Les blockchains sont-elles compatibles RGPD ?

Blockchain et RGPD, une union impossible ?

La CNIL posait la question l’été dernier, en réaction aux propos de Blandine Poidevin et Christine Vroman.

Les deux avocates s’était exprimées, quelques semaines auparavant, dans le magazine Expertises. Elles avaient soulevé plusieurs incompatibilités potentielles entre lesdites blockchains et les dispositions du règlement européen, dont l’entrée en application est fixée au 25 mai 2018.

De l’autre côté de l’Atlantique, on brandit aussi l’épouvantail. Illustration avec Coin Center. Le think tank américain appelle les régulateurs européens à considérer la réalité des technologies de registres décentralisés… et à envisager une « exception » sous peine de « [se fermer] à l’avenir d’Internet ».

Ses observations rejoignent globalement celles de la CNIL. Cette dernière avait notamment souligné que les données traitées sur les blockchains ne sont pas systématiquement anonymes. Elles peuvent aussi être pseudonymes, auquel cas les obligations prévues par le RGPD doivent s’appliquer.

Réunies sous l’égide du collectif Article 29, les autorités européennes chargées de la protection des données avaient rendu un avis sur le sujet en avril 2014. Elles avaient, dans les grandes lignes, affirmé que rendre des données effectivement anonymes impliquait impérativement d’empêcher « de manière irréversible » toute possibilité d’identification d’individus par « tous les moyens envisageables et raisonnables ».

La blockchain et l’oubli

Un problème se pose en premier lieu avec les blockchains publiques telle celle de Bitcoin.

Le cabinet d’avocats Hogan Lovells résume la situation : à toutes les transactions enregistrées sont associées des clés publiques (hashs), chiffrées dans l’absolu, mais susceptibles, par recoupements, de permettre des identifications indirectes. Et ainsi d’entrer dans la catégorie des données personnelles sous le régime du RGPD.

Dans ce scénario se pose une question : qui est responsable du traitement ? D’après l’article 4 du règlement, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Les blockchains publiques étant par nature décentralisées, il apparaît difficile d’apporter une réponse. Les participants au réseau pourraient éventuellement être considérés comme responsables de traitement conjoints. Leur rôle pourrait aussi être considéré comme purement technique (mise à disposition de capacités de calcul) et, à la rigueur, faire d’eux des sous-traitants.

Autre pierre d’achoppement : les articles 16 et 17 du RGPD, qui donnent aux citoyens de l’UE le droit d’obtenir la rectification et l’effacement de leurs données. Des dispositions a priori incompatibles avec la logique d’immutabilité des blockchains.

La question est moins prégnante dans le cas des blockchains privées, qui peuvent être encadrées par des administrateurs et donc être plus facilement modifiées. Ce qui remet néanmoins en cause leur principale valeur ajoutée face à des bases de données traditionnelles, tout en imposant des coûts (déduplication, contre-vérification…).

Recent Posts

One Outlook : le plan de Microsoft pour unifier sa messagerie

Quelle forme prendra la stratégie One Outlook de Microsoft ? Un élément de réponse émerge…

2 semaines ago

Méthodes agiles : quels métiers sont les mieux rémunérés ?

Développeur, product owner ou scrum master... Quelles sont les rémunérations proposées aux professionnels des méthodes…

2 semaines ago

Certifications : gros changements chez Microsoft

Microsoft fait évoluer ses processus de certification. Le renouvellement pourra bientôt se faire en ligne,…

4 semaines ago

Cloud : qui s’impose dans les bases de données

Le segment des bases de données as a service - aussi appelées SGBD cloud managés…

1 mois ago

Flash Player : comment Adobe prépare l’extension du support

Fin 2020, c'en sera terminé du support de Flash Player... par Adobe. HARMAN reprendra le…

1 mois ago

Excel : vers une création plus simple des fonctions personnalisées

Microsoft ouvre aux bêtatesteurs d'Excel la possibilité de créer des fonctions personnalisées en utilisant le…

1 mois ago