Depuis quelques années, la Blockchain a le vent en poupe. Cette technologie s’est imposée dans de nombreux secteurs, afin d’améliorer la traçabilité et la sécurisation des transactions. Cependant, parce qu’elle implique l’utilisation et le stockage de données personnelles, la question de sa conformité au RGPD se pose. Alors, Blockchain et RGPD, compatibles ou pas ?
Qu’est-ce que la Blockchain ?
La Blockchain une technologie de stockage et de transmission d’information qui ne dépend d’aucun organisme centralisateur. Elle est utilisée dans de très nombreux secteurs : par exemple le secteur financier, notamment pour les transactions de crypto monnaies, ou encore dans le secteur de la santé, où elle permet d’automatiser les procédures de remboursements.
Concrètement, dans la Blockchain, toutes les écritures, appelées « transactions » sont regroupées sous la forme de blocs enchaînés les uns aux autres. À chaque transaction, un bloc doit être validé par un ensemble d’ordinateurs grâce à des techniques cryptographiques, et ce afin que les informations ne soient pas interceptées. Le bloc est ensuite daté et ajouté dans la chaîne des blocs (blockchain) et devient visible de tous les utilisateurs
La particularité de la technologie Blockchain est qu’elle retrace l’historique de tous les échanges effectués depuis l’ouverture d’une chaîne de blocs. Elle garde donc la trace des transactions de manière irréversible.
Blockchain et RGPD : peut-on parler de conformité ?
Aujourd’hui, une grande partie des données échangées en ligne contient des informations personnelles (identité, numéro de compte bancaire…) et les informations qui transitent par la Blockchain ne font pas exception. On le sait, le RGPD encadre le traitement de ces données personnelles par des principes stricts. Ainsi, les personnes concernées doivent être informées de la collecte et donner leur consentement ; elles doivent avoir accès à leurs données, pouvoir les rectifier ou les supprimer. Les données doivent elles-mêmes être sécurisées et conservées durant une durée limitée seulement, et consultable seulement par les personnes autorisées.
Or, par sa nature même, la Blockchain déroge à certains de ces principes :
- L’irréversibilité de la Blockchain, qui conserve indéfiniment les données, est incompatible avec la possibilité pour les personnes de les modifier ou les supprimer. Elle est également incompatible avec une durée limitée de conservation des données – et ce, que la Blockchain soit publique ou privée.
- Dans le cadre d’un réseau Blockchain public, il est impossible de savoir qui a accès aux données, ce qui constitue une entorse à leur sécurité. Par ailleurs, les données sont cryptées mais pas anonymes, ce qui pourrait présenter un risque pour la sécurité des personnes. Dans une Blockchain privée, c’est-à-dire limité par un organisme de contrôle qui n’ouvre l’accès qu’à des personnes autorisées, ce risque est moindre.
Que dit la CNIL ?
La CNIL considère que la Blockchain n’est pas la technologie de stockage la plus à même de respecter la vie privée des personnes. Elle recommande ainsi d’utiliser de préférence une technologie alternative. Si ce n’est pas possible, il est nécessaire de recourir à un chiffrement des données pour les rendre illisibles – le chiffrement constitue d’ailleurs aussi le meilleur moyen de sécurisation dans une technologie de stockage plus traditionnelle. Bien évidemment, la Blockchain privée est à privilégier afin de minimiser les risques d’atteinte aux droits et libertés des particuliers.
Certains aspects du protocole Blockchain sont cependant bien compatibles avec le RGPP. Ainsi, le recueil du consentement des utilisateurs, dont l’historique de transaction permet d’apporter la preuve. Mais quid de la suppression de leurs données personnelles ? Comme nous l’avons vu, c’est impossible dans la Blockchain. Même si les données sont chiffrées, respectant de fait le principe du privacy by design, elles y restent inscrites définitivement. Seule alternative pour se rapprocher des exigences du RGPD : supprimer la clé de chiffrement, afin que les informations, à défaut d’être effacées, ne puissent plus jamais être lues.
Par ailleurs, la Blockchain n’ayant personne à sa tête du fait de son fonctionnement horizontal, elle ne peut pas être considérée comme un responsable de traitement, c’est-à-dire « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. » De fait, qui porte cette responsabilité ? Les travaux de la CNIL ont conclu que, dans de nombreux cas, ce sont les participants, c’est-à-dire ceux qui créent les transactions pour les soumettre à validation, qui peuvent être considérés comme tel. Jusqu’à présent, la Blockchain n’est donc pas totalement compatible avec le RGPD et il convient d’apprécier l’intérêt de son utilisation au cas par cas. La CNIL attire par ailleurs notre attention sur la nécessité d’une analyse d’impact lorsque la Blockchain contient des informations personnelles, afin d’analyser la nécessité et la proportionnalité du dispositif relativement aux objectifs poursuivis.
