvelles données dans ce registre, c’est-à-dire effectuer des transactions.
Mais la particularité de la blockchain est qu’elle ne dépend qu’aucun organisme centralisateur comme une banque centrale par exemple. En effet, la blockchain est le plus souvent reconnue pour son utilisation dans le secteur financier comme le secteur des Bitcoin qui ne représente qu’une des facettes de la blockchain.
Il faut également retenir que la blockchain est connue pour mettre oeuvre un système infalsifiable par l’horodatage de chaque transaction et la sécurisation des données par la cryptographie.
En résumé, les caractéristiques de la blockchain sont les suivantes :
- la décentralisation : chaque nouveau bloc est lié au précédent, une copie étant transmise à tous les membres du réseau. Par ailleurs, chacune des décisions est prise par les utilisateurs puisqu’aucune autorité centrale n’intervient ;
- la transparence : tous les participants ont accès à l’ensemble des données inscrites qui sont, par la même occasion, irréversibles. Elles ne peuvent être ni modifiées ni supprimées ;
- la sécurité : les données sont cryptées et authentifiées par des « centres de données » ou « mineurs » puis stockées sur un grand nombre d’ordinateurs (donc difficilement piratables).
La blockchain est donc un nouveau moyen de traiter des données. Ce système est particulièrement apprécié d’une part pour la rapidité des transactions puisque les intermédiaires sont supprimés et d’autre part, pour la possibilité d’accélérer la contractualisation lorsque les clauses sont prédéfinies (il s’agit du fameux smart contract).
Vous l’aurez compris, le principal problème lié à l’applicable du RGPD à la blockchain, est l’absence d’autorité centralisatrice. Nous étudierons cela plus en détail.
Quelles sont les différentes blockchains existantes ?
Il existe une technologie blockchain, mais il y a plusieurs niveaux de permission qui varient en fonction du libre accès ou non aux participants. Nous pouvons retenir la classification suivante :
- les blockchains publiques accessibles à tous. N’importe quel participant peut effectuer une transaction, valider les blocs et avoir une visibilité sur les autres transactions.
- les blockchains à permission créent une barrière puisqu’elles définissent quelles personnes peuvent y contribuer ;
- les blockchains privées qui sont sous le contrôle d’un acteur qui assure seul le droit de participation et de validation.
Moins la blockchain est accessible (blockchains privées) plus elle peut être assimilée à un système centralisé, et dans ces cas le RGPD s’applique sans difficulté. À l’inverse, plus la blockchain est accessible et publique, plus l’application du RGPD soulève de question au regard de sa décentralisation.
Quelles sont les données personnelles concernées par la blockchain ?
La blockchain est souvent associée à la cryptomonnaie qui n’est finalement qu’un cas d’usage parmi tant d’autres. Cet exemple est cependant intéressant puisqu’il représente à lui seul ce que la blockchain peut apporter : l'indépendance vis-à-vis d’un pouvoir décisionnaire (comme la banque centrale) et la traversée des frontières sans contrôle possible.
De nombreux secteurs peuvent être concernés par la blockchain : les NFT dans l’art et l’immobilier, l’automatisation des procédures de remboursement dans le domaine des assurances via un smart contract, la collecte de preuves pour les particuliers, la sécurité et l’horodatage lors de transfert de documents, etc.
L’ensemble de ces secteurs génèrent énormément de données. La question est de savoir si ces données correspondent à des données à caractère personnel puisque cette définition emporte l’application du RGPD.
💡 Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations)(article 4 RGPD) Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.
En l’espèce, au sein de la blockchain, il existe deux grandes catégories de données à caractère personnel :
- Les identifiants des participants (ceux qui ont le droit d’écriture d’une transaction) et des mineurs (ceux qui valident une transaction). Chacun d’entre eux a un identifiant composé d’une suite de caractères alphanumériques qui constituent la clé publique du compte du participant ou du mineur. Concrètement il s’agit de données identifiant une personne physique.
- Les données complémentaires. Il s’agit des données contenues dans la transaction (transaction monétaire, titre de propriété etc.). Et dès lors que la transaction peut être reliée à un identifiant lui même relié à une personne physique, c’est de la donnée personnelle.
Blockchain et RGPD : qui est responsable ?
Pour rappel, le RGPD (et notamment l’article 4 RGPD) définit deux rôles principaux dans la manipulation des données : responsable de traitement et sous-traitant. De cette qualification dépend l’application d’obligations différentes du RGPD.
- Le responsable de traitement : c’est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle. En pratique, il s’agit de la personne morale incarnée par son représentant légal.
- Le sous-traitant : c’est la personne ou l’organisme qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement.
Comment ces rôles s’appliquent aux différents intervenants au sein de la blockchain ?
Blockchain : qui est responsable de traitement ?
Comme exposé précédemment, par essence la blockchain instaure un système décentralisé. En définitive, l’ensemble des transactions sont ordonnées par les utilisateurs eux-mêmes. Il existe donc une multiplicité de personnes intervenantes dans le traitement. Alors, qui doit-on qualifier de responsable de traitement ?
La CNIL, dans son analyse, considère que le participant, en tant qu’il ordonne l’enregistrement d’une transaction dans la chaine, doit être regardé comme le responsable de traitement puisqu’il détermine les finalités (c’est-à-dire l’objectif) et les moyens (c’est-à-dire la méthode) de traitement de la donnée.
À l’inverse, les mineurs (les personnes qui valident l’écriture dans la blockchain) n’ont pas ce pouvoir de déterminer les finalités et moyens du traitement.
Pour donner un exemple concret, lorsqu’une banque inscrit les données de son client dans la blockchain, elle agit ici en tant que responsable de traitement.
⚠️ Attention, seules sont considérées comme responsable de traitement, les personnes physiques ou morales qui agissent dans la blockchain en vertu d’une activité professionnelle. À l’inverse, si vous agissez dans la blockchain pour votre compte, à titre personnel, vous n’êtes pas concerné.
Blockchain : qui est sous-traitant ?
Comme nous l’avons vu ci-dessus, le sous-traitant est un prestataire de services, il intervient pour le compte du responsable de traitement. À ce titre, il manipule les données sur les instructions sur responsable de traitement. Il a donc des obligations en vertu du RGPD qui sont équivalentes à son niveau de responsabilité dans le traitement.
En vertu de cette définition, qui a le statut de sous-traitant dans la blockchain ? Il arrive que les participants exerçant à titre professionnel (responsable de traitement) fassent appel à des sous-traitants qui inscrivent des données dans la blockchain pour leur compte.
Par exemple, lorsqu’un développeur de logiciel propose à une banque une solution qui permet d’automatiser ces fameux smart contract. Ces entreprises ont le statut de sous-traitant.
⚠️ Il peut arriver que les mineurs aient un niveau d’implication suffisamment important dans la validation de la transaction qu’ils ont le statut de sous-traitant. Par exemple lorsque plusieurs compagnies d’assurance créent une blockchain au profit de leurs clients, il peut être décidé qu’une d’entre elles détermine seule les finalités du traitement et les autres ont une mission de validation des transactions. Dans ce cas, ces dernières ont le rôle de sous-traitant.
Blockchain et RGPD : comment les règles s’appliquent ?
Les statuts de responsable de traitement et de sous-traitant entrainent certaines implications au regard du RGPD.
Pour résumer :
- Lorsque vous avez le statut de responsable de traitement, vous devez assurer aux personnes la protection des données personnelles dont vous avez la charge.
- Lorsque vous avez le statut de sous-traitant, vous devez assurer au responsable de traitement (votre client), la protection des données personnelles qu’il vous a transféré. Un contrat précisant les droits et obligations des parties doit impérativement prévoir un certain nombre de règles conformément à l’article 28 RGPD.
Pour assurer la protection des données personnelles dans la blockchain, comment faut-il procéder ?
Une protection des données dès la conception (Privacy by Design)
Il appartient au responsable de traitement comme au sous-traitant de choisir la solution ayant le moins d’impact sur les droits et libertés des individus dès la conception du traitement. Il s’agit du principe de Privacy by Design. La CNIL considère que les données à caractère personnel devraient être enregistrées dans la blockchain, de préférence sous la forme d’un engagement cryptographique.
Mais, il y a une alternative à cette technique. La donnée peut être stockée sur un serveur classique (l’ordinateur du responsable de traitement) et seule une information démontrant l’existence de la donnée est stockée sur la blockchain via un engagement cryptographique.
Avant d’aller plus loin dans les démarches de conformité, la priorité est bel et bien de choisir la solution la plus sécurisante pour vos clients à condition que la finalité du traitement le justifie et qu’une analyse d’impact prouve que les risques identifiés sont acceptables.
Information : portée et limites selon le type de blockchain
Le consentement libre et éclairé est l’un des piliers du RGPD. On comprendra aisément que le responsable de traitement devra renseigner de façon complète et accessible la personne concernée avant d’ancrer ses informations à caractère personnel dans la blockchain.
Par ailleurs, il sera facile de lui transmettre les informations classiques telles que les types de données récoltées, l’identité et les coordonnées du DPO, les finalités de traitement, l’existence ou non de profilage.
Mais, qu’en est-il des indications relatives aux sous-traitants, notamment lorsque ceux-ci opèrent des transferts de données personnelles en dehors de l’Union européenne ? Cette question est d’autant plus complexe dès lors qu’on est face à une blockchain publique ?
Dans ce dernier cas, il est quasiment impossible pour le responsable de traitement d’avoir une parfaite maitrise des transferts de données et leurs localisations. À l’inverse, la blockchain à permission pose moins de problèmes puisqu’un contrôle est présent. Logiquement, les clauses contractuelles types, les règles d’entreprises contraignantes, les codes de conduite ou encore les mécanismes de certification sont donc actionnables.
Tel n’est pas le cas pour les blockchains publiques dans lesquelles le responsable de traitement n’a aucun contrôle donc aucun moyen de faire jouer ces mécanismes.
Exercice des droits et blockchain : possible ou pas ?
L’un des piliers du RGPD est de redonner du pouvoir aux personnes concernant leurs données personnelles. Pour ce faire, le règlement prévoit un certain nombre de droits que les personnes doivent pouvoir exercer. Et c’est au responsable de traitement d’assurer l’effectivité de ces droits.
- le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
- le droit de rectification permet la modification et la correction des données personnelles ;
- le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
- le droit à l’effacement permet d’obtenir l’effacement de ses données ;
- le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
- le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
- le droit à l’intervention humaine face à un profilage.
Seulement dans la blockchain, comment ces droits peuvent être exercés par les personnes ?
En ce qui concerne le droit d’accès et le droit à la portabilité des données, il n’y a aucune difficulté puisque la blockchain permet justement à chaque personne d’avoir accès au registre et d’en obtenir une copie.
Or, concernant le droit à l’effacement, à la rectification et le droit à la limitation dans l’utilisation des données personnelles, les choses se compliquent. En effet, il est techniquement infaisable de faire droit à la demande d’effacement de la personne concernée lorsque des données en clair sont inscrites dans une Blockchain. Néanmoins, si on a recours à une empreinte issue d’une fonction de hachage à clé et d’une clé privée, le responsable de traitement peut rendre la donnée quasi inaccessible. Il ne sera plus possible de prouver ou de vérifier quelle information a été engagée. Cette solution ne constitue pas un effacement de la donnée au sens strict dans la mesure où il y aura une trace dans la blockchain mais, retrouver l’information inscrite sera irréalisable.
Concernant le droit à la rectification, il y a un vrai sujet puisqu’il est impossible de modifier les données inscrites dans un bloc. La seule perspective pour le responsable de traitement ? Intégrer une nouvelle information annulant la première transaction, même si cette dernière apparaitra toujours dans la blockchain.
Le droit à limitation et le droit à une intervention humaine sont quant à eux problématiques lors de la mise en place d’un smart contract. La solution est relativement simple puisqu’il suffit de prévoir la limitation de l’utilisation des données en amont dans un programme informatique. Pour l’automatisation de l’exécution du contrat, il faut donner à la personne concernée la possibilité d’obtenir une intervention humaine ou de contester la décision.
Blockchain et RGPD : les briques à mettre en place
La blockchain ne dissout donc pas les responsabilités de ceux qui les utilisent. En matière de RGPD, il y a toujours un responsable. L’enjeu est donc de faire au mieux avec une technologie qu’il est parfois difficile de rendre conforme.
Voici nos 5 meilleurs conseils pour avancer sur le sujet :
- Choisir la blockchain la plus adaptée à votre business : publique, à permission, privée ;
- Faire appel à un DPO spécialisé en blockchain ou qui s’intéresse fortement au sujet
- Consigner dans un registre toutes les données que vous allez ancrer dans la blockchain ;
- Préparer un document spécifique pour informer clairement le client sur les spécificités de la blockchain, sa finalité et la possibilité d’exercer certains droits ;
- Vous munir d’un outil RGPD, comme Leto, pour proposer un exercice de droits.
Pour plus d’information, Leto met à votre disposition un livre blanc sur les 10 étapes pour se mettre en conformité avec le RGPD.
Pour maitriser votre conformité RGPD, pensez au logiciel RGPD Leto.