La Blockchain et ses principes.
La CNIL définit la Blockchain comme « une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l’ensemble des utilisateurs, depuis sa création ».
En résumé, la Blockchain permet à des participants de créer une transaction qu’ils vont ensuite soumettre à la validation des « mineurs », qui vont créer des blocs conformes aux règles de la Blockchain afin qu’ils soient acceptés par la communauté.
Comme l’indique le rapport, la blockchain comporte les quatre principes suivants :transparence, décentralisation, irréversibilité et désintermédiation.
La Blockchain est donc avant tout une technologie qui permet de réaliser des traitements d’une très grande diversité. Le RGPD est également applicable au traitement réalisé par le biais de la Blockchain.
La qualification des acteurs.
La décentralisation liée à la Blockchain a conduit la CNIL à considérer que chaque participant qui a la possibilité de créer une écriture, doit être considéré comme étant responsable de traitement dès lors qu’il :
est une personne physique et que le traitement est en lien avec son activité professionnelle ou commerciale ; ou
est une personne morale.
Les « mineurs », c’est-à-dire les personnes habilitées à valider une transaction et à créer les blocs, pourraient selon la CNIL, être considérés comme des sous-traitants dans la mesure où ils ne font que « valider » des transactions, donc ils exécutent les instructions des participants, responsables de traitement.
Lorsqu’un groupe de participants décident de mettre en œuvre un traitement, ils sont susceptibles d’être qualifiés de responsables conjoints. La CNIL recommande d’identifier préalablement le responsable de traitement (un participant désigné par les autres ou une personne morale créée à cet effet (GIE, association, etc..).
Les données personnelles concernées.
La CNIL a reçu de nombreuses demandes relatives à la mise en œuvre de traitement utilisant la Blockchain. Elle a pu constater que majoritairement deux catégories de données à caractère personnel étaient concernées :
l’identifiant des participants et des « mineurs », élément indispensable pour permettre l’authentification des acteurs,
des données diverses inscrites dans une transaction et qui dépendent de l’usage de la Blockchain (diplôme, titre de propriété).
Les obligations.
Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique.
Aussi et avant d’utiliser cette technologie, la CNIL rappelle qu’il convient notamment de :
Privacy by design : prendre des mesures appropriées pour tenir compte de la protection des données dans les projets impliquant la Blockchain depuis leur origine ;
encadrer contractuellement le traitement : respecter l’article 28 du RGPD sur la sous-traitance, anticiper les possibles transferts de données à l’international ;
respecter le principe d’accountability : les sous-traitants et les responsables de traitement doivent être en mesure de démontrer le respect des obligations posées par le RGPD ;
mettre en œuvre les mesures de sécurité adaptées au risque ;
réaliser une étude d’impact relative à la protection des données pour analyser la nécessité et la proportionnalité du dispositif et identifier, le cas échéant, les cas pour lesquels d’autres solutions sembleraient plus adaptées ;
respecter les droits des personnes concernées : la Blockchain semble permettre de faire droit à une demande d’accès ou de portabilité. En ce qui concerne les droits à l’effacement, de rectification et d’opposition au traitement, la CNIL indique que certaines solutions technologiques, permettraient de se rapprocher des exigences de conformité du RGPD, mais que leur conformité mérite d’être évaluée. Enfin, des interrogations subsistent, tel le cas des droits des personnes concernées.