La semaine dernière, nous avons commencé à parler du RGPD dans le secteur de la Blockchain. L’objectif était de « poser le décor », afin d’avoir les éléments nécessaires pour comprendre les risques de non-conformité liés à la technologie. Cette semaine, nous entrons dans le détail des incompatibilités entre RGPD et Blockchain.
Quelles sont les incompatibilités ?
Je ne veux pas jouer les alarmistes, ce n’est pas mon objectif. Pour commencer, sachez que des ateliers de réflexion sur les moyens d’avoir une blockchain conforme au RGPD existent. L’European Union Blockchain Observaroty and Forum, à l’initiative de la Commission Européenne, s’est penchée sur la question. Un rapport a vu le jour suite à cette initiative, afin de présenter le besoin, le problème et d’éventuelles solutions.
La CNIL, de son côté, s’est également penchée sur le sujet, courant septembre 2018 : Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?
Dans les deux cas, la blockchain est une technologie récente et nous n’avons pas encore assez de recul sur le sujet. Les études plaident pour des analyses au cas par cas, en observant les besoins, les situations, les objectifs poursuivis et les moyens techniques mis en place.
Un des points « de base » du RGPD est la qualification du régime juridique des acteurs du traitement. D’habitude, la protection des données repose sur une gestion « classique » des données : elles sont centralisées au sein d’organismes identifiés de façon assez nette.
Problème : la blockchain (publique à minima) repose globalement sur l’absence d’organisme centralisé et identifié. Son fonctionnement est distribué aux différents nœuds qui la composent. Il n’existe pas de centralisation des données, mais des réplications des données sur la totalité du globe.
Nous pouvons nous attacher aux définitions formelles des acteurs, telles que formulées dans l’article 4 du RGPD.
Ainsi, un responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement, […] ». Un sous-traitant, quant à lui, est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Dans le cadre d’une blockchain publique, qui est qui ?
Le fait d’installer une application et de devenir un node de la blockchain pourrait-il être assimilé à la définition des moyens (le logiciel) et des finalités (miner ou produire des transactions sr la blockchain) ? Dans ce cas, la quasi totalité des utilisateurs de la blockchain seraient des responsables de traitement ?
En pratique, non. L’avis de la CNIL est le suivant : une personne physique participant à une blockchain pourrait être responsable de traitement si ce qu’elle en fait est en lien avec une activité professionnelle ou commerciale. Une personne morale, quant à elle, serait responsable de traitement dès lors qu’elle inscrit des données à caractère personnel sur la blockchain.
Les personnes qui ne font que valider les transactions (on parle de mineurs) ne font que valider des transactions, ils ne déterminent rien et ne sont pas, dès lors, des responsables de traitement.
La situation doit s’évaluer au cas par cas et il ne faut pas négliger l’analyse. C’est à partir des conclusions de cette dernière que vous allez savoir quoi faire, et comment faire.
Imaginons que je vous contacte pour faire exercer un droit d’accès… si vous ne savez pas qui est le responsable de traitement, qui est la personne à contacter, alors je n’ai aucun moyen de faire exercer mes droits, ce qui pourrait fortement me déplaire… 😉
Une fois que vous avez réussi à savoir exactement qui était quoi, commence le « vrai » problème.
Durée de conservation, droits, …
Un responsable de traitement doit définir une durée de conservation des données, ou à défaut, expliquer les moyens qui permettent de définir cette durée… mais vous l’aurez compris avec le billet précédent, une fois qu’une information est dans la blockchain, elle est définitivement dedans. Il n’est pas possible de supprimer des données déjà présentes dans la blockchain. Donc, la durée de conservation est « infinie » et le seul moyen de supprimer des informations serait de détruire intégralement la blockchain en question.
L’objectif de la CNIL comme de la réglementation en matière de protection des données à caractère personnel n’est pas d’interdire la technologie mais de l’encadrer afin que la loi soit respectée. Ici, nous avons une incompatibilité majeure, liée au fonctionnement même de la blockchain.
On pourrait considérer que la durée de conservation est « la durée de vie de la blockchain ». Comme certains le disent dans le monde des avocats « ça se plaide ». Cependant, il n’est pas certain que la CNIL soit de cet avis, en fonction des cas…
Est-ce insurmontable ? Non. L’idée, afin que ladite blockchain soit conforme, serait de ne pas inscrire de données à caractère personnel dedans.
« Tout simplement » ?
Simple ? Certainement pas. La définition d’une donnée à caractère personnel est large : toute information relative à une personne physique identifiée ou identifiable, de façon directe ou indirecte. Ainsi, si on pense évidemment aux éléments directs (nom, prénom, numéro de téléphone, e-mail, …), les éléments indirects doivent être analysés avec bien plus de précautions. Par exemple, un pseudonyme, une caractéristique physique ou le recoupement de données qui n’ont strictement rien de personnel pourraient conduire à identifier des personnes physiques. Partant de ce principe, il est nécessaire de s’interroger quant aux données gérées afin de savoir si vous êtes en présence de données à caractère personnel.
Autre problème venant complexifier la chose : le besoin de la blockchain. Si elle est mise en place, c’est généralement pour répondre à un besoin de traçabilité des échanges, des interactions, des ventes, pour suivre la circulation de divers biens. Partant de là, ne pas avoir de données à caractère personnel peut s’avérer complexe.
La minimisation des données
Cette impossibilité de supprimer ces données vient s’opposer à un autre principe : celui de la minimisation des données. Le principe de la minimisation des données consiste à ne collecter, traiter et conserver que les données strictement nécessaires au traitement et à n’en donner l’accès qu’aux personnes légitimes à disposer de cette information (ont dit « ayant besoin d’en connaitre »). Dans le fonctionnement de la blockchain, il suffit de « télécharger un logiciel et le registre de la blockchain » et on dispose d’un accès aux informations et, en fonction du type de blockchain, à un accès total à ces informations. Estimer cette conformité à la minimisation des données pourrait donc s’avérer assez problématique.
L’exercice des droits
Enfin, toujours d’un point de vue RGPD, l’exercice de certains droits peut s’avérer compliqué à mettre en œuvre. Si l’obligation d’information et le droit d’accès, ainsi que celui à la portabilité semblent applicables, le droit à l’effacement, lui, est techniquement inapplicable, puisqu’il est impossible de procéder à l’effacement des données.
Le droit à la rectification semble applicable : en ajoutant une nouvelle information dans la blockchain, qui viendra invalider l’ancienne. L’ancienne ne sera pas supprimée de la blockchain, mais elle sera indiquée comme n’étant plus valide, ce qui permet de répondre, en soi, à la demande de rectification.
Comme expliqué précédemment, l’objectif n’est pas de vous présenter une analyse détaillée du problème, mais un aperçu global des incompatibilités actuelles entre la blockchain et le RGPD. Cependant… a bien y réfléchir… il est possible de trouver une solution « en amont ». On en parle dans le dernier article consacré au sujet !