RGPD & Blockchain : la technologie est-elle conforme au règlement?

RGPD & Blockchain : la technologie est-elle conforme au règlement?

Auteur : Sonia ALLIK - Date de publication : mars 30, 2021

Le Règlement général sur la protection des données ou encore RGPD est un règlement de l’Union européenne entré en vigueur et applicable dans l’ensemble des Etats membres depuis le 25 mai 2018. Il a été pensé pour redonner aux individus le contrôle sur leurs informations personnelles et porte la responsabilité sur les acteurs en charge du traitement de ces données.

L’entrée en vigueur de ce règlement a vu naître de nouveaux métiers et de nouvelles responsabilités. La révolution de la technologie blockchain est en marche : c’est une technologie au potentiel de développement fort qui suscite de nombreuses questions, dont parfois celle de sa compatibilité au RGPD. Ainsi, la blockchain et le RGPD sont-ils compatibles? La technologie est-elle conforme au règlement? Lisez notre article pour avoir plus d’informations !

Petit rappel…

Le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données aussi appelé Règlement général sur la protection des données ou encore RGPD est un règlement de l’Union européenne entré en vigueur et applicable dans l’ensemble des états membres depuis le 25 mai 2018.

Il a été pensé pour redonner aux individus le contrôle sur leurs informations personnelles et porte la responsabilité sur les acteurs en charge du traitement de ces données. Il pose ainsi un cadre juridique en matière de protection des données personnelles et s’applique à tout type d’organisation implantée sur le territoire européen ou dont l’activité vise ses ressortissants.

Jusque là, la loi régissant ces données était la fameuse « Loi informatique et Libertés » du 6 janvier 1978. Le choix a été de maintenir cette dernière, par voie d’ordonnance, de manière à la rendre conforme au règlement du parlement européen. C’est de là qu’est née la nouvelle loi Informatique et Liberté du 20 juin 2018 qui reprend non pas l’intégralité du règlement mais une grande partie de ses dispositions et permet ainsi la conformité du droit national au droit communautaire.  

Dès l’entrée en vigueur du règlement, les organisations ont eu l’obligation de s’y conformer au risque de voir leur manquement sanctionné d’une amende pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel mondial. C’est pourquoi les organisations doivent à tout moment pouvoir prouver leur conformité en matière de protection des données personnelles.

Parmi les étapes préconisées par la Commission Informatique et Liberté (CNIL) pour réussir sa mise en conformité, on peut citer la désignation d’un délégué à la protection des données ou DPO (pas toujours obligatoire dans le secteur privé), la cartographie du traitement des données personnelles ou encore la tenue d’un registre des traitements.

L’entrée en vigueur de ce règlement a vu naître de nouveaux métiers et de nouvelles responsabilités et si certaines organisations ont redoublé d’efforts pour se mettre à jour, certaines ont pris du retard tandis que d’autres ont vu leur tentative de conformité chamboulée par l’avènement de la pandémie COVID-19.

Si cela n’a pas échappé à la CNIL qui donne sur son site internet les bonnes pratiques à suivre par les salariés et par leurs employeurs, il existe un autre sujet sur lequel elle s’est prononcée et qui demeure incertain :  la blockchain.

Cette technologie de stockage et de transmission fait parler d’elle depuis 2009 et semble s’être aujourd’hui popularisée puisqu’elle a bouleversé de nombreux secteurs mais peut-on librement l’utiliser ou existe-t-il des mesures à respecter lorsqu’interviennent des données à caractères personnelles?

En d’autres termes la blockchain et le RGPD sont-ils compatibles? La technologie est-elle conforme au règlement?

Afin de répondre à cette question, il convient tout d’abord de définir cette technologie.

Qu’est-ce que la blockchain?

La mission d’information commune sur les chaînes de blocs de l’Assemblée nationale définit dans son rapport d’information du 12 décembre 2018 la notion de blockchain comme « un registre, une grande base de données qui a la particularité d’être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire les données, selon des règles très spécifiques fixées par un protocole informatique très bien sécurisé grâce à la cryptographie. »

La blockchain est plus connue pour son utilisation dans le secteur financier. Elle s’est en effet développée dans les transactions de cryptomonnaies (dont le fameux bitcoin) et a pour caractéristique principale de ne pas dépendre d’un organisme centralisateur, telle qu’une banque centrale par exemple. On la retrouve dans de nombreux autres secteurs comme celui de la santé ou de l’assurance par exemple où la blockchain permet l’automatisation des procédures de remboursement et allège ainsi les formalités.

En résumé, comment fonctionne-t-elle?

● Des transactions sont envoyées à un ensemble d’ordinateurs appelé « noeud ». Tous les participants peuvent y accéder simultanément, à travers le monde. Ces transactions sont cryptographiées, ce qui empêche qu’elles soient interceptées.

● Elles sont stockées dans « une chaine de blocs » c’est-à-dire des blocs enchainés les uns aux autres ; par conséquent la modification d’un bloc entraine la modification de l’ensemble. Chacun contient l’historique du bloc précédent.

● Les transactions sont déchiffrées et authentifiées par des « mineurs », des individus ou sociétés qui effectuent du « minage », activité qui consiste à résoudre un problème cryptographique par calcul informatique.

En bref, la blockchain est une technologie qui permet de garder la trace d’un ensemble de transactions, de manière rapide, sécurisée, décentralisée, transparente et irréversible.

Quels risques représente cette technologie au regard des données personnelles ?

Aujourd’hui, une grande partie des données échangées à travers le monde contiennent des informations personnelles telles que l’identité ou le numéro de compte bancaire. Ainsi, de plus en plus de cas impliquent l’application du RGPD et par conséquent la protection de ces données à partir de leur collecte jusqu’au moment de leur traitement et de leur conservation.

Le règlement rappelle la mise en œuvre de cette protection à travers quelques principes :

L’information et le consentement des personnes concernées : elles doivent être informées en amont du processus de collecte, de manière à ce que que leur consentement puisse être donné de manière libre, éclairé et explicite. Ainsi, il doit être rappelé à l’utilisateur que ses informations seront stockées mais également pendant combien de temps et à quelles fins.

L’accès aux données : la personne ayant autorisé la collecte et le traitement de ses informations personnelles doit pouvoir avoir accès à ses données à tout moment afin de les modifier ou de les supprimer.

L’encadrement des données : les données volontairement partagées par un individu doivent être protégées de manière à ce que seules les personnes expressément autorisées puissent y avoir accès (les documents matérialisés contenant des informations personnelles doivent également être physiquement protégés). Le règlement souhaite ainsi éviter le partage et la circulation de ces données.

La sécurisation informatique des données : tous les moyens possibles doivent être mis en oeuvre afin d’assurer la sécurité de ces données sur le plan informatique pour éviter leur piratage.

La proportionnalité du traitement : les informations demandées doivent être en adéquation avec la finalité de leur utilisation.

La durée de conservation des données : la conservation illimitée des données à caractère personnel est interdite. La durée de conservation dépend de la finalité poursuivie mais il existe des cas pour lesquels le législateur s’est exprimé, c’est le cas par exemple de l’article L3243-4 du Code du travail qui fixe à 5 ans la conservation d’un exemplaire du bulletin de paie d’un salarié par son employeur. Afin d’aider les professionnels à trouver cette durée, la CNIL a publié un guide.

Ces principes sont-ils respectés dans le cadre de l’utilisation de la Blockchain ?

Est-il possible de modifier ou supprimer ses informations personnelles stockées dans une blockchain, comme l’impose le règlement?

La réponse est non, qu’il s’agisse d’une blockchain publique ou d’une blockchain privée.

La première est, comme son nom l’indique, consultable par tous et tout utilisateur peut la rejoindre (après quelques formalités comme le téléchargement de la charte de fonctionnement du réseau par exemple). Le réseau est donc libre d’accès. Avec ce type de blockchain, il est difficile de savoir qui a accès aux données puisque ces dernières sont cryptées mais pas anonymes. La conformité au règlement semble donc défaillante sur ce point.

Quant à la seconde, l’accès à son réseau est limité par un organe de contrôle (contrairement à la  blockchain publique qui est décentralisée). Les membres de ce réseau sont sélectionnés par ce dernier. Les données échangées par blockchain privée ne sont donc accessibles qu’aux participants autorisés.

Ce type de blockchain est donc un peu plus « contrôlé » et peut s’apparenter à une base de données classique mais cela ne la rend pas 100% conforme puisqu’il faudrait à minima pouvoir effacer les données. Or, une des particularités même de cette technologie est que ses données sont « infalsifiables » et « indélébiles ». On ne peut donc ni les modifier ni les supprimer, une fois l’information enregistrée.

Le droit à l’oubli est donc impossible au regard de cette technologie.

Quels préconisations pour assurer la conformité?

La CNIL a eu l’occasion de se prononcer sur le sujet puisqu’elle a, en septembre 2018, rendu publique ses premiers éléments d’analyse sur la blockchain et sa comptabilité au RGPD.

Voici la synthèse de ses recommandations en la matière :

● Préférer les moyens de stockage et traitement des données personnelles traditionnelles qui ne soulèvent pas de difficultés au regard du RGPD ou recourir à une technologie alternative si possible. C’est ce que rappelle le principe de Privacy by Design (ou protection des données dès la conception) de l’article 25 du règlement.

● Si l’utilisation de cette technologie est nécessaire, stocker les données avec des « fonctions de hachage à clé » ou de chiffrement pour les rendre illisibles.

Privilégier l’utilisation d’une blockchain privée afin de minimiser les risques sur les droits et les libertés des personnes.

● Si un utilisateur souhaite effacer ses données, tout simplement détruire la clé de chiffrement pour supprimer l’information virtuellement.

● La CNIL conseille la réalisation d’une analyse d’impact relative à la protection des données (AIPD) afin d’analyser la nécessité de l’utilisation de cette technologie, montrer les risques encourus et d’identifier les cas pour lesquels d’autres solutions sembleraient plus adaptées.

Conclusion :

Si la CNIL s’est saisie de la problématique de la Blockchain, ce n’est pas le cas de tous ses correspondants européens. En effet, le RGPD est une problématique européenne et appelle donc à ce que les autorités compétentes des Etats membres s’expriment ensemble et officiellement sur le sujet afin d’obtenir un cadre définitif et harmonisé en la matière.

Néanmoins, on retient qu’elle considère que la blockchain n’est pas une technologie à privilégier, mais dans le cas où il ne serait pas possible de stocker et traiter les données personnelles autrement, alors il faut privilégier la blockchain privée et garder en tête qu’en cas de demande de modification, seule la suppression de la clé de chiffrement sera envisageable.

Enfin, l’objet du règlement européen porte sur la protection des données personnelles et non sur le type de technologie utilisée lors de leur phase de collecte et de traitement. Puisqu’il est question de la responsabilité des acteurs en charge de ces données, on peut alors tout à fait considérer que tant que les dispositions du règlement sont respectées la technologie utilisée importe peu.