• Partager

Blockchain et protection des données personnelles

Considérée par certains comme une « deuxième révolution numérique » et promise à un bel avenir, la blockchain se développe dans plusieurs secteurs y compris celui de la banque, de l’assurance, de l’industrie pharmaceutique, de la santé ou encore de l’immobilier. La technologie de la blockchain a d’ailleurs déjà été prise en compte par le législateur. En atteste notamment l’ordonnance1 permettant l’utilisation de cette technologie pour la représentation et la transmission des titres financiers. Pourtant, si la technologie de la blockchain connait un engouement particulier, son application pratique soulève de nombreuses questions, notamment en matière de protection des données personnelles.

Qu’est-ce que la blockchain ?

Définition.- La blockchain est définie officiellement comme un « Mode d’enregistrement de données produites en continu, sous forme de blocs liés les uns aux autres dans l’ordre chronologique de leur validation, chacun des blocs et leur séquence étant protégés contre toute modification »2.

La blockchain est donc une technologie de stockage et de transmission d’informations partagée, fonctionnant sous forme de réseau sans organe de contrôle centralisé ou tiers de confiance.

Elle fonctionne par le biais d’un processus dit de « minage » permettant l’enregistrement et la validation des informations ou transactions aboutissant à leur partage de façon transparente et sécurisée. Les données sont enregistrées et validées de façon décentralisée et sans aucun intermédiaire, par certains utilisateurs de la blockchain aussi appelés « mineurs ». L’enregistrement se fait sous forme de blocs dans l’ordre chronologique de leur validation, chacun des blocs étant protégés contre toute modification. Des technologies de chiffrement sophistiquées sont utilisées.

Enfin, la blockchain constitue un registre qui contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création.

Blockchain publique ou blockchain privée.- Historiquement, la blockchain est publique. Ce type de blockchain « ouverte » permet le partage d’une multitude de données avec un grand nombre d’utilisateurs de manière décentralisée, les utilisateurs étant difficiles à identifier. La blockchain publique est souvent associée à la crypto-monnaie comme le bitcoin.

Les blockchain privées ou consortium se sont également développées. Considérées comme étant « fermées », les blockchain privées permettent l’enregistrement, la validation et le partage de données par un nombre limité d’acteurs identifiés choisis par un ou plusieurs gérants, avec des possibilités de mise en œuvre modulables.

Quelles problématiques de conformité au RGPD ?

D’une part, les données enregistrées, validées et partagées via la blockchain sont susceptibles de concerner des personnes physiques identifiées ou identifiables.
D’autre part, si les utilisateurs sont difficiles à identifier, ils restent identifiables. En effet, la validation des transactions via la blockchain repose sur un système de chiffrement asymétrique permettant l’authentification des utilisateurs. A chaque utilisateur sont associées une clé publique et une clé privée, permettant l’accès à la blockchain par la lecture et l’écriture de l’information. L’identité de l’utilisateur auquel sont associées ces clés n’est en principe pas connue. Néanmoins ces clés sont propres à chaque utilisateur et susceptibles d’être considérées comme des données à caractère personnel au même titre que les adresses IP3 ou les adresses MAC4, dans la mesure où il reste possible d’identifier indirectement la personne concernée (notamment, par exemple, via la combinaison avec des informations supplémentaires à disposition du prestataire technique).

L’utilisation de la blockchain entrainant manifestement le traitement de données personnelles, elle soulève de nombreuses problématiques de conformité à la législation applicable en matière de protection des données personnelles et notamment au nouveau Règlement Général sur la Protection des Données (RGPD)5, en particulier en ce qui concerne la répartition des rôles et responsabilités, le transfert de données hors de l’Union européenne, la durée de conservation des données et le respects des droits des personnes concernées.

Répartition des rôles et responsabilités.- L’application du RGPD repose sur les qualifications de responsable de traitement6 et de sous-traitant7.

Dans une blockchain privée ou un consortium, les acteurs sont identifiés et la répartition des rôles et responsabilités peut donc être faite. Le responsable du traitement est l’organisme qui sélectionne la blockchain, définit son objectif, la met en œuvre et gère les habilitations qui permettent de rejoindre la chaîne. Dans le cas du consortium, il y aura plusieurs responsables de traitement conjoints qui devront définir leurs obligations respectives de manière transparente8. Ainsi, chaque acteur peut être contraint de respecter la réglementation dans un cadre défini.

La répartition des rôles et responsabilités est plus délicate dans le cadre de la blockchain publique, dans la mesure où il est impossible d’identifier tous les acteurs. En conséquence, on pourrait s’interroger sur la qualification des multiples mineurs du réseau : sont-ils responsables de traitement conjoints en ce qu’ils auraient déterminé en commun les finalités et les moyens dans la blockchain ? Ou faut-il les qualifier de sous-traitants ?

En outre, les acteurs de la blockchain sont-ils réellement susceptibles de remplir la qualité de responsable du traitement au sens du RGPD sachant que la blockchain se matérialise par un langage informatique qui permet à des machines de communiquer au moyen d’applications ? Dans la négative, seuls les tiers pourraient être appréhendés par la réglementation en matière de protection des données personnelles (par exemple, les services d’interface entre la blockchain et les utilisateurs).

Transferts de données.- Le RGPD exige par ailleurs que soit assuré un niveau de protection adéquat en cas de transfert de données en dehors de l’Union européenne9. Dans la blockchain privée ou le consortium, les acteurs étant identifiés, l’encadrement des transferts de données conformément à la législation est réalisable. En revanche, dans la blockchain publique, compte tenu en particulier de la multitude d’interlocuteurs en jeu et de la liberté de localisation inhérente à cette technologie, il est quasiment impossible de s’assurer que les garanties appropriées ont bien été mises en œuvre.

Conservation des données et droits des personnes.- Le RGPD dispose que les données personnelles peuvent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées10. Par conséquent, il est nécessaire de déterminer une durée de conservation adéquate et de mettre en place un système de suppression et d’archivage des données à l’expiration de celle-ci. Le RGPD octroie aussi un certain nombre de droits aux personnes concernées, parmi lesquels les droits de rectification et d’effacement des données11.

L’immuabilité des données et la transparence de la blockchain publique s’opposent par construction directement au principe de limitation de la conservation des données personnelles prévu par le RGPD et au respect des droits des personnes concernées.

La question a moins d’impact dans le cas d’une blockchain privée car elle pourrait par exemple être construite en intégrant les nécessités de suppression et de modification des données.

La blockchain soulève donc de nombreuses problématiques de conformité au RGPD. Néanmoins, la plupart de ces problématiques semblent pouvoir être réglées dans le cas d’une blockchain privée ou d’un consortium, dans la mesure où les principes du RGPD seraient pris en compte par les responsables de traitement dès la conception du projet (principe de « data protection by design »)12.

La blockchain au service du RGPD ?

Alors même que la blockchain est une technologie devant être conforme à la législation applicable en matière de traitement des données personnelles, la blockchain peut également trouver des applications au service de la protection des données personnelles.

Transparence et traçabilité.- La blockchain permet d’assurer la traçabilité des produits.

Elle pourrait donc être utilisée comme outil de traçabilité des actions réalisées sur des données personnelles par un responsable de traitement, favorisant ainsi le traitement transparent des données personnelles13, principe clé du RGPD.

Dans le même esprit, elle pourrait être utilisée afin de garantir la validité et la traçabilité du consentement des personnes concernées lorsque son obtention est nécessaire14 ou afin de garantir la validité et la traçabilité d’un registre des activités de traitement15.

Sécurité des données.- Par ailleurs, le RGPD prévoit une obligation de sécurité des données personnelles16. Or, comme indiqué précédemment, la blockchain repose sur les principes de sécurité et d’immuabilité des données. L’historique des transactions mis à jour par les utilisateurs est en principe infalsifiable et une technologie de chiffrement asymétrique est utilisée pour garantir le pseudonymat des utilisateurs.

Néanmoins, il doit être souligné que la sécurité et l’immuabilité des données dans la blockchain reposent sur le nombre et l’hétérogénéité des mineurs qui valident les transactions. Plus le nombre de mineurs est important, plus la blockchain est sécurisée et les données infalsifiables. C’est généralement le cas de la blockchain publique. En revanche, un nombre peu important d’acteurs rendrait une blockchain, principalement une blockchain privée ou un consortium, plus facilement corruptible. Dans ce cas, des mesures de sécurité complémentaires devraient être prévues lors de la conception du projet afin de pallier ce risque.

Au final, force est de constater que la blockchain s’inscrit nécessairement dans un cadre juridique et peut être appréhendée par celui de la protection des données personnelles.

Fabrice Naftalski (01 55 61 10 05), Sophie Revol (01 55 61 10 37) et Louise Fauvel (01 55 61 13 06)


1   Ordonnance n° 2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

2   Vocabulaire de l’informatique (liste de termes, expressions et définitions adoptés), JORF n° 0121 du 23 mai 2017, texte n°20

3   CJUE, 19 octobre 2016, C-582/14, Patrick Beyer c. Bundesrepublik Deutschland.

4   CNIL, délibération n° 2015-255 du 16 juillet 2015, JC Decaux.

5   Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

6   C’est-à-dire celui qui détermine seul ou conjointement avec d’autres les finalités et les moyens du traitement (Article 4-7 du RGPD).

7   C’est-à-dire celui qui traite des données personnelles pour le compte du responsable de traitement (Article 4-8 du RGPD).

8   Article 26 du RGPD.

9   Articles 44 et suivants du RGPD.

10  Article 5-1, e) du RGPD.

11  Articles 16 et 17 du RGPD.

12  Article 25 du RGPD.

13  Article 5 du RGPD.

14  Article 7 du RGPD.

15  Article 30 du RGPD selon lequel il est nécessaire, pour chaque responsable de traitement et sous-traitant, de tenir un registre des activités de traitement qu’il met en œuvre. Ce registre doit contenir un certain nombre d’informations concernant l’activité de traitement concernée (identité du responsable de traitement ou du sous-traitant concerné, finalité ou catégorie de traitement, transferts de données hors de l’union européenne, mesures de sécurité, etc.).

16  Article 32 du RGPD.

Retourner au sommaire | Imprimer cet articleImprimer l'ensemble de nos articles