La Blockchain respecte-t-elle le RGPD ?

Vous avez sans doute beaucoup entendu parler, ces derniers mois, de blockchain et du Règlement général sur la protection des données.

 Pour ceux qui l’ignorent encore, la blockchain est considérée comme la plus grande révolution depuis l’invention d’Internet. Mais cette technologie de stockage et de transmission d’informations, sécurisée, transparente et sans organe de contrôle respecte-t-elle le nouveau Règlement européen, entré en vigueur le 25 mai 2018 ?

 Pour rappel, le RGPD (ou GDPR) vient renforcer la protection des données personnelles en imposant des règles plus strictes aux responsables et sous-traitant de données permettant d’identifier des personnes physiques. Le Règlement renforce également les droits de ces derniers, leur permettant d’effacer, de rectifier ou tout simplement d’avoir accès aux données les concernant.

Le RGPD s’applique-t-il a la blockchain ?

 Dans un réseau décentralisé comme la blockchain, il parait compliqué de définir qui est le responsable du traitement de ces données. Afin d’approfondir ce point, il convient de différencier la blockchain publique de la blockchain privée.

 La première est ouverte à tous, anonyme et ne possède pas de propriétaire. La seconde, en possède un et son accès est limité à un nombre déterminé de personnes.

 Dès lors, une blockchain publique, « simple » protocole, sans organe de contrôle ne peut pas être considérée comme responsable du traitement des données personnelles qu’elle contient. En effet, un responsable de traitement est défini par le RGPD comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ». Une blockchain publique semble par conséquent compatible avec le RGPD étant donné que ce dernier ne lui est pas applicable. De plus, notons que les différents intervenants (mineurs, utilisateurs, développeurs) ne rentrent pas dans la définition de responsable de traitement ou de sous-traitant, car ils agissent souvent dans le cadre d’une licence libre (« open source ») ou sous un pseudonyme.

 A contrario, une blockchain privée, possède un organisme de contrôle (par exemple : une entreprise qui souhaite utiliser une blockchain pour gérer toutes ses transactions internes), qui sera considéré comme responsable du traitement des données. Dans ce cas-là, le RGPD et les droits en découlant, seront applicables. Cette technologie « fermée » semble plus enclin à une contradiction avec le Règlement.

Le RGPD et la blockchain sont-ils contradictoires ?

Revenons aux caractéristiques principales de la blockchain : sécurisée, transparente, infalsifiable, contenant des données impossibles à modifier ou à supprimer. Ces données personnelles peuvent être multiples : nom, adresse, numéro de compte en banque, numéro de téléphone, …

 Comment peut-on assurer la possibilité de suppression ou de modification de données, dans un système prévu pour garantir le contraire ?

 Il est évident que les droits énoncés dans le RGPD les plus menacés sont ceux du droit à l’oubli/effacement et du droit à la rectification. La blockchain, inviolable, conserve les différentes transactions et données sans possibilité de les modifier ou de les effacer. Une fois sur la blockchain, vos données y resteront pour toujours. Bien que contraire aux normes européennes, entrées en vigueur bien après la création de cette technologie révolutionnaire, aucune solution n’est pour l’instant réellement développée. Si vous utilisez une blockchain, vous devez redoubler de prudence en y intégrant vos données personnelles.

 Un autre aspect problématique est celui de la conservation dans le temps de ces données. Le Règlement européen, en son article 5, stipule que « les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». En d’autres mots, les données ne peuvent pas être conservées indéfiniment. Or, dans une blockchain, la transaction validée et les données intégrées sont perpétuels.

 En résumé, la technologie de chaîne de blocs n’est pas totalement incompatible avec le Règlement général sur la protection des données personnelles. Bien que les blockchains privées sont censées le respecter, les contradictions sont nombreuses comme le droit à l’oubli ou la conservation limitée des données. Les blockchains publiques ne semblent pas concernées par cette réglementation.

 Ne soyons pas trop sceptiques, la blockchain peut faire considérablement avancer notre société dans de nombreux domaines, de la santé à l’administration, de l’immobilier aux crypto-monnaies, mais pour cela, il nous faudra entrer certaines de nos données personnelles.

 Un conseil : Restez prudent et réfléchissez à deux fois avant d’y ajouter vos données personnelles.