Blockchain et GDPR (RGPD en français) sont parfois présentées – à tort – comme incompatibles.
Cet article soutient que :
● la blockchain peut contenir des données personnelles, mais en tant que protocole ne peut être considérée comme responsable du traitement ; le GDPR ne lui est donc pas applicable ;
● les tiers faisant l’interface entre la blockchain et les utilisateurs sont, eux, assujettis au droit des données personnelles : c’est donc sur ces derniers que pèsent les obligations de ce texte (droit à l’effacement notamment).
● la blockchain est une infrastructure unique pour préserver la confidentialité et la sécurité de nos données, à la fois privacy et security by design. Elle ouvre la voie à des modèles économiques qui ne reposent plus sur la collecte massive de données personnelles.
● Enfin, de nouvelles innovations technologiques liées à la blockchain comme les preuves à divulgation nulle de connaissance (Zero Knowledge Proof) permettront, à terme, de renforcer encore la protection de la vie privée.
Blockchain et GDPR, l’union impossible ? Vraiment ? En cherchant à qualifier le réseau comme responsable du traitement, ou les mineurs comme sous-traitants, cette analyse que l’on entend fréquemment semble se focaliser sur les problèmes potentiels de la blockchain, en occultant les solutions pragmatiques qui émergeront nécessairement de son utilisation.
Le 25 mai 2018, l’entrée en application du Règlement Général sur la Protection des Données dans l’ensemble de l’Union Européenne constituera une évolution majeure du droit de la protection des données personnelles. Il prévoit la consécration du principe de privacy by design (qui implique des mesures de conformité dès la conception même du produit) ; une responsabilisation accrue des acteurs (accountability, coresponsabilité, extension de l’obligation de sécurité) ; et l’introduction de sanctions dissuasives pour les contrevenants.
De son côté, la blockchain (technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle) permet de décentraliser l’échange de valeur – monnaie, titre financier, droits d’usage ou de propriété, token – sur un support numérique ouvert et libre. Seules les blockchain ouvertes, comme Bitcoin ou Ethereum, sont prises en compte dans cet article car elles concentrent les principales problématiques juridiques. Contrôlées par un responsable, les blockchain privées, de leur côté, permettent l’application classique du droit des données personnelles ; Ripple, par exemple, contrôle son réseau et en assume donc la responsabilité juridique.
La blockchain n’est pas responsable du traitement
Une blockchain ouverte, en tant que protocole, ne peut être responsable du traitement des données qui y sont inscrites. Le GDPR définit le responsable comme “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement”. La blockchain n’est pas un service, comme peut l’être un logiciel, mais un protocole, comme le TCP/IP pour Internet ou le SMTP/IMAP pour les mails, c’est à dire un langage informatique permettant à des machines de communiquer au moyen d’applications (Chrome, Firefox ou Safari pour internet par exemple).
Aucun des acteurs de la blockchain (mineurs, développeurs, utilisateurs…) n’est susceptible de répondre à la qualification de responsable du traitement.
Dans cette architecture totalement décentralisée et ouverte, aucun acteur ne possède l’autorité ou le pouvoir susceptible de lui conférer la qualité de responsable du traitement :
● Les développeurs du code source sont généralement pseudonymes et désintéressés, si ce n’est bénévoles. Juridiquement, ils agissent dans le cadre d’une licence libre (“open source”) qui garantit la réutilisation du code.
● Les mineurs ont un simple rôle technique de validation des transactions, sans connaissance du contenu de celles-ci. A ce titre, leur statut est comparable à celui des prestataires techniques (FAI, hébergeur) au sens de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.
La blockchain peut contenir des données personnelles
Cela étant, il n’existe aucun doute sur le fait que la blockchain peut contenir des données personnelles :
– d’une part, au niveau de la transaction : à l’occasion d’une transaction, les utilisateurs ont en effet la possibilité d’inscrire une faible quantité de données, comme l’empreinte numérique d’un document. Rien n’interdit que cette donnée – un identifiant, un numéro de téléphone ou un nom – se rapporte à “une personne physique identifiée ou identifiable” et entre de ce fait dans le champ du GDPR.
– d’autre part, au niveau des adresses publiques des utilisateurs de la blockchain. Certes, une adresse publique, pseudonyme en théorie, ne révèle rien en soi sur son propriétaire. Cependant, cela ne suffit pas à écarter la qualification de donnée personnelle. En effet, le GDPR précise qu’il convient “de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement” pour considérer une donnée comme personnelle (§26).
Or la jurisprudence est abondante sur le caractère identifiant d’une adresse a priori pseudonyme. Dans son arrêt du 19 octobre 2016, la CJUE a estimée qu’une adresse IP dynamique était une donnée personnelle dans la mesure où un fournisseur de service (Facebook par ex.) pouvait recourir à un tiers (Etats & Fournisseurs d’accès à Internet) pour identifier la personne concernée. Pour sa part, la CNIL a estimé dans sa délibération “JC Decaux” du 16 juillet 2015 que l’adresse MAC (adresse physique d’une carte réseau) n’était une donnée anonyme que dans la mesure où sa collecte permettait “d’isoler un individu dans un ensemble de données”. Finalement, une adresse publique peut, elle aussi, constituer une donnée à caractère personnel.
Le GDPR s’applique aux tiers à la blockchain
Le recours de plus en plus fréquent à des tiers ou à des services pour interagir avec le protocole remet en cause le caractère pseudonyme des adresses publiques sur une blockchain. En effet, ces services possèdent des informations permettant de rattacher les adresses publiques à l’identité de leurs propriétaires. De facto, le GDPR s’applique dans de multiples cas de figure :
– l’utilisation d’un portefeuille (wallet) en ligne ou d’une plateforme de change, qui permet d’associer l’identité d’un utilisateur à son adresse publique,
– le développement des mesures de lutte contre le blanchiment d’argent (Know Your Customer), qui ont précisément pour objet “d’identifier les clients au moment d’un relation d’affaire”,
– l’apparition d’outils de surveillance des blockchain comme Chainalysis. En février 2016, ce service a conclu un partenariat avec Europol pour permettre de “percer” le pseudonymat des utilisateurs de cryptomonnaies.
Les services d’interface entre la blockchain et les utilisateurs devront appliquer le GDPR, sous peine de subir les lourdes sanctions prévues par ce texte.
Si cette technologie peut contenir des données personnelles, l’absence de responsable du traitement exclut l’application directe du GDPR. En effet, les droits consacrés par ce règlement, comme le droit à l’effacement, ne peuvent être sanctionnés directement par le protocole. En revanche, les services aux frontières de la blockchain, comme les plateformes de change, les processeurs de paiement ou les explorateurs de blockchain, devront appliquer le GDPR dans la mesure où ils sont responsables du traitement. Comme Google, qui doit faire disparaître des résultats de son moteur de recherche des données personnelles « inappropriées, hors de propos ou qui n’apparaissent plus pertinentes », les services tiers à la blockchain devront être en mesure de faire respecter le droit à l’oubli en rendant les données inscrites sur la blockchain inaccessibles.
La Blockchain : une infrastructure privacy by design
Si l’application d’un régime juridique existant aux blockchain est une question légitime, l’essentiel est peut-être ailleurs. Les blockchain permettent un saut technologique majeur dans la protection de nos données personnelles, tant en matière de confidentialité que de sécurité.
Aujourd’hui, un échange de valeur implique deux éléments : un tiers de confiance et une collecte importante de données personnelles. En théorie, une banque connaît (quasiment) tout de vous : vos coordonnées, vos habitudes de consommation, vos revenus, vos liens financiers, etc. Comment être certain qu’elles n’utiliseront pas, demain, ces données à des fins prédictives en utilisant l’intelligence artificielle ?
C’est pour répondre à ce risque que la blockchain peut s’avérer pertinente : dans sa version publique, elle constitue en effet une technologie privacy by design inédite pour protéger la vie privée des utilisateurs. D’une part, elle impose le recours par défaut au pseudonymat et aux algorithmes de chiffrement. A ce titre, elle répond aux exigences du GDPR en termes de sécurité des données et permet de de lutter contre les fuites massives de données qui font régulièrement la une des journaux (Yahoo, Deep Root, Equifax…). D’autre part, la blockchain ouvre la voie à de nouveaux business models, qui ne reposent plus sur la collecte massive de données mais sur la monétisation de services fondés sur l’économie des tokens (tokenisation). Cette tokenisation de l’économie numérique, encore à ses prémices, représente une alternative unique face aux GAFA et à la collecte massive de données.
La “Zero Knowledge Proof” : prouver sans divulguer
Ethereum, la blockchain dédiée aux smart contract, vient d’intégrer dans son protocole un nouvel algorithme, intitulé zkSNARKs, définissable comme une méthode de preuve à divulgation nulle de connaissance (Zero Knowledge Proof ou « ZKP »). A l’inverse d’un schéma traditionnel où la preuve implique la divulgation de l’information, ces algorithmes rendent la révélation de la preuve d’une information possible sans en divulguer le contenu. La production d’un avis d’imposition, par exemple, révèle les revenus et le montant de l’impôt. Cette transparence, potentiellement préjudiciable aussi bien pour la vie privée de la personne qu’en matière commerciale, peut être évitée en ayant recours à la ZKP (voir vidéo d’explication, en anglais).
Encore expérimental, ce type de technologies semble promis à un bel avenir en matière de réglementation financière (lutte contre le blanchiment d’argent, connaissance du client, etc.) tout en permettant de renforcer la protection de la vie privée des personnes concernées.
In fine, la relation « blockchain et GDPR » souffre d’un malentendu : vouloir appliquer à un protocole décentralisé et pseudonyme un texte juridique taillé sur-mesure pour des acteurs centralisés ; le tout sans voir, par ailleurs, que la blockchain constitue un outil inédit pour protéger la vie privée des utilisateurs, tant pour le transfert de valeur numérique que pour l’émergence de nouveaux modèles économiques viables sans collecte massive de données.
Par William O’rorke, Legal Advisor chez Blockchain Partner
(Image en tête d’article : Felix Nussbaum – Le secret – 1939)
Lire en intégralité la newsletter juridique de novembre
S’inscrire à notre newsletter juridique
Intéressé(e) par nos formations juridiques à la blockchain ? Ecrivez-nous