Blockchain et RGPD : la Cnil a fourni ses premiers éléments d’analyse concernant l’articulation de la blockchain avec le Règlement général sur la protection des données.
La blockchain : les solutions pour un usage responsable en présence de données personnelles
Un responsable du traitement
La Cnil qualifie de responsable du traitement les participants qui sont ceux ayant un droit d’écriture, c’est-à-dire créant une transaction qu’ils soumettent à validation.
Quand le participant est :
- une personne physique : il sera responsable du traitement quand le traitement de données personnelles est en lien avec une activité commerciale ou professionnelle ;
- une personne morale : il sera responsable du traitement quand il inscrit une donnée à caractère personnel sur la blockchain.
A contrario, les mineurs ne sont pas responsables du traitement. Ils ne font que valider une transaction et créent les blocs en appliquant les règles de la blockchain afin qu’ils soient « acceptés » par la communauté.
Responsables de traitement conjoints
Quand un groupe de participants décide de mettre en œuvre un traitement ayant une finalité commune, la Cnil recommande que le responsable de traitement soit identifié en amont :
- création d’une personne morale sous forme d’association ou de GIE ;
- identification d’un participant qui prend les décisions pour le groupe et sa désignation comme responsable de traitement.
A défaut d’identification en amont du responsable du traitement, tous les participants pourraient être considérés comme ayant une responsabilité conjointe, conformément à l’article 26 du RGPD. Dans ce cas, ils devront définir de manière transparente les obligations de chacun aux fins d’assurer le respect de la règlementation.
L’importance d’identifier en amont le responsable du traitement réside dans la nécessité d’assurer un point de contact pour l’exercice des droits des personnes concernées et pour les autorités de contrôle.
Qualification de sous-traitant
Sont des sous-traitants au sens du RGPD :
- les développeurs de « smart contract » qui traitent des données à caractère personnel pour le compte du responsable de traitement ;
- les mineurs, dans certains cas, car ils exécutent les instructions du responsable de traitement lorsqu’ils vérifient que la transaction respecte des critères techniques.
Concernant la blockchain publique, la Cnil mène une réflexion approfondie sur la qualification des mineurs comme sous-traitants et encourage le développement de solutions innovantes sur ce sujet.
La minimisation des risques pour les personnes lorsque le traitement s’appuie sur une blockchain
Réflexion en amont sur la nécessité d’une blockchain publique
Le principe de «privacy by design» impose une réflexion en amont du responsable de traitement sur la pertinence du choix de cette technologie pour la mise en œuvre de son traitement.
Dans la mesure où des participants, mineurs ou non, puissent être situés hors de l’Union européenne, la Cnil recommande de privilégier une blockchain à permission, plutôt qu’une blockchain publique, dans laquelle les solutions d’encadrements des transferts, telles que les clauses contractuelles types ou les règles d’entreprise contraignantes, sont applicables. Or, ces solutions seraient plus difficiles à mettre en œuvre dans les blockchains publiques où le responsable de traitement peut difficilement exercer un contrôle sur la localisation des mineurs.
Le bon choix du format sous lequel la donnée sera inscrite
Le RGPD établit des principes de minimisation des données, incluant un principe de pertinence des données et de limitation à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, et de définition de durée de conservation.
Il existe deux grandes catégories de données à caractère personnel dans la blockchain qui sont :
- Les identifiants des participants et des mineurs. Les durées de conservation sont alignées sur celles de la durée de vie de la blockchain ;
- Les données complémentaires (ou « la charge utile »). Les données complémentaires stockées sur la blockchain peuvent contenir des données des données à caractère personnel.
La Cnil recommande :
- L’enregistrement des données dans la Blockchain, de préférence sous forme d’engagement cryptographique ;
- A défaut, un enregistrement sous la forme d’une empreinte obtenue avec une fonction de hachage à clé ;
- A minima, un chiffré.
Blockchain et RGPD : l’exercice effectif des droits
Plusieurs droits du RGPD sont entièrement compatibles avec la blockchain, parmi lesquels le droit à l’information qui impose au responsable de traitement de fournir une information concise, aisément accessible et formulée en des termes clairs, le droit d’accès et le droit à la portabilité.
Pour l’exercice des autres droits du RGPD, des solutions techniques existent permettant de se rapprocher d’une conformité du RGPD. Concernant le droit à l’effacement, il sera impossible d’y parvenir totalement mais possible de s’en rapprocher par différents moyens. Il est recommandé de ne pas inscrire une donnée à caractère personnel en clair sur la blockchain et de privilégier le recours à un des procédés cryptographiques.
En matière de droit à la rectification, il sera possible d’y parvenir en inscrivant la donnée mise à jour dans un nouveau bloc dans la mesure où une transaction ultérieure peut toujours annuler la première transaction même si cette dernière apparaîtra toujours dans la chaîne.
Les exigences en matière de sécurité
Pour les blockchains à permission, la Cnil recommande de déterminer un minimum de mineurs permettant d’assurer l’absence de coalition permettant de contrôler plus de 50% des pouvoirs sur la chaîne.
Dans le but de limiter l’impact sur la sécurité des transactions de l’éventuelle défaillance d’un algorithme, la Cnil recommande de mettre en place des procédures techniques et organisationnelles, y compris un plan d’urgence à mettre en œuvre permettant de modifier les algorithmes quand une vulnérabilité est identifiée.
Dans le cas des blockchains non publiques, une vigilance particulière devra être portée sur les mesures mises en œuvre pour assurer la confidentialité.
Marie Soulez
Solène Gérardin
Lexing Propriété intellectuelle contentieux