Les blockchains sont-elles compatibles RGPD ?
Attribution des responsabilités, droit à l’effacement… Des questions se posent quant à la conformité de certaines blockchains vis-à-vis du RGPD.
Blockchain et RGPD, une union impossible ?
La CNIL posait la question l’été dernier, en réaction aux propos de Blandine Poidevin et Christine Vroman.
Les deux avocates s’était exprimées, quelques semaines auparavant, dans le magazine Expertises. Elles avaient soulevé plusieurs incompatibilités potentielles entre lesdites blockchains et les dispositions du règlement européen, dont l’entrée en application est fixée au 25 mai 2018.
De l’autre côté de l’Atlantique, on brandit aussi l’épouvantail. Illustration avec Coin Center. Le think tank américain appelle les régulateurs européens à considérer la réalité des technologies de registres décentralisés… et à envisager une « exception » sous peine de « [se fermer] à l’avenir d’Internet ».
Ses observations rejoignent globalement celles de la CNIL. Cette dernière avait notamment souligné que les données traitées sur les blockchains ne sont pas systématiquement anonymes. Elles peuvent aussi être pseudonymes, auquel cas les obligations prévues par le RGPD doivent s’appliquer.
Réunies sous l’égide du collectif Article 29, les autorités européennes chargées de la protection des données avaient rendu un avis sur le sujet en avril 2014. Elles avaient, dans les grandes lignes, affirmé que rendre des données effectivement anonymes impliquait impérativement d’empêcher « de manière irréversible » toute possibilité d’identification d’individus par « tous les moyens envisageables et raisonnables ».
La blockchain et l’oubli
Un problème se pose en premier lieu avec les blockchains publiques telle celle de Bitcoin.
Le cabinet d’avocats Hogan Lovells résume la situation : à toutes les transactions enregistrées sont associées des clés publiques (hashs), chiffrées dans l’absolu, mais susceptibles, par recoupements, de permettre des identifications indirectes. Et ainsi d’entrer dans la catégorie des données personnelles sous le régime du RGPD.
Dans ce scénario se pose une question : qui est responsable du traitement ? D’après l’article 4 du règlement, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
Les blockchains publiques étant par nature décentralisées, il apparaît difficile d’apporter une réponse. Les participants au réseau pourraient éventuellement être considérés comme responsables de traitement conjoints. Leur rôle pourrait aussi être considéré comme purement technique (mise à disposition de capacités de calcul) et, à la rigueur, faire d’eux des sous-traitants.
Autre pierre d’achoppement : les articles 16 et 17 du RGPD, qui donnent aux citoyens de l’UE le droit d’obtenir la rectification et l’effacement de leurs données. Des dispositions a priori incompatibles avec la logique d’immutabilité des blockchains.
La question est moins prégnante dans le cas des blockchains privées, qui peuvent être encadrées par des administrateurs et donc être plus facilement modifiées. Ce qui remet néanmoins en cause leur principale valeur ajoutée face à des bases de données traditionnelles, tout en imposant des coûts (déduplication, contre-vérification…).