Article co-écrit avec Hervé Gabadou (Associé Deloitte Société d’Avocats) et Jérémy Camilleri (Consultant FSI). 

En apparence, tout les oppose. Le RGPD protège la vie privée et les données et introduit un nouvel acteur : le délégué à la protection des données. La Blockchain stocke les informations de façon désintermédiée dans une base de données dont les transactions sont partagées et exposées publiquement. Une opposition supposée qui freine les initiatives en faveur de la Blockchain, jugée contraire aux fondamentaux de la réglementation. Pourtant, il est tout à fait possible de rapprocher la Blockchain des règles du RGPD !

Par souci de précision, il convient de distinguer le concept de Blockchain privée de celui de Blockchain publique. La Blockchain privée a pour caractéristique d’avoir un acteur central qui assure le contrôle de la participation des différents acteurs et de la validation par ceux-ci. Celui-ci peut répondre de la bonne exécution des règles imposées par le RGPD. Les différents droits imposés par le RGPD seraient donc de la responsabilité de « l’administrateur » et ce dernier pourrait être l’interlocuteur unique en cas de litiges. La version publique, popularisée notamment par le Bitcoin, n’a ni de filtre ni de limitation sur les potentiels participants. Ce qui fait la force des Blockchains publiques en fait paradoxalement le principal point de frottement avec les exigences du RGPD. Nous concentrerons notre propos sur les Blockchains publiques.

Une opposition de façade ?

Là où le RGPD légifère en faveur de la protection de la vie privée et des données, le système Blockchain publique met à disposition de tous, à tout moment, l’ensemble des transactions sur les informations stockées. Mais il ne s’agit que des transactions et non des données elles-mêmes, et le chiffrement des données y est systématique. Il n’y a donc a priori pas de contradiction !

Autre obstacle possible : l’immutabilité, voire l’irréversibilité, de la Blockchain semble s’opposer au « droit à l’oubli » tel qu’il est prévu par le RGPD. Il est de fait très compliqué de modifier ou de supprimer stricto sensu un bloc dans la Blockchain. C’est même contraire à un des piliers de la Blockchain et les seuls moyens seraient de recalculer la chaîne dans son intégralité en amont de l’évènement indésirable, voire de dupliquer la chaîne (le système garderait l’historique mais le comportement global se verrait modifié). Mais agir ainsi reviendrait à nier la raison même de la construction de la Blockchain.
Pourtant le système Blockchain n’est pas incompatible avec l’exercice du droit à la rectification des données. Si on ne peut pas modifier un bloc déjà existant, certaines techniques existent et sont utilisées aujourd’hui, comme ajouter une nouvelle transaction pour rectifier une entrée déjà présente. Peut-être faut-il revenir à l’esprit des textes du RGPD, et s’assurer de manière définitive que les données personnelles ne soient plus traitées contre la volonté des personnes concernées ?

Un autre frein possible au RGPD résiderait dans le rôle du « responsable de traitement des données », qui est le garant de la conformité des traitements des données personnelles au sein de l’organisation qui l’a désigné. Ce rôle a été conçu et pensé dans un écosystème centralisé, et semble contredire à première vue au principe de désintermédiation de la Blockchain publique. En effet c’est le système lui-même qui joue le rôle d’arbitre.

En fonction de la nature de la Blockchain concernée, plusieurs schémas de gouvernance sont possibles. Le premier responsable de traitement qui vient naturellement à l’esprit est le développeur à l’origine de la Blockchain : il a effectivement déterminé les moyens et les finalités du traitement de l’information. Mais quid des nœuds participants au système ? Quel est leur rôle dans le traitement des données ? Ne sont-ils que des musiciens jouant la partition du chef d’orchestre ou sont-ils également chefs d’orchestres pour le morceau de musique qui les occupent ?

Des débuts de solutions

La CNIL apporte de premières réponses à ces interrogations, dans une étude qui esquisse des débuts de solutions pour rapprocher la Blockchain publique des règles du RGPD.

Il y est suggéré que l’on qualifie le participant à la Blockchain de responsable conjoint, qui a un droit d’écriture sur la chaîne et qui participe au même traitement des données. La CNIL privilégierait la qualification de responsable conjoint et non celle de co-responsable de traitement à défaut de précision quant au cadre d’intervention des parties prenantes. Les mineurs ne seraient, quant à eux, que des utilisateurs et nullement des responsables de traitement dans la mesure où ils n’auront pas déterminé les finalités de la Blockchain.

On notera cependant que les participants n’interviennent pas toujours au même niveau que le créateur de la Blockchain : dans le cas d’un « Smart Contract », ils seront là pour exécuter le protocole défini par le créateur sur instruction ou non d’un participant.

Concernant le « droit à l’oubli » et la sécurisation des données une fois versée dans la Blockchain, la CNIL suggère un système en deux temps. D’abord, le stockage des données devra être au maximum sécurisé grâce aux dernières techniques de chiffrement. Ne pas stocker les informations en clair paraît une recommandation évidente. Dans un second temps, la CNIL recommande d’agir via la clé de chiffrement : en détruisant cette clé, plus aucun acteur (ni même le responsable du traitement) ne pourront comprendre la donnée. Celle-ci est donc rendue virtuellement indéchiffrable, ce qui est dans l’esprit d’une suppression ! L’utilisateur reste donc maître de ses données grâce au chiffrement inhérent au système Blockchain. Une autre piste est pour nous l’anonymisation des données. En effet, ces dernières vont perdre la qualité de donnée personnelle et ne permettront plus aucune exploitation en relation avec une personne. De fait, la donnée personnelle est supprimée : seule demeure l’information anonyme. Encore faut-il qu’elle devienne vraiment anonyme et ne demeure en aucun cas identifiante.

Ces pistes sont le tout début de la réflexion sur le sujet. En poursuivant ces études, on s’aperçoit qu’il n’y a pas une mais plusieurs Blockchain. L’analyse in concreto s’impose.
Pour les acteurs qui souhaitent se lancer dans la création d’une Blockchain, le RGPD doit être pris en compte mais ne doit pas pour autant décourager les initiatives. Par ailleurs, plutôt que se livrer à une lecture littérale du texte, il vaut mieux rechercher la volonté du législateur pour trouver des réponses aux écarts de conformité susceptibles de résulter de l’absence de prise en compte de telle ou telle avancée technologique. Il est inutile de rappeler à quelle vitesse évoluent les technologies. Elle n’est pas comparable avec le processus parlementaire. Seule la Softlaw permettrait cette flexibilité. Mais ceci est un autre débat…
L’expérimentation doit être encouragée, de préférence accompagnée d’une démarche spécifique apportée par un acteur de confiance qui veillera à une approche pragmatique de la réglementation.