Selon la CNIL, blockchain et RGPD ne sont pas forcément incompatibles

La CNIL a publié Le 24 septembre de “premiers éléments d’analyse” concernant la blockchain, un peu plus d’un an après la publication sur son laboratoire d’innovation numérique d’un article baptisé “blockchain et RGPD, une union impossible ?”, et le régulateur se révèle désormais plus mesuré sur le sujet. Si la blockchain en tant que réseau décentralisé complexifie la définition des rôles de chacun quant à la gouvernance des données, la CNIL constate que “les participants peuvent être considérés comme responsables de traitement” car ils “déterminent les finalités et les moyens mis en oeuvre”. Les participants peuvent être des personnes physiques ou une personne morale (une banque, par exemple).

Quand un groupe de participants décide de mettre en oeuvre un traitement sur la blockchain, alors la CNIL recommande d’identifier le responsable de traitement en amont, à défaut de quoi tous les participants auront une responsabilité conjointe. Les développeurs de contrats intelligents (smart contracts) ou les mineurs peuvent être considérés comme sous-traitants au sens du RGPD, ajoute la CNIL.

Pour minimiser les risques de non-respect du RGPD, la CNIL recommande de mener une réflexion sur la nécessité de recourir à une blockchain et notamment à une blockchain publique et de bien choisir le format d’inscription de la donnée. Le régulateur conseille notamment de ne pas inscrire de données à caractère personnel en clair sur la blockchain et de recourir à des procédés cryptographiques.