La Commission nationale de l’informatique et des libertés (CNIL) a publié le 24 septembre 2018 ses premiers éléments d’analyse concernant le traitement de données à caractère personnel par les technologies utilisant la blockchain.
La CNIL définit la blockchain comme une base de données dans laquelle des données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées, appelées "transactions", sont inscrites dans un registre et visibles de l'ensemble des utilisateurs depuis sa création.
La CNIL rappelle que trois types de blockchain peuvent être distinguées, selon le niveau de permission des participants :
- les blockchains publiques accessibles à toute personne dans le monde ;
- les blockchains à permission qui ont des règles définissant les conditions de participation ;
- les blockchains privées qui sont sous le contrôle d’un unique acteur assurant seul le contrôle, la participation et la validation des transactions. Pour la CNIL, il s’agit de simples bases de données distribuées.
Dans son rapport, la CNIL exclut de son analyse les technologies de registres distribués ou DLT (distribute ledger technology) et se concentre sur la seule technologie blockchain.
Bien que l’utilisation de la blockchain ne constitue pas en soi un traitement de données à caractère personnel, la réglementation sur la protection des données a vocation à s’appliquer : le règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 dite "informatique et libertés").
Les différents acteurs de la blockchain doivent donc respecter les droits et obligations prévus par ces textes lorsqu’ils sont amenés à traiter des données personnelles.
Or, les caractéristiques de la technologie blockchain ont une incidence particulière sur la manière dont les données sont traitées, notamment sur la détermination de la responsabilité des acteurs, la durée de conservation des données, les transferts en dehors de l’Union européenne la sécurité du traitement ainsi que l’exercice des droits des personnes concernées.
Dans ses premiers éléments d’analyse, l’Autorité entend proposer des solutions concrètes.
Typologie des acteurs et des données concernées
La CNIL distingue trois catégories d’acteurs de la blockchain :
- les "accédants", qui disposent d’un droit de lecture et d’obtention d’une copie de la chaîne ;
- les "participants", qui disposent d’un droit d’écriture (la création d‘une transaction qu’ils soumettent à validation) ;
- les "mineurs", qui valident une transaction et créent les blocs conformément aux règles de la blockchain.
Elle relève qu’en pratique, de nombreuses utilisations de cette technologie nécessitent la manipulation de données à caractère personnel, notamment :
- les données d’identification des participants et des mineurs ; et
- les données complémentaires inscrites dans une transaction lorsqu’elles sont relatives à des personnes physiques, directement ou indirectement identifiables.
Détermination du responsable de traitement
La détermination du responsable du traitement est essentielle puisque c’est sur lui que reposent la plupart des obligations relatives à la protection des données.
Or, la pluralité d’acteurs et la décentralisation de la gouvernance des données rend la définition des rôles particulièrement complexe. La CNIL propose une grille de lecture pour y parvenir.
Elle considère ainsi que les participants (personne morale ou personne physique agissant dans le cadre d‘une activité professionnelle) peuvent être qualifiés de responsables de traitement dans la mesure où ils disposent d’un droit d’écriture sur la chaîne et décident de soumettre une donnée à la validation des mineurs.
Les participants peuvent également être considérés comme responsables conjoints lorsqu’ils décident de mettre en œuvre un traitement ayant une finalité commune. Plus particulièrement, la CNIL précise que si le groupe de participants n’a pas désigné l’un d’entre eux comme responsable de traitement, ce qu’elle recommande, tous les participants seront considérés comme ayant une responsabilité conjointe. Ils devront alors se conformer aux obligations prévues par l’article 26 du RGPD.
Les mineurs ne sont pas considérés comme responsables de traitement lorsque leur rôle se limite à la validation des transactions soumises par les participants.
La CNIL précise qu’ils peuvent être considérés comme des sous-traitants au sens de l’article 28 du RGPD, notamment lorsqu’ils exécutent les instructions du responsable de traitement en vérifiant que la transaction respecte des critères techniques.
De la même manière, le développeur d’une solution utilisant une technologie blockchain, tel que le smart contract, sera considéré comme un sous-traitant s’il traite des données pour le compte du responsable de traitement.
Cette qualification implique que les mineurs et certains fournisseurs de solutions reposant sur la blockchain devront conclure avec le participant un contrat reprenant les dispositions de l’article 28 du RGPD.
Minimisation des risques pour les personnes
Avant d’avoir recours à la blockchain, le responsable de traitement doit réfléchir à la pertinence de son choix, particulièrement lorsqu’il s‘agit d’une blockchain publique.
Si les propriétés de cette technologie ne sont pas nécessaires pour atteindre l’objectif recherché par le responsable de traitement, la CNIL recommande d’utiliser d’autres solutions permettant d’assurer une conformité totale avec le RGPD. La réalisation d’une étude d’impact relative à la protection des données (AIPD) permet notamment d’analyser la nécessité et la proportionnalité du dispositif et d’identifier, le cas échéant, d’autres solutions plus adaptées au cas d’espèce.
Si le responsable de traitement souhaite tout de même avoir recours à la blockchain, la CNIL recommande de privilégier l’utilisation d’une blockchain à permission.
La CNIL rappelle également que le responsable de traitement utilisant la blockchain devra s’assurer de la mise en place des mesures techniques et organisationnelles assurant la sécurité du traitement.
Transferts de données en dehors de l’Union européenne
La structuration décentralisée de la blockchain implique une certaine dispersion des données, les participants pouvant être situés dans des pays en dehors de l’UE. La CNIL souligne que cette situation est particulièrement problématique dans le cadre de la blockchain publique.
Or, les données personnelles ne peuvent être transférées vers des Etats qui n’assurent pas un niveau de protection adéquat sans mettre en œuvre des garanties appropriées (articles 44 et suivants du RGPD).
La CNIL reconnaît que les solutions actuelles encadrant les transferts en dehors de l’UE, telles que les règles d’entreprises contraignantes ou les clauses contractuelles types, sont entièrement applicables dans la blockchain à permission. L’encadrement des transferts apparaît toutefois plus difficile dans le cadre d’une blockchain publique.
L’exercice des droits des personnes concernées
L’exercice effectif de certains droits ne pose pas de difficulté particulière dans la blockchain, notamment le droit à l’information, le droit d’accès et le droit à la portabilité.
Toutefois, la blockchain entraînant une inscription permanente des données, il est techniquement impossible de faire droit à la demande d’effacement de la personne concernée.
Pour permettre un exercice effectif des droits de suppression et de rectification, la CNIL recommande au responsable de traitement de mettre en place des solutions techniques se rapprochant d’un effacement de la donnée, notamment en la rendant inaccessible via des procédés cryptographiques.
De manière générale, elle déconseille le recours à un stockage en clair d’une donnée à caractère personnel.
La CNIL, en se saisissant du sujet, confirme d’une certaine manière la compatibilité de la blockchain avec le RGPD. Elle propose des solutions concrètes à certaines problématiques de conformité. Ces premières pistes de réflexion devront être confirmées par la CNIL elle-même ainsi que par les autorités de contrôle européennes.
Les responsables de traitement, et leurs sous-traitants le cas échéant, devront être particulièrement attentifs au respect des obligations prévues par le RGPD lors de la mise en place d’un traitement de données à caractère personnel utilisant la blockchain.
Blockchain : nos avocats vous accompagnent
L’expertise juridique et technique de nos avocats nous permet de vous proposer une approche globale à vos problématiques liées à la technologie blockchain et aux cryptomonnaies. Découvrez toutes nos analyses de la blockchain en cliquant ci-dessous.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.