Nous avons d’un côté la blockchain qui existe depuis un peu plus de 10 ans officiellement avec l’anniversaire le 3 janvier dernier de Bitcoin, la première d’entre toutes les technologies de chaîne de blocs. Et de l’autre côté le RGPD (Règlement général sur la protection des données) qui est applicable depuis le 25 novembre 2018 à tous les pays de l’union européenne et à tous ceux qui manipulent des données personnelles de ressortissants européens. Cette règlementation a clairement rebattu les cartes des sociétés qui collectent et traitent des données personnelles pour faire leur business, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) en particulier, il n’y a qu’à voir la dernière amende de 50 millions d’euros infligée par la CNIL à Google pour non-respect du RGPD. Ces derniers mois on a vu beaucoup de contradiction émerger autour de l’incompatibilité de la blockchain avec les contraintes fixées par le RGPD. Pourtant il suffit de peu pour faire tomber le doute.

 

Blockchain et RGPD, un problème de fond …

Selon Wikipédia, le RGPD a pour principaux objectifs « d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. » Ce qu’il faut retenir c’est que le responsable d’un traitement (informatisé ou manuel) sur des données personnelles doit répondre à de nouvelles contraintes. Il doit entre autres garantir :

  • que la collecte des données qu’il réalise est légitime par rapport à son activité, on arrête donc de stocker des informations dont on n’a pas besoin aujourd’hui mais qui pourraient servir demain
  • la protection de la vie privée dès la conception du traitement sur les données des individus concernés
  • que ces données sont stockées et traitées de façon sécurisée par défaut
  • que les données ont été collectées avec le consentement explicite de leurs propriétaires
  • la possibilité de supprimer les données sur la demande de son propriétaire

 

La blockchain quant à elle est une technologie dont de nombreux paramètres sont communs avec ceux d’une base de données. Il s’agit d’un registre, comme en comptabilité, dans lequel tout le monde peut écrire et lire des données, personne ne peut modifier ou supprimer ces données, qui est totalement décentralisée et distribuée. Cette technologie est ultra sécurisée à base de cryptographie et de chiffrement, elle est donc complètement inviolable. Et là normalement vous commencez à voir les limites de la blockchain quant à sa compatibilité avec le RGPD :

  • il est impossible de supprimer ou modifier des données qui seraient stockées à l’intérieur du registre, et donc impossible de répondre à une demande d’un client qui souhaiterait faire valoir son droit à la rectification ou à la suppression de ses données
  • de la même manière les données sont accessibles par tout le monde et à tout moment, ce qui pose un problème sur la protection des données

 

Ces deux principes forts du RGPD sont donc problématiques pour les entreprises qui collectent et traitent des données personnelles de leurs clients et qui utiliseraient la blockchain comme technologie support à ce besoin de collecte et de traitement. Pour rappel le risque n’est pas négligeable pour une société qui serait en défaut avec le RGPD puisque la nouvelle règlementation permet d’infliger une sanction qui peut s’élever à 20 millions d’euros ou à 4% du chiffre d’affaires mondial de l’exercice précédent. Autant dire qu’il ne faut pas le prendre à la légère !

 

… ou un non sujet ?

Et pourtant, si l’on y regarde de plus près le problème du RGPD ne concerne pas la technologie utilisée pour la collecte et le traitement des données personnelles. Ce que porte le règlement général sur la protection des données, c’est la responsabilisation des acteurs qui collectent et traitent les données personnelles dans le cadre de leur activité. Et là cela change fondamentalement la donne, quelle que soit la technologie utilisée, c’est au responsable du traitement d’assurer que tous les principes du RGPD sont bien respectés.

 

À ce titre d’ailleurs, la CNIL (Commission Informatique et Liberté), qui est une institution de l’état en charge de la protection du consommateur contre tout usage abusif de données informatiques le concernant, a publié en novembre dernier un article très détaillé et très clair quant à la posture à avoir sur l’utilisation de la blockchain comme technologie de collecte et de traitement des données personnelles. Ce qu’il faut retenir en synthèse des recommandations et solutions proposées par la CNIL :

  • par défaut une entreprise ne devrait pas stocker des données personnelles en clair dans la blockchain, le bon sens préside à cette recommandation, de la même manière qu’on n’imaginerait pas laisser accessible à n’importe qui les données d’un site de e-commerce
  • si toutefois il n’était pas possible de faire autrement, dans ce cas stocker les données avec des mécanismes de chiffrement ou de hashage qui rendront totalement illisibles l’information
  • même chiffrées, si un utilisateur demande à ce que ses données stockées dans la blockchain soient supprimées, la CNIL recommande de détruire la clé de chiffrement ce qui permettra de virtuellement supprimer l’information puisque le responsable du traitement lui-même ne pourra plus y accéder

 

Bien entendu, toutes ces précautions s’appliquent spécifiquement aux blockchains publiques comme Bitcoin, Ethereum ou encore EOS. Les blockchains privées quant à elles ne sont pas accessibles à n’importe qui n’importe comment, seuls les participants autorisés ont accès aux données et transactions stockées dans la chaîne de blocs et sont normalement légitimes à pouvoir le faire. Ainsi un groupement d’entreprises qui aurait mis en place une blockchain privée pour servir ses objectifs business aurait quoi qu’il arrive à appliquer les principes soutenus par le RGPD mais de la même manière que s’il utilisait une base de données traditionnelle.

 

Conclusion

Finalement toute la polémique que l’on a vu émerger avant la mise en place du RGPD ou même encore maintenant, on trouve régulièrement des débats chez les clients qui veulent se lancer dans la blockchain, n’a pas lieu d’être. Les technologies de blockchain publiques ne sont pas responsables de la collecte ou du traitement des données qu’elles contiennent, ce sont les acteurs aux extrémités qui portent cette responsabilité. Quant à l’utilisation des blockchains privées, on l’a vu, elle rentre dans le même cadre que l’utilisation d’une base de données du marché qui serait centralisée, les principes du RGPD s’appliquent de la même manière.