Le vendredi 25 novembre 2022 a eu lieu le premier Salon de la Blockchain du ministère de l’Intérieur (SBMI). Mathieu Weill, Directeur du Numérique du ministère de l’Intérieur et des Outre-mer, a déclaré qu’une réflexion sur la possibilité de se doter d’une blockchain est en cours au ministère. Ceci est le symbole de plus que cette technologie a définitivement le vent en poupe. La question qui se pose alors est : RGPD et Blockchain sont-ils compatibles ?
“Blockchain” est le terme générique pour désigner des protocoles informatiques servant à stocker et transmettre de manière sécurisée des grands volumes de données immuables, qui ont la particularité d’être partagés simultanément avec tous ses utilisateurs et qui ne dépendent d’aucun organe central. Par nature, une blockchain est conçue pour être publique, c’est-à-dire qu’elle est décentralisée et transparente pour l’ensemble de ses utilisateurs. Toutefois, il existe également des blockchains privées, dont les accès sont gérés par un administrateur, et des blockchains hybrides, dont les droits d’accès et d’écriture sont modulables. Notamment du fait de cette décentralisation, la Blockchain est qualifiée de technologie disruptive, au même titre que l’intelligence artificielle.
Grâce à ses performances, il est envisageable que tous les organismes ayant à traiter des volumes importants de données se dotent d’une blockchain. Or, en France et dans l’Union Européenne (UE), toutes les utilisations de données à caractère personnel, c’est-à-dire toute donnée permettant d’identifier directement ou indirectement une personne physique (nom, prénom, adresse IP, numéro de sécurité sociale, etc.), sont encadrées par le Règlement général sur la protection des données (RGPD), texte européen entré en application le 25 mai 2018. Ainsi, se pose la question de la compatibilité de la blockchain avec les exigences relatives à la protection des données personnelles par les dispositions du RGPD.
L’adoption du RGPD est née de la volonté de protéger les citoyens européens contre les abus de tout organisme, privé (typiquement les géants américains du numérique également appelés GAFAM) ou public, et de promouvoir la transparence quant à l’utilisation de leurs données personnelles. Cependant, la blockchain présente des particularités qui semblent contradictoires avec le RGPD, entre autres l’absence de hiérarchie entre les acteurs qui interviennent dans le traitement des données et le caractère pérenne des données enregistrées. Le RGPD s’articule autour de six grands principes, tous listés à l’article 5 : l’exigence de licéité, loyauté et transparence ; la limitation des utilisations possibles des données personnelles et leur minimisation ; l’exactitude et la qualité des données traitées ; une durée de conservation limitée dans le temps ; l’intégrité et la confidentialité des données. Nous analyserons si chacun de ces principes est compatible avec le fonctionnement d’une blockchain.
Licéité, loyauté et transparence (RGPD, art. 5, 1, a)
Le responsable du traitement (RT), à savoir toute personne physique ou morale traitant des données à caractère personnel, doit garantir le respect de trois principes :
● la licéité du traitement : le traitement n’est licite que s’il est justifiée par une base légale prévue à l’article 6 du RGPD ;
● la loyauté : le traitement des données doit correspondre en tout point au descriptif que le RT fournit à la personne concernée ;
● la transparence : le RT ne doit pas cacher à la personne concernée une utilisation de ses données et se tient à sa disposition pour répondre aux demandes d’exercice de droit.
En vertu du RGPD, c’est donc le RT qui a la charge de s’assurer du respect de ces principes. Par conséquent, il doit être clairement identifié. Or, une première difficulté se pose sur ce point. En effet, une blockchain repose sur l’interaction entre plusieurs acteurs avec une responsabilité plus ou moins égale dans le traitement, qui ne correspond pas à la répartition des tâches offertes par le RGPD entre responsable du traitement, responsable conjoint, sous-traitant ou tiers.
Ces acteurs sont : les « accédants », qui ont un droit de lecture et d’obtention d’une copie de la chaîne ; les « participants », qui ont un droit d’écriture (la création d’une transaction qu’ils soumettent à validation) ; les « mineurs », qui valident une transaction et créent les blocs en appliquant les règles de la blockchain. Tous peuvent potentiellement être qualifiés de RT. Fort heureusement, la Commission nationale de l’informatique et des libertés (CNIL) a tranché le débat. Elle a décidé que le participant peut être considéré comme RT du fait de son rôle de prendre l’initiative d’inscrire des données personnelles dans la blockchain.
Ainsi, il incombe au participant de mettre en œuvre des mesures pour assurer la licéité du traitement, sa loyauté et sa transparence. A priori, aucune difficulté ne se pose, car ces trois principes sont parfaitement adéquats avec le fonctionnement d’une blockchain. En effet, le principe même de cette technologie est de garantir une transparence totale de toutes les opérations, aussi appelées transactions, qui y sont réalisées. En outre, le protocole, c’est-à-dire les actions qu’il est possible de réaliser sur les données, est prévu en amont, et si ce protocole venait à être modifié, tous les utilisateurs en seraient informés. Ainsi, l’exigence loyauté est également respectée. Enfin, les bases légales prévues par le RGPD constituent la justification du recours à la technologie blockchain. Elles n’ont aucune conséquence sur le fonctionnement même de cette dernière.
La limitation des finalités et la minimisation des données (RGPD, art. 5, 1, b) et (RGPD, art. 5, 1, c)
L’article 5, 1, b. du RGPD dispose que toutes les données personnelles collectées par le RT doivent l’être pour “des finalités déterminées, explicites et légitimes”. Les finalités désignent l’objectif final, le résultat recherché par le RT à l’issue du traitement des données. Elles doivent être définies en amont du traitement et avoir été portées à la connaissance des personnes concernées. Ces dernières devront également être informées en cas de modification.
Une fois encore, ce principe est tout à fait compatible avec le fonctionnement d’une blockchain. En effet, elle est un protocole informatique, soit un ensemble normalisé de règles pour le formatage et le traitement des données, qui permettent une communication entre plusieurs terminaux informatiques. Une blockchain n’est qu’un moyen, un dispositif sur lequel un traitement de données personnelles peut être fondé, et non un traitement à part entière avec une finalité associée. Les finalités doivent être déterminées par le RT préalablement à son utilisation.
En ce qui concerne la minimisation des données, ce principe impose au RT de ne collecter que les données strictement nécessaires à la réalisation de la finalité prévue. La collecte de chacune d’elles doit être justifiée. Ce point n’est pas incompatible avec la blockchain, bien au contraire.
En effet, elle a d’abord été créée comme protocole pour supporter la crypto-monnaie Bitcoin. Elle n’était pas initialement prévue pour supporter des quantités massives de données, mais pour sécuriser un nombre limité et pertinent d’informations, à savoir une suite de chiffres qui correspondent à l’adresse publique du portefeuille de l’acheteur, afin de tracer les transactions. Ainsi, rien ne s’oppose à ce qu’une blockchain stocke un minimum de données possible. Il appartient au RT de déterminer en amont les types de données dont il a besoin pour réaliser les transactions prévues.
L’exactitude des données (RGPD, art. 5, 1, d)
En plus de leur pertinence, les données personnelles collectées se doivent d’être “exactes et tenues à jour si nécessaire”. Le RT doit garantir la qualité des données traitées et prévoir des mécanismes de remédiation en cas de données inexactes ou manquantes.
Une fois encore, le RGPD et la blockchain sont en adéquation sur ce point. Cette dernière peut être comparée à une base de données interactive. Or, bénéficier de données pertinentes et de qualité est la règle de principe d’une bonne base de données. De nombreux mécanismes existent pour garantir leur intégrité. On peut principalement mentionner les règles de “Proof-of-Stake” ou de “Proof-of-Work” selon le type de blockchain, qui sont des procédés informatiques complexes assurant une traçabilité et une journalisation automatisées à la pointe de l’état de l’art.
Une légère difficulté technique se pose toutefois pour le droit à la rectification. En effet, les données inscrites dans la blockchain sont immuables (ce qui est aussi problématique pour le droit à l’effacement, que nous détaillerons au IV). Il n’est pas possible de modifier directement une donnée inscrite. La seule solution possible consiste à générer une nouvelle transaction qui viendrait annuler et/ou remplacer les données préexistantes, permettant ainsi de modifier l’état final de l’ensemble.
La limitation de la conservation des données (RGPD, art. 5, 1, e)
Le RGPD exige que la conservation des données personnelles soit limitée dans le temps. Le RT doit impérativement prévoir, en amont de tout traitement, une durée de conservation précise (exemple : un an) ou des critères permettant de déterminer cette durée (exemple : la rupture des relations contractuelles).
Il s’agit du premier principe à ne pas être compatible avec la blockchain. En effet, comme nous l’avons dit précédemment, les données inscrites dans une blockchain sont immuables afin d’en garantir la sécurité. La raison est qu’une fois inscrites dans le protocole, les données sont reliées les unes aux autres et si une seule donnée n’est pas conforme, toutes celles ajoutées ensuite seront fausses également. Ce mécanisme permet de remonter la chaîne jusqu’au bloc défectueux pour le corriger.
Le droit à l’oubli, ou à l’effacement, pose une véritable problématique en ce sens, puisque s’il devient possible de supprimer des blocs, la blockchain perd son intérêt. Comme expliqué plus haut, pour qu’une transaction / donnée ne soit plus prise en compte, il faut créer un nouveau bloc et faire en sorte que l’algorithme prenne ce-dernier en compte, mais le bloc initial demeure. La seule solution possible dans l’état de l’art est d’anonymiser le bloc initial pour le faire sortir du cadre RGPD, par exemple en le chiffrant et en supprimant définitivement la clé de chiffrement. La compatibilité entre RGPD et Blockchain sur ce point dépend donc entièrement du caractère irréversible ou non de l’anonymisation réalisée à l’issue de la durée de conservation ou en cas d’exercice du droit à l’oubli.
L’intégrité et la confidentialité des données (RGPD, art. 5, 1, f)
Une blockchain est décentralisée et transparente par nature. Tous les utilisateurs, quelle que soit leur fonction ou leur zone géographique, peuvent potentiellement accéder à l’ensemble des transactions inscrites dans le protocole, et ainsi aux données que contiennent les blocs. Un protocole de ce genre n’est pas compatible avec la mise en œuvre de mesures de confidentialité.
Cependant, il existe deux autres types de blockchain :
● Les blockchains privées, qui bénéficient d’un réseau restreint, où existe un système de droits d’accès, de lecture et d’enregistrement des données. De facto, seules les personnes habilitées pourront consulter les données, ce qui répond à l’exigence de confidentialité.
● Les blockchains « consortium » ou « hybrides », à mi-chemin entre les types public et privé, où les décisions prises sur cette blockchain sont soumises au principe de majorité. Les droits d’écriture et de modification sont modulables et les utilisateurs peuvent décider de rendre certaines transactions publiques ou privées. Pour qu’une blockchain hybride soit compatible avec l’exigence de confidentialité, il faudrait que toutes les transactions demeurent privées. Or, il n’y aurait ainsi pas d’utilité à passer par une blockchain hybride. Autant privilégier une blockchain privée.
Si la blockchain représente de nouvelles opportunités dans le traitement de données, quelques points de tension avec le RGPD sont toutefois à relever. Il convient de s’y pencher en amont d’un recours à cette technologie, conformément à l’exigence de Privacy by Design (article 25 du RGPD),qui impose d’intégrer des mesures de protection des données personnelles dès la conception d’un projet qui en traiterait. Elle reste une technologie peu répandue dans les usages des entreprises. Le développement d’une telle solution technique implique dès lors une dimension expérimentale qui impose une vigilance particulière sur la sécurité et la conformité du projet.
L’équipe Cybersécurité de Devoteam vous accompagne dès à présent afin de prendre en compte l’ensemble de vos scénarii.
Pour savoir comment nous pouvons vous aider dans la mise en conformité de vos organisations, contactez nos experts en compliance.
