Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?

La CNIL a reçu des demandes concrètes d’acteurs privés comme publics, provenant en particulier du secteur de la santé et des institutions financières et concernant à la fois des acteurs publics, de grandes entreprises ou des startups. Elle a pu constater, au cours de ces divers échanges, que la Blockchain

En effet, elle peut servir au transfert d’actifs (ex : Bitcoin ou titres de propriété), être utilisée comme un registre qui assure une traçabilité (ex : certification de diplômes) ou enfin pour le lancement d’un « contrat intelligent » (ou smart contract). Ce dernier terme désigne un programme autonome qui « fige » dans la Blockchain et sous la forme d’un algorithme

Si tous les projets de Blockchain n’impliquent pas de traitement de données à caractère personnel, en pratique, de nombreuses utilisations de cette technologie nécessitent la manipulation de ces données, tant au niveau du contenu que des informations liées aux participants.

En effet, une Blockchain peut contenir deux catégories de données à caractère personnel :

• l’identifiant des participants et des mineurs : chaque participant/mineur dispose d’une clé publique, ce qui permet d’assurer l’identification de l’émetteur et du destinataire

  destinataire

  Personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.

  d’une transaction ;
• des données complémentaires, inscrites « dans » une transaction (ex : diplôme, titre de propriété). Si ces données sont relatives à des personnes physiques, éventuellement autres que les participants, directement ou indirectement identifiables, il s’agit de données à caractère personnel.

Sur la base de cette distinction, la grille d’analyse habituelle du RGPD s’applique : identification du responsable de traitement

Le RGPD opère un changement de paradigme. Chaque acteur, responsable de traitement

Dans certains cas, ces technologies peuvent fournir des solutions efficaces à certains enjeux de protection des données. En effet, la CNIL a eu l’opportunité de rencontrer des offreurs de solutions proposant de s’appuyer sur les caractéristiques de Blockchains pour remplir efficacement certaines obligations que le RGPD met à la charge des responsables de traitement.

L’immuabilité des actions effectuées sur la Blockchain

Dans certains cas, ces technologies sont susceptibles de soulever des difficultés au regard du RGPD. Elles ne seront donc pas toujours la solution la mieux adaptée pour tous les traitements. Ainsi, certains points, tels que la mise en œuvre des obligations liées à la sous-traitance ou les règles encadrant les transferts internationaux de données personnelles, nécessitent une vigilance particulière des acteurs ayant recours à la Blockchain

Ces points d’attention font de la Blockchain une technologie dont il faudra très concrètement apprécier l’intérêt réel au regard des objectifs et des caractéristiques de chaque traitement. La CNIL appelle donc les acteurs à s’interroger très tôt, en application du principe de protection de la vie privée dès la conception des produits et des services (Privacy by design), sur l’opportunité de recourir, pour la mise en œuvre de leurs traitements, à la technologie Blockchain plutôt qu’à une technologie alternative.

Au-delà de la question du recours ou non à la Blockchain, le responsable de traitement

En effet, la CNIL constate que les Blockchains sont des objets protéiformes et que les choix opérés par le responsable de traitement (entre une Blockchain à permission ou une Blockchain publique, entre différents formats pour l’inscription de la donnée dans les blocs, etc.) peuvent impacter significativement, à la hausse ou à la baisse, les risques sur les droits et les libertés des personnes.

En ce qui concerne la qualification des acteurs, les travaux menés par la CNIL ont permis de constater que dans de nombreux cas, le participant (la personne qui décide de l’enregistrement d’une donnée sur la Blockchain) pourrait être considéré comme un responsable de traitement

S’agissant de l’exercice des droits, certains droits peuvent être exercés de manière effective telle que le droit d’accès et le droit à la portabilité. En ce qui concerne les droits à l’effacement, de rectification et d’opposition au traitement, la CNIL a pris connaissances des solutions technologiques, qui méritent d’être évaluées. Sans pouvoir conduire à des effets strictement identiques, ces solutions permettent de se rapprocher des exigences de conformité du RGPD, notamment en coupant l’accessibilité de la donnée en fonction du format choisi (engagement cryptographique, chiffrement, empreinte issue d’une fonction de hachage

Par ailleurs, les principes en matière de sécurité demeurent entièrement applicables dans la Blockchain.

En tout état de cause, la réalisation d’une étude d’impact relative à la protection des données (AIPD) pourra permettre d’analyser la nécessité et la proportionnalité du dispositif et d’identifier, le cas échéant, les cas pour lesquels d’autres solutions sembleraient plus adaptées.

• Pour aller plus loin, voir les premiers éléments d'analyse de la CNIL sur la Blockchain.

Les enjeux que présentent la Blockchain

Elle entend également se rapprocher d’autres régulateurs nationaux (AMF, ACPR) afin de poser les bases d’une interrégulation permettant aux acteurs concernés une meilleure lisibilité des diverses règlementations applicables à la Blockchain.