La blockchain est-elle compatible avec le RGPD ?
Privacy by design, droit à l'effacement, responsable de traitement… La technologie qui sous-tend le bitcoin remplit-elle toutes les dispositions du règlement européen ?
"Nul n'est censé ignorer la loi." Pas même la blockchain. Le règlement général sur la protection des données personnelles (RGPD) n'en fait pas mention, mais les entreprises qui fournissent des services blockchain sont soumises à ce règlement, comme n'importe quelle entreprise. Or, par définition, la blockchain est une technologie qui permet de stocker et transférer des données, que ce soit un simple fichier excel, une information financière ou une donnée personnelle. Pour les blockchain privées mises en place par un tiers, le problème est simple à résoudre, car un seul acteur a autorité sur le réseau. Ce dernier doit donc en assumer la responsabilité juridique et respecter le règlement. La start-up Blockchain Partner, qui vend en moyenne 90% de blockchains privées, ne rencontre aucun problème particulier. "Nous n'avons pas encore eu de cas qui nous a empêché de mener à bien des projets", affirme William O'Rorke, legal advisor de la start-up. Pour les blockchains publiques, comme Bitcoin ou Ethereum, c'est une autre paire de manche. Pour y voir plus clair, le JDN a comparé les principes phares du texte européen avec les caractéristiques de la blockchain publique.
Le responsable du traitement : incompatible
Y-a-t-il un capitaine à bord ? Dans l'article 4 du règlement européen, le responsable du traitement est défini comme "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement." C'est également lui qui a la responsabilité juridique du traitement des données. Comme la blockchain est par définition décentralisée, il n'y a donc personne à sa tête. "La blockchain a un fonctionnement horizontal, il n'y a pas d'organisme de contrôle. De plus, la blockchain est un protocole, pas un logiciel. Elle ne peut pas être considérée comme responsable du traitement. Personne n'a jamais songé à sanctionner Internet", illustre William O'Rorke.
Dans le monde de la blockchain, il existe de multiples acteurs, dont les mineurs (qui apportent la puissance de calcul), les développeurs et les utilisateurs. Mais aucun ne peut être caractérisé comme responsable du traitement. "Les mineurs ont un simple rôle technique, ils ne sont donc pas les responsables de traitement. Les développeurs agissent en général sous pseudonyme et dans le cadre d'une licence libre", explique William O'Rorke. A noter que la même question se pose concernant la qualification du sous-traitant du responsable du traitement. La réponse est la même : aucun ne peut être considéré comme un sous-traitant.
Le consentement clair : compatible
Clair et éclairé. L'article 7 stipule que "le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale." Pour Blandine Poidevin, avocate spécialisée dans les technologies de l'information et de la communication, la blockchain est l'outil idéal. "Chaque utilisateur vérifie et valide la donnée avant qu'elle ne soit ajoutée dans la blockchain. En plus, l'historique des transactions permet d'apporter la preuve du consentement", estime-t-elle.
Le privacy by design : compatible
Avoir un coup d'avance c'est bien, en avoir deux c'est mieux. Le RGPD a mis au cœur de son texte le privacy by design, un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d'un produit ou d'un service. Dans les blockchains publiques, les données et historiques des transactions sont accessibles à tous. "On pourrait croire que la transparence et le libre accès à la blockchain remettent en cause la sécurité et la confidentialité des données stockées. En réalité, les mécanismes de signature et d'horodatage numérique assurent leur intégrité", explique Blandine Poidevin.
Autre argument avancé par Blockchain Partner : les pseudonymes. "C'est une infrastructure qui impose le recours par défaut au pseudonymat et aux algorithmes de chiffrement", fait remarquer William O'Rorke. Par exemple, quand une personne génère sa clé privée (l'équivalent d'une signature sur un chèque) et une clé publique (comme un numéro de compte), elle n'existe pas pour le réseau bitcoin. Elle possède uniquement une adresse bitcoin valide qui peut être utilisée pour réaliser des transactions. A aucun moment, des données personnelles sont visibles. "Les blockchains Bitcoin et Ethereum sont des technologies qui tournent avec des millions d'utilisateurs, qui font transférer des sommes importantes sans collecter une seule donnée", indique William O'Rorke.
Le droit à l'effacement : incompatible
Le droit à l'oubli ne concernera plus seulement Google. L'article 17 stipule que "la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais." Les données inscrites dans la blockchain ne sont ni effaçables, ni rectifiables. Une fois que la transaction a été validée, impossible de revenir en arrière. Comme l'Open Data Institute l'explique : pour "supprimer une donnée, il faudrait que plus de la moitié des nœuds du réseau (les mineurs, ndlr) travaillent ensemble pour reconstruire la chaîne de blocs depuis le moment où la donnée a été ajoutée". Autrement dit, impossible car les mineurs sont répartis aux quatre coins du monde.
Conservation limitée des données : incompatible
Le principe de conservation limitée des données signifie que les données doivent être conservées "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées", d'après l'article 5 du règlement. Or, dans la blockchain, les données ne peuvent pas être effacées. Elles sont donc conservées à l'infini (sauf en cas de dysfonctionnement, ce qui n'est encore jamais arrivé).
Conclusion : incompatible... pour l'instant
La blockchain publique ne répond donc pas à toutes les dispositions du RGPD. Alors, comment faire ? Le laboratoire d'innovation numérique de la Cnil planche actuellement sur le sujet de la blockchain. Reste à savoir si des réflexions seront apportées avant le 25 mai, date de la mise en application du règlement.