RGPD : la CNIL adopte une position conciliante vis-à-vis de la technologie blockchain

Un certain soulagement a accompagné la lecture des “premiers éléments d’analyse” de la CNIL sur la blockchain. Un article publié en août 2017 sur la page de son laboratoire d’innovation (Linc), et intitulé “Blockchain et RGPD, une union impossible ?“, laissait pointer une relative tiédeur vis-à-vis de la technologie. Pour William O’Rorke, fondateur du cabinet Blockchain Legal Avocats et membre actif de La Chaintech, la CNIL “a bien compris techniquement comment fonctionne une blockchain et les limites techniques“.

L’autorité administrative se pose la question de savoir comment traiter les données personnelles sur une Blockchain publique (des adresses publiques par exemple). Ces données se multiplient sous l’effet de l’industrialisation du secteur, des enjeux réglementaires (KYC) et du recours à la blockchain comme registre pour des cas d’usage liés à la notarisation, souligne l’avocat.

La CNIL répond d’abord à la question de savoir qui est responsable de traitement dans la Blockchain. Elle considère que “les participants peuvent être considérés comme responsables de traitement” car ils “déterminent les finalités et les moyens mis en oeuvre”. Les participants peuvent être des personnes physiques ou une personne morale (une banque, par exemple).

Quand un groupe de participants décide de mettre en oeuvre un traitement sur la blockchain, alors la CNIL recommande d’identifier le responsable de traitement en amont, à défaut de quoi tous les participants auront une responsabilité conjointe. Les développeurs de contrats intelligents (smart contracts) ou les mineurs peuvent être considérés comme sous-traitants au sens du RGPD, ajoute la CNIL.

Dans le cas d’une Blockchain publique, la question du droit à l’effacement – un sujet majeur lié au RGPD –  a toujours suscité de vifs débats. “Pour moi, c’est une mauvaise question. En réalité, la Blockchain publique est un protocole informatique. Pour faire un parallèle avec Internet, personne ne songe à appliquer le RGPD aux protocoles TCP/IP ou SMTP“, estime William O’Rorke. “La Blockchain n’est pas un responsable de traitement. Les services (des plateformes d’échange ou des services de certification par exemple) qui sont sur la Blockchain, et qui sont souvent des sociétés commerciales, respectent eux le RGPD“. 

Comment faire droit à une demande d’effacement lorsqu’une donnée personnelle se retrouve effectivement inscrite sur la Blockchain ? Tout en jugeant nécessaire “une évaluation approfondie“, la CNIL évoque des solutions techniques qui viendraient couper le lien entre la donnée et la Blockchain pour faire cesser le préjudice (via la suppression d’éléments permettant la vérification). Une autre piste serait de stocker la clé de déchiffrement hors de la Blockchain et ainsi de pouvoir rendre la donnée anonyme en détruisant cet élément. C’est ce qu’expérimente BC Diploma par exemple, un service de certification des diplômes sur la Blockchain Ethereum. “On peut aussi imaginer la possibilité de demander aux solutions qui permettent d’accéder à la Blockchain (les explorateurs du type Blockchain.info ou Etherscan) de rendre la donnée personnelle inaccessible, comme on le fait aujourd’hui auprès de Google sous certaines conditions“, suggère William O’Rorke.   

Dans l’immédiat, pour minimiser les risques, la CNIL recommande de mener une réflexion sur la nécessité de recourir à une blockchain et notamment à une Blockchain publique. “Il convient de privilégier une Blockchain à permission qui permet d’avoir une meilleure maîtrise sur la gouvernance de la donnée personnelle, s’agissant notamment des transferts hors UE“, écrit la CNIL. L’autorité conseille aussi de bien choisir le format d’inscription de la donnée, de ne pas inscrire de données à caractère personnel en clair sur la blockchain et de recourir à des procédés cryptographiques.