Candidature spontanée

Envoyez-nous votre CV sous forme d'un fichier

ACTUALITES

Point Presse : Les blockchains confrontées au RGPD : 6 questions à se poser

posté le 22 mars 2018
Point Presse : Les blockchains confrontées au RGPD : 6 questions à se poser

Si le RGPD entre en application le 25 mai 2018, il apparaît que de nombreuses entités ne seront que pour partie ou pas du tout conformes aux nouvelles exigences. Qu’en est-il des organisations qui utilisent des blockchains  (BC) ? À quoi doivent penser les utilisateurs (et les fournisseurs) de cette technologie pour atteindre la conformité et respecter l’« accountability » ? Diverses questions se posent. Le point avec l’avocat Eric Caprioli.

 Blockchain privée ou de consortium versus blockchain publique

Lorsque la Blockchain (BC) est Publique, il n’y a pas d’intermédiaire et l’ensemble des participants a accès à la base de données distribuée et décentralisée. Ils ont la possibilité de la copier et de la modifier. Les BC hybride, de consortium ou privées réintroduisent un intermédiaire de confiance. Ainsi, dans une BC de consortium, si tout le monde a accès à une version de la base de données, les contributions et modifications doivent être autorisées, alors que dans une BC privée, l’accès et les modifications sont restreints aux seules personnes désignées, par ex. dans le cadre d’une organisation fermée. Dans une BC non publique, une seule personne assure la gouvernance et les responsabilités (y compris celles de responsable de traitement) contrairement aux BC publiques.

Traitements de données

En premier lieu, il faut s’interroger sur les données et traitements de données à caractère personnel qui figurent dans la BC en ce compris les éléments de contexte (ex : adresse d’un wallet). En effet, le RGPD s’applique dès lors qu’il est possible d’identifier directement ou indirectement une personne physique (art. 4.1 RGPD) dans le cadre d’un traitement, soit toute opération de la consultation, en passant par la collecte, l’organisation et l’extraction, jusqu’à l’effacement et la destruction (art. 4-2 RGPD).

A ce titre, on peut penser qu’il n’existe pas de données personnelles. Or, ce n’est pas parce que l’on utilise des clés privées et publiques pour signer des transactions ou des algorithmes de hachage pour l’intégrité, qu’aucune donnée personnelle ne fait l’objet d’un traitement. En effet, le pseudonyme peut identifier indirectement une personne physique ce qui impliquera un traitement de données. Dans ce prolongement, ne peut-on pas considérer que l’adresse bitcoin nécessaire pour réaliser des transactions permet d’identifier indirectement un individu ? Une cartographie des traitements est donc nécessaire pour tout projet de BC.

Gouvernance des données

Selon l’art. 4.7 du RGPD, le responsable du traitement (RT) est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Juridiquement, il est responsable. Mais dans le cadre d’un registre distribué et décentralisé, les concepteurs des applications et des smart-contractspeuvent-ils être considérés comme des responsables de traitements de données personnelles, alors qu’il n’y a pas d’organisation du contrôle ? Sans personne morale, comment un protocole peut-il être responsable ? Aujourd’hui, un certain nombre de tiers de confiance assume le rôle de responsable de traitement ou de sous-traitant. Or, leur disparition laisse une place vide que le droit a du mal à combler, sauf dans les BC privées et hybrides.

Les autres intervenants sur la blockchain ne peuvent pas non plus être qualifiés de RT, ni de sous-traitant (traitement des données pour le compte du RT, art. 4-8 RGPD), par exemple les mineurs dont le rôle est purement technique (calculs et vérification des blocs), les développeurs (sur des logiciels libres) ou les utilisateurs. Or, des obligations découlent des qualifications juridiques et des rôles des différents acteurs (tenue du registre, analyse d’impact, privacy by design, notifications, …).

Il en va de même de l’impossibilité de désigner un Délégué à la Protection des Données, réalisée par le RT et le sous-traitant (art. 37 RGPD) lorsque la nature, la finalité ou la portée des traitements exigent un suivi régulier et systématique à grande échelle des personnes concernées ou que les catégories de données particulières sont un traitement à grande échelle.

Le consentement de la personne concernée

En vertu de l’art. 7 RGPD : « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. » Les caractéristiques de la BC peuvent servir à remplir ces exigences d’un consentement libre, spécifique et éclairé au traitement de données étant donné que les données validées dans un bloc restent intègres et que leur traçabilité est assurée. La preuve de ce consentement pourrait ainsi être rapportée. Pourtant, en raison de l’anonymat et de l’utilisation de pseudonymes, il est peu probable que les personnes concernées consentent aux traitements réalisés dans le cadre de la BC.

S’agissant du droits des personnes

Conformément à l’art. 17 du RGPD relatif au « droit à l’effacement » (autrement dénommé, droit à l’oubli), les individus concernés peuvent demander l’effacement de leurs données. Le RT a l’obligation d’effacer ces données dans les meilleurs délais. Ce principe a été consacré par la Cour de justice de l’UE dans l’affaire Google Spain du 13 mai 2014, aux termes de laquelle une personne a le droit de s’adresser directement au moteur de recherche afin d’obtenir la suppression des liens vers des pages web contenant des informations portant atteinte à sa vie privée. Dans le cadre de la blockchain, il n’y a pas de dérogation à l’application de ce principe. En effet, comme nous l’avons exprimé précédemment, la blockchain est un registre public « inviolable » qui suppose la conservation des données sans possibilité de les effacer ou de les modifier. Ce qui est donc écrit dans la blockchain, c’est à dire une transaction validée, l’est pour toujours…

La conservation limitée dans le temps

La blockchain suppose la conservation des données dans le registre (public) sans possibilité de les effacer. Les promoteurs des BC publiques expliquent que l’un de leurs avantages consiste en la conservation intègre des blocs de données validées sans limitation de durée. La conservation s’opère de manière chronologique sans possibilité de modification des blocs. Ainsi, la conservation est sans limite. Pourtant l’art. 5 du RGPD dispose que « les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Ces quelques réflexions sur la protection des données n’ont pas vocation à épuiser le sujet bien au contraire (ex : portabilité des données, transferts hors UE ou quid d’un contrôle de la CNIL ?), mais plutôt de tracer quelques points à traiter dans tous les projets de blockchains.

Source : https://www.usine-digitale.fr/article/les-blockchains-confrontees-au-rgpd.N668549

 

Partagez sur les réseaux sociaux

Contact

Adresse

Immeuble le Monge,
22 Place des Vosges,
92979 - Paris La Défense
France

Nous contacter

+33 (0)1 70 92 23 00
contact@cms-g.com