La CNIL a publié ses premiers éléments d’analyse officiels sur le sujet « blockchain et RGPD ».
Cette initiative est la bienvenue : elle était attendue de la part des acteurs en l’attente de lignes directrices sur ce sujet épineux.
Depuis plusieurs mois, de nombreuses réflexions soutenaient que blockchain publique et RGPD étaient quasi-incompatibles, pour différentes raisons (droit à l’effacement, protocoles internationaux par nature, etc.). La CNIL avait elle-même publié sur son site un article au titre révélateur : “Blockchain et RGPD, une union impossible ?”. De notre côté, nous avions estimé que cette prétendue incompatibilité relevait d’une erreur d’analyse (relire notre article de novembre 2017 : Blockchain et GDPR, le malentendu).
Finalement, la CNIL valide aujourd’hui les conclusions de notre étude de l’an passé :
1/ La blockchain en tant que protocole n’a pas de responsable de traitement. En revanche, ses participants – les services qui fonctionnent sur la blockchain – peuvent être responsables en fonction des cas. Par exemple, une plateforme d’échange de cryptoactifs doit respecter le RGPD.
2/ La blockchain peut être un outil de conformité. La CNIL donne un exemple simple : utiliser une blockchain pour satisfaire à l’obligation, pour le responsable de traitement, de mettre en oeuvre un registre du consentement. A noter que dans notre article, nous allions plus loin et évoquions notamment les perspectives ouvertes par les technologies “Zero Knowledge Proof” qui permettent de prouver sans divulguer (rendre la révélation de la preuve d’une information possible sans en divulguer le contenu).
3/ La CNIL prend acte du caractère immuable de la blockchain et ouvre la porte à des solutions de conformité consistant à “couper l’accessibilité de la donnée”. Cette position ouvre la perspective d’une reconnaissance d’un droit à l’oubli pour le monde blockchain.
In fine, la CNIL appelle à privilégier les blockchains privées (si possible !) – au sein desquelles le responsable de traitement répond de ses choix – ainsi qu’à prendre en compte la conformité des projets le plus en amont possible.
La CNIL entend désormais porter ces éléments à l’échelon européen et se rapprocher des autres régulateurs, comme l’AMF.
Privacy by design, par défaut, sécurité, etc… l’implémentation des obligations RGPD dans un projet blockchain nécessite à la fois des connaissances juridiques pointues et une compréhension fine de ces technologies. Si vous avez besoin d’accompagnement en la matière, n’hésitez pas à nous contacter.