Blockchain et RGPD, une union impossible ?

Dans un article de juin 2017 du mensuel Expertise des SI, « La blockchain est-elle compatible avec le Règlement Général sur la Protection des Données ? », les avocates Blandine Poidevin et Christine Vroman reviennent sur les préoccupations que suscite le règlement général à la protection des données (RGPD) chez les utilisateurs de la technologie blockchain, particuliers ou entreprises. En effet, les données d’une blockchain n’étant pas anonymisées mais plutôt pseudonymisées, les droits et des obligations prévues par le règlement doivent s’appliquer.

La blockchain, conçue pour se libérer du principe d’autorité

« L’objectif premier de Bitcoin est de fournir un système décentralisé, qu’aucun gouvernement ou société ne peut contrôler » affirmait Benoit Lafontaine dans son article La Blockchain expliquée à travers son origine, le Bitcoin.

Dans son manifeste A Peer-to-Peer Electronic Cash System, publié en 2008, Satoshi Nakamoto (nom utilisé par le(s) mystérieux concepteur(s) de la Blockchain et du Bitcoin) présente en effet une méthode permettant d’organiser un système d’échange qui s’abstrairait de toute forme d’autorité centrale, pour se ranger derrière la multitude. C’est un système sûr tant que la majeure partie de la puissance de calcul du réseau est contrôlée collectivement par des nœuds honnêtes.

La blockchain s’appuie sur la structure décentralisée d’un réseau. Des informations contenues en blocs qui s’enchaînent sont dupliquées dans une quantité importante de nœuds du réseau. Le placement du bloc dans la chaîne de blocs est vérifié et permet d’attester avec certitude de la date de la transaction et ces chaînes de blocs contenues dans les différents nœuds sont également comparées les unes aux autres afin d’attester de l’authenticité du contenu de la blockchain. Ainsi, cette technologie permet de sécuriser les transactions rendues immuables, de les désintermédier (peer-to-peer) et de rendre autonome toute opération de transfert d’information, qu’elle soit financière, contractuelle ou d’une autre nature.

On le comprend en lisant le manifeste originel : la blockchain du bitcoin (BTC) était par nature publique, tout le monde devait y avoir accès moyennant un petit investissement en bitcoins, et cette diversité d’acteurs non coordonnés était la garantie d’un réseau sûr et indépendant d’une quelconque autorité (Etat, entreprises…), car pour changer le contenu de la blockchain, il fallait avoir la main sur le réseau, ce qui était rendu de plus en plus difficile à mesure que des personnes intégraient le réseau et mettaient leur capacité de calcul au service de la communauté.

Quelles sont les questions de conformité que pose la blockchain originelle?

La logique d’ouverture de la blockchain correspond donc à son état naturel. Il en va de même pour son caractère décentralisé. Or, dans l’hypothèse où certaines des données traitées par la chaîne pourraient être qualifiées de données personnelles, appliquer les concepts du RGPD à une telle blockchain n’est pas toujours trivial.

Une transaction sur la blockchain implique une duplication de l’écriture de cette transaction dans la chaîne de bloc dans une quantité importante de nœuds du réseau. Par conséquent, se pose pour Blandine Poidevin et Christine Vroman la question de la désignation du responsable de traitement (art 24 du RGPD). Certains semblent considérer qu’il est possible de définir les différents mineurs du réseau (c’est-à-dire les personnes mettant à contribution la capacité de calcul de leur ordinateur pour l’opération d’inscription et de validation d’une transaction dans un bloc de la chaîne) comme des responsables de traitement conjoints au sens de l’article 26 du RGPD dans certaines applications ; cependant, il n’est pas certain que cette solution puisse être retenue systématiquement, notamment parce que les mineurs mettent simplement à disposition du réseau la capacité de calcul de leurs ordinateurs contre rémunération. Pour autant, les mineurs pourraient-ils être considérés comme des sous-traitants (art 28) ?

En outre, le RGPD dispose que les données personnelles ne peuvent être envoyées vers des pays tiers que s’ils garantissent un niveau adéquat de protection des données des individus (art 44 et suivants) ou si des outils spécifiques (notamment les BCR, clauses contractuelles types) sont en place et si la personne a expressément consenti au transfert ; la décentralisation de la blockchain augmente mécaniquement la probabilité d’un transfert de données et il est dès lors nécessaire de vérifier que les garanties appropriées sont bien mises en œuvre.

Par ailleurs, le caractère immuable des données contenues dans la blockchain irait pour certains à l’encontre des principes de droit de rectification de ses données (art 16) ou encore du droit à l’effacement et de conservation limitée de ses données (art 17) puisqu’un bloc ne peut être retiré d’autorité de la chaîne de blocs (ou son contenu altéré ultérieurement).

Cependant, la contrainte de conservation des données personnelles n’est pas née avec la blockchain et il est en effet des domaines dans lesquels il existe une obligation de conservation de certaines données, pour garantir la sécurité économique et juridique de transactions notamment. C’est le cas en matière de transactions financières ou de contrats, qui sont d’ailleurs les domaines qui sont les plus intéressés par les applications que peut leur offrir la blockchain.
Depuis sa conception, la blockchain historique a évolué. Elle n’est plus uniquement construite sur ce modèle de blockchain publique, ce qui pourrait faciliter sa mise en conformité.

Une blockchain privée pour plus de conformité ?

Il est important de distinguer la blockchain originelle d’autres formes de blockchains. La blockchain qui n’est pas publique peut être administrée ou « permissioned » (le fonctionnement de la blockchain est organisé et encadré par un administrateur, qui détient la majorité de la puissance de calcul disponible sur le réseau), en consortium (plusieurs acteurs s’entendent pour contrôler le réseau) ou privée (un seul acteur a autorité sur le réseau). Ces modes de fonctionnement vont à l’encontre de la logique qui était celle du créateur du Bitcoin mais permettent à une autorité désignée de garder la main sur les transactions et potentiellement de les contrôler et les rectifier.

En effet, un principe de base de la blockchain est que plus le nombre de mineurs indépendants augmente, moins la blockchain est susceptible d’être modifiée. Moins elle en a, comme dans les blockchains non publiques, plus il est en théorie facile d’en changer le contenu. Mais il faut rappeler que les opérations sur blockchain sont plus lourdes (et donc coûteuses) que la normale puisqu’elles impliquent une duplication et des systèmes de vérification/contre-vérification du contenu. Par conséquent, une telle entreprise de modification de la blockchain reste lourde en termes de processus et de puissance de calcul nécessaire. De plus, le recours à une telle technologie étant justifié par un souci de sécurité et d’immuabilité, l’absence de ces qualités réduits considérablement l’intérêt d’investir dans une blockchain par rapport à des systèmes plus classiques d’infrastructures de données.

Si la recherche d’efficacité ou d’immuabilité ne peut justifier le choix d’une blockchain non publique, l’objectif de la conformité avec le RGPD semble en revanche pouvoir motiver un tel choix. En 2016 déjà l’Open Data Institute explorait les enjeux stratégiques de la Blockchain, et évoquait l’intérêt de recourir à des blockchains administrées pour mieux protéger les données personnelles…