08/02/19

La technologie Blockchain à l’aune du RGPD

Lors d’un panel qui s’est récemment tenu à Luxembourg sur le thème de l’art et de la finance, il a été l’occasion de revenir sur les mesures qui doivent être prises lorsque la Blockchain est utilisée pour un traitement de données personnelles.

S’agissant de l’utilisation d’une technologie innovante, les responsables de traitement devraient au moins envisager l’implémentation des mesures suivantes dans le cadre d’une analyse d’impact sur l’utilisation de cette technologie :

1. Les relations entre acteurs de la Blockchain doivent être encadrées.

Le RGPD prévoit que les parties intervenant dans un traitement de données personnelles doivent encadrer leurs relations selon le rôle que ces dernières endossent.

La détermination du rôle des parties est une question de fait, mais l’autorité française de protection des données (la “CNIL”) précise, dans ses premiers éléments d’analyse sur la Blockchain, qu’en règle générale :

  • les participants inscrivant des données dans la blockchain sont des responsables du traitement indépendants ou conjoints avec d’autres participants s’ils déterminent ensemble les finalités du traitement effectué grâce à la Blockchain ;
  • les personnes procédant à la vérification des inscriptions dans la Blockchain (“les mineurs”) sont des soustraitants.

En conséquence, les relations entre ces acteurs doivent être encadrées :

  • les participants et les mineurs doivent régir leurs relations par un contrat (ou un autre acte juridique) contenant un certain nombre de mentions obligatoires conformément à l’article 28 du RGPD ;
  • lorsque des participants peuvent être considérés comme responsables conjoints du traitement, ils doivent définir leurs obligations respectives en matière de protection des données par voie d’accord conformément à l’article 26 du RGPD.   

Il faut également mettre en place les garanties appropriées lorsque le recours à la Blockchain implique un transfert de données hors de l’UE.

2. Les données personnelles inscrites doivent être protégées par des mesures techniques adaptées

La Blockchain présente l’inconvénient de fixer de manière irréversible les inscriptions faites en son sein. Un traitement de données personnelles est pourtant nécessairement limité dans le temps et les personnes concernées doivent pouvoir exercer leurs droits tels que le droit à l’effacement.

Afin d’atténuer ces difficultés, la CNIL recommande de ne pas stocker les données personnelles en elles-mêmes dans la Blockchain mais seulement une information permettant de prouver l’existence de la donnée personnelle en question (en utilisant par exemple un engagement cryptographique ou une empreinte issue d’une fonction de hachage à clé).

La suppression du lien entre la donnée personnelle stockée en dehors de la Blockchain et l’information permettant de prouver l’existence de la donnée personnelle en question pourrait être suffisamment similaire à un effacement pur et simple de la donnée.

La Blockchain n’est donc pas forcément incompatible avec le RGPD tant que les précautions nécessaires ont été mises en place.

dotted_texture