RGPD et blockchain sont-ils inconciliables?
Après des mois de fébrilité, le moment tant attendu est enfin arrivé et le RGPD est entré en application le 25 mai dernier. Si chaque jour est propice à la découverte d’une nouvelle problématique, le RGPD sera-t-il un frein au développement et à l’adoption de la technologie Blockchain en Europe ?
Qu’est-ce que la blockchain ?
Il s’agit d’une technologie d’écriture, de stockage et de transmission d’informations, théoriquement transparente, sécurisée et décentralisée. Elle est pour l’instant très peu encadrée juridiquement.
Depuis 2016, le Gouvernement français n’est cependant pas resté inactif puisque deux ordonnances ont déjà été présentées – les décrets d’application doivent encore être publiés – pour tenter de la cerner et en préciser les conditions d’utilisation .
D’abord l‘ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse en propose une première définition ainsi qu’une assise légale en autorisant l’émission et le transfert de bons de caisse dématérialisés sur une Blockchain.
Depuis, l’article 120 de la loi Sapin 2 relative à la transparence, la lutte contre la corruption et la modernisation de la vie économique a habilité le Gouvernement à réformer le droit applicable aux titres financiers. Dès lors, l’ordonnance n° 2017-1674 du 8 décembre 2017 relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers a permis la mise en place d’un cadre juridique plus sécurisant concernant le transfert de propriété des titres financiers non cotés, des parts de fonds et des créances négociables.
La Blockchain trouve pour l’instant son principal intérêt dans le passage de transactions financières et la signature de smart contrats, (programme autonome permettant d’automatiser les procédures de contrats via l’exécution automatique de conditions préalablement définies et inscrites dans une blockchain) où ses avantages se manifestent le plus nettement.
Cependant la philosophie et les principes de fonctionnement de la blockchain entrent en contradiction avec plusieurs droits et obligations introduits ou renforcés par le RGPD.
L’anonymat total : vraiment ?
La question centrale est de savoir si la blockchain est susceptible de contenir des données à caractère personnel. Potentiellement oui !
En effet, le caractère chiffré des transactions et des échanges entre la chaîne et l’utilisateur agissant sous pseudonyme est souvent mis en avant pour garantir l’anonymat de ce dernier.
Cependant la blockchain peut contenir des informations à caractère personnel : tout d’abord, une transaction inscrite dans une blockchain peut contenir des données similaires à une signature permettant d’identifier une personne physique. D’autre part l’adresse publique d’un utilisateur fournit une information indirecte exploitable avec des moyens appropriés qui peut être croisée avec d’autres indices pour localiser un individu.
Dès lors, et selon l’article 2, lorsque des données à caractère personnel sont présentes, l’ensemble des dispositions du RGPD ont vocation à s’appliquer.
Des données gravées dans le marbre ?
Les transactions inscrites dans une blockchain ne peuvent, par construction de celle-ci, être effacées. Cette inaltérabilité des données entre en opposition avec les articles 16 et 17 du RGPD, notamment avec le droit à la rectification et le droit à l’effacement. En effet, les “blocs” contenant les informations sont à la fois liés les uns aux autres, et dupliqués sur de nombreuses machines (les “noeuds du réseau”) : c’est d’ailleurs là tout l’intérêt du système puisqu’il permet la décentralisation de la donnée et la prévention de sa falsification. Lors de l’ajout d’un bloc, son authenticité est vérifiée par l’ensemble des noeuds de réseau et validée sur le principe du consensus des 51%. Pour être tout-à-fait exact, la modification ou la suppression d’une transaction inscrite dans une chaîne de blocs publique est techniquement possible mais extrêmement exigeante et coûteuse : il faudrait pour cela qu’une majorité des “mineurs”, qui ont pour rôle d’enregistrer et de valider chaque transaction réalisée sur la chaîne de blocs, réécrivent simultanément (alors qu’ils sont géographiquement éparpillés) la chaîne à partir de la transaction concernée (ce qui mobiliserait des ressources et une puissance de calcul considérables).
Déterminer un responsable du traitement : la quête impossible ?
En conséquence de la conformité RGPD : comment déterminer le responsable de traitement au sein de la blockchain ?
Selon l’article 24 dudit règlement, ce dernier est la personne ou l’entité qui détermine les finalités et les moyens du traitement des données personnelles. Mais comment identifier celui-ci dans un système par construction décentralisé, sans administrateur pour orchestrer l’ensemble ?
Le fonctionnement d’une blockchain inclut au moins trois acteurs : les développeurs, les mineurs et les utilisateurs; mais aucun d’entre eux ne peut endosser ce rôle (sans parler de la difficulté posée par leur fréquent anonymat).
Quant à la blockchain en elle-même, il s’agit d’un protocole et non d’un logiciel : elle ne constitue donc pas un actif logiciel mettant en oeuvre un processus en soi.
Replacer le curseur sur le rattachement de la donnée à l’utilisateur
Cependant, ces obstacles a priori insurmontables ne le sont peut-être pas tout-à-fait si l’on constate les évolutions de l’exploitation de la technologie : en effet, le développement d’un quatrième acteur, intermédiaire entre l’utilisateur et la blockchain, ouvre une porte au RGPD. Ce dernier, dans le cadre d’un service (plateforme de change, portefeuille en ligne, outil de surveillance), capte nécessairement davantage d’informations sur l’utilisateur, mais a en même temps la possibilité de les manier, de les supprimer, et d’en répondre, avec l’existence tangible d’un responsable de traitement et/ou d’un délégué à la protection des données. On déplace donc le curseur de l’existence de la donnée à son rattachement à une personne, plus aisément gérable.
Quid du consentement ?
La blockchain pourrait apporter de nouvelles solutions mais également de nouveaux défis à la question du consentement, abordé à l’article 7. En effet, d’un côté les smart contractsavec cette technologie permettraient de graver dans le marbre le consentement des utilisateurs au traitement de ses données personnelles. Mais de l’autre, tout dépend du support de ces données : si elles sont stockées sur une chaîne de blocs plutôt qu’un support “classique”, le problème de la permanence de l’information évoquée plus haut demeure en cas de rétractation du consentement.
Le contournement par la blockchain privée
Une solution pour s’assurer d’être en conformité avec le RGPD passe par l’utilisation d’une blockchain privée ou de consortium. Dans ce cas de figure, un acteur – l’administrateur – détient la majorité ou l’intégralité de la puissance de calcul sur le réseau, et peut donc procéder aux modifications sans se heurter au nombre et à l’éparpillement des mineurs. Il gère également les droits de lecture et d’écriture des transactions. Il peut également s’agir d’un groupe restreint d’administrateurs coordonnés. La philosophie et une liste non négligeable d’avantages (décentralisation, sécurité, immuabilité, entre autres) de la blockchain sont alors sacrifiées à la nécessité de mise en conformité.