Les données personnelles sont-elles solubles dans la Blockchain?
Souvent présentée comme un des principaux obstacles au développement de la blockchain, la question du traitement des données personnelles a fait l’objet le 24 septembre 2018 d’une publication très attendue de la Commission Nationale de l’Informatique et des Libertés (CNIL) relative à un « usage responsable de la Blockchain en présence de données personnelles ». Cette publication de la CNIL avait été précédée d’une opinion de son homologue hongrois sur le même sujet en Juillet 2017.
A la lumière de ces deux avis, il est possible d’envisager des solutions de mise en conformité du fonctionnement de la blockchain avec les règles de protection des données personnelles dans l’attente d’une démarche de convergence européenne qui serait portée par la Commission européenne et le Contrôleur européen des données personnelles (CEDP). Convergence que le Parlement européen appelle de ses vœux dans sa résolution du 3 octobre 2018 sur les technologies des registres distribués et les chaînes de blocs (rapport Eva Kaili).
Le partage des responsabilités dans une blockchain
Le concept de Blockchain ou registre distribué (« distributed ledger technology, DLT « ) est résumé par la CNIL de la façon suivante : il s’agit d’une « base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l’ensemble des utilisateurs, depuis sa création ».
La Blockchain est avant tout un outil technologique permettant la réalisation de transactions (le Bitcoin, les Smartcontracts, les Blockchains de titres financiers en sont des exemples). Lorsque ces transactions impliquent des données permettant d’identifier directement ou indirectement des personnes physiques (les « personnes concernées »), le Règlement Général sur la Protection des Données n°2016/679 (RGPD) s’applique et ce que les serveurs de la Blockchain soient situés ou non en dehors du territoire de l’Union européenne. Ce sera en pratique très souvent le cas, que les données soient celles des utilisateurs ou de tiers à la Blockchain.
En pareille hypothèse, les deux autorités de contrôle française et hongroise s’accordent sur le fait que, dans le cadre de DLT publiques (ouvertes à tous) ou à permission (accessibles sous conditions), les utilisateurs ayant un droit d’écriture sur la Blockchain doivent être considérés comme « responsables de traitement », c’est-à-dire comme déterminant les finalités et moyens de l’utilisation des données personnelles, et en conséquence être directement tenus au respect du RGPD.
La CNIL précise en outre que les « mineurs », dans la mesure où ils se limitent à vérifier le respect de critères techniques à des fins de validation de la transaction, pourraient n’être considérés que comme des « sous-traitants », c’est-à-dire comme n’agissant que sur instructions du responsable et tenus à des obligations allégées au regard du RGPD. La même analyse s’impose s’agissant des développeurs du logiciel support de la DLT.
Les difficultés d’une conformité parfaite
Ces points étant posés, émerge la question des mesures nécessaires à la mise en conformité à la législation, étant rappelé que les sanctions encourues en cas de violation des règles posées par le RGPD s’élèvent désormais à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’exercice précédent. Sur ce sujet, les autorités constatent un certain nombre de difficultés pratiques, sur lesquelles des éléments complémentaires ont vocation à être fournis à une échéance encore indéterminée.
En premier lieu, la « sous-traitance » de la validation des transactions implique la formalisation d’une relation contractuelle conforme aux exigences du RGPD, laquelle peut s’avérer relativement aisée dans le cadre d’une DLT à permission n’impliquant que des personnes morales, ou plus complexe dans le cadre d’une DLT publique dans laquelle un (très) grand nombre de personnes physiques ou morales peuvent participer sous un pseudonyme voire de manière anonyme.
En second lieu, la décentralisation des opérations implique potentiellement l’existence de transferts des données des personnes concernées hors de l’Union européenne, ce qui nécessite la mise en place de garanties spécifiques avec les mêmes difficultés que vu précédemment.
En troisième lieu, les transactions sont inscrites de manière irréversible (il s’agit d’une des caractéristiques de la DLT qui en est par ailleurs l’un des intérêts) rendant difficilement applicable le « droit à l’oubli » consacré par les juridictions européennes (CJUE et Cour européenne des droits de l’Homme) et entériné par le RGDP en son article 17. Hors cas exceptionnel d’une obligation légale de rendre publique sans limitation de temps une information, cette caractéristique se heurte à l’impératif du RGPD de limiter la conservation des données personnelles au strict nécessaire à la réalisation de l’objectif visé (par exemple, la durée du contrat et la prescription applicable dans l’hypothèse d’un smartcontract ou, en matière bancaire et financière, la prescription des obligations réglementaires de connaissance client ou de lutte contre les abus de marché). Pour pallier cette problématique d’irréversibilité, il est donc indispensable de n’inscrire dans la DLT qu’une donnée « pseudonyme » (par exemple, un engagement cryptographique) liée à une identification de la personne concernée qui sera conservée à part (par exemple, sur les systèmes du responsable). A l’issue de la durée de conservation nécessaire ou encore en cas de demande d’effacement par la personne concernée, des résultats quasi équivalents à une suppression peuvent ainsi être atteints.
La nécessité de prévoir une possibilité d’intervention humaine pour le contrôle du respect du RGDP
Des recommandations très claires émergent sur certains aspects, en particulier la nécessité de permettre une intervention humaine pour remettre en cause toute décision automatisée ayant un impact juridique ou significatif qui serait prise dans le cadre de la DLT, ou encore l’interdiction -à des fins de sécurité- de contrôler plus de 50% des pouvoirs sur la chaîne.
Tout projet de DLT devra en tout état de cause intégrer les questions de protection des données, et ce dès le stade de la conception comme imposé par le RGPD (principe du « privacy by design »).
La convergence européenne sur le traitement des données personnelles et la blockchain comme levier de développement
Dans sa résolution sur les technologies des registres distribués et les chaînes de blocs, le Parlement européen relève que si le principe du droit à l’oubli n’est pas facilement applicable à la DLT en particulier lorsqu’elle est publique (par principe opérable par tous et lisible par tous), pour autant la technologie blockchain offre aux citoyens l’opportunité « de contrôler leur propres données et de décider quelles données partager dans les registres ainsi que la capacité de choisir qui d’autre peut avoir accès à ces données ». Le texte de la résolution ajoute que la DLT constitue grâce aux mécanismes de cryptage et de contrôle adaptés « un paradigme informatique capable de démocratiser les données et d’améliorer la confiance et la transparence ».
Ainsi dès lors qu’il est possible d’utiliser dans la Blockchain des techniques de « pseudonymisation », de chiffrement et de cryptage capables de répondre aux exigences de sécurité et de confidentialité consacrées par le RGDP, il semble envisageable de définir les fondements et principes d’une « identité numérique » assurant la protection des données personnelles des personnes concernées.
Les futures actions communes de la Commission européenne et du CEDP pour publier des orientations en la matière devraient permettre de favoriser la mise en place de telles identités numériques conformes à la législation de l’Union européenne sur la protection des données et, in fine, le développement des DLT dans un environnement juridiquement sécurisé.
Auteurs
Julie Tamba, avocat en droit de la propriété intellectuelle, Data Protection Officer
Karima Lachgar, avocat counsel Head of Market Intelligence & Regulatory Watch