Dix ans déjà que la blockchain a été mise au monde et popularisée par l'une de ses applications phares : le bitcoin. Sa compréhension n'en reste pas moins confuse pour beaucoup : l'on renverra à la courte vidéo publiée par Simply Explained[1] pour la clarifier. Les données sont essentielles à la blockchain et nombre d'entre elles sont des données « personnelles » : adresses bitcoin, clés privées pour le chiffrement des messages, ainsi que des données plus identifiantes parmi les éléments des transactions inscrites dans les blocs, comme un nom ou un email.

Plusieurs études - dont deux récents rapports, respectivement de la CNIL[2] et de l'Observatoire et Forum de l'Union Européenne sur la Blockchain[3] - suggèrent une incompatibilité entre cette technologie et certaines règles du Règlement Européen sur la Protection des Données (plus communément appelé « RGPD »). Néanmoins, la blockchain apparait à bien des égards comme un moyen efficace d'atteindre les objectifs poursuivis par nos législations sur la protection des données. Faut-il ainsi voir la protection des données et le développement de la blockchain comme d'inconciliables évolutions ?

La blockchain, un traitement illicite de données personnelles

Les rapports précités confirment certaines des incompatibilités les plus flagrantes entre la blockchain et les lois sur la protection des données personnelles :

-  Y a-t-il un responsable ? Suivant le RGPD, la mission de protéger les données personnelles incombe principalement aux « responsables du traitement », ceux qui sont à l'initiative de la collecte des données et décident de leur utilisation (par exemple, La Tribune est responsable du traitement des données personnelles utilisées pour gérer votre abonnement).

Or, une blockchain « classique » permet difficilement de maitriser les conditions de traitement des données. Autrement dit, il est impossible de contrôler matériellement ce que font les différentes parties prenantes ("mineurs", autres participants, etc.) et il est impraticable de nouer avec eux des relations contractuelles lorsque le RGPD l'impose. La CNIL voit tout de même un responsable de traitement dans la personne qui « décide » d'inscrire une donnée dans la blockchain, mais ce seul critère n'est pas forcément convaincant.

-  Quid du droit à l'oubli ? Disposition phare du RGPD, les personnes concernées ont le droit de demander l'effacement ou la rectification de leurs données.

Or, la blockchain est construite autour du principe d'immuabilité des données gravées au sein de ses blocs. Sans cela, l'absence de fraude ne serait plus garantie et cette technologie perdrait tout intérêt. Impossible donc d'obtenir l'effacement ou la modification de tout ou partie de ses données. Ce constat semble identique pour les données qui doivent faire l'objet d'une purge lorsque leur traitement n'est plus nécessaire (par exemple, à l'expiration d'un contrat).

Rassurons-nous tout de même en notant que d'autres obligations du RGPD peuvent être parfaitement respectées avec une blockchain (par exemple, le fameux « droit d'accès », facilité par le caractère transparent des blockchains).

Il n'en reste pas moins que cette technologie est, par nature, irréconciliable avec certains principes fondamentaux du RGPD.

La plupart des solutions envisagées sont en réalité des manœuvres de contournement, consistant soit à ne pas recourir à la blockchain, soit à se tourner vers des blockchains « à permission ». Ces dernières sont des blockchains privées dont les règles de fonctionnement sont confiées à quelques personnes seulement (voire à une seule). Bien qu'elles permettent une gestion plus scrupuleuse de la vie privée, elles ne remplaceront jamais totalement les blockchains classiques. Pour ces dernières, la CNIL renvoie pour l'instant à des « réflexions plus poussées ».

La blockchain, une technologie protectrice de la vie privée

Prenons du recul, et rappelons-nous que nos lois sur la protection des données sont d'abord nées de la volonté de se prémunir contre les possibles abus des Etats, puis des entreprises commerciales. La loi française « Informatique et libertés » de 1978 était ainsi une réponse au scandale « SAFARI », provoqué par le projet gouvernemental de regrouper des millions de données de citoyens dans un seul fichier. Plus récemment, le RGPD a été motivé en grande partie par la volonté de se prémunir contre les GAFAM.

Les règles actuelles ont donc pour but de protéger les individus contre les abus d'un seul (ou de quelques-uns), dans un univers centralisé. Or, la blockchain est justement la promesse d'un espace d'échanges décentralisé où le « tiers de confiance » n'est plus nécessaire.

Par cette simple considération, l'on comprend que la blockchain ne pourra jamais complètement intégrer les règles du RGPD. Pour autant, cette inadéquation n'est pas forcément de nature à mettre nos données en péril. En effet, la blockchain apparaît également comme un moyen très efficace de réaliser plusieurs des objectifs les plus fondamentaux du RGPD :

-    Sans administrateur central, les risques d'abus d'une personne (ou de quelques-unes) sont en principe annihilés par le nombre des autres, aux pouvoirs identiques ;

-    Les données sont inscrites de manière sécurisée dans la blockchain limitant ainsi les fraudes, falsifications et autres détournements ;

-    Les données essentielles au fonctionnement d'une blockchain sont peu identifiantes, car il s'agit de numéros, uniques certes, mais ne permettant pas à eux seuls d'associer un visage ;

-    La blockchain permet aussi de limiter la collecte de données : le créateur du Bitcoin - Satoshi Nakamoto - souligne très justement que dans une relation commerciale classique, le nombre de données collectées s'explique souvent par le nombre de garanties que souhaitent se créer les responsables de traitement, vis-à-vis de leurs futurs clients. Or, la blockchain permet justement d'entrer sereinement en relation (commerciale) avec une personne dont nous ignorons tout.

En somme, les blockchains « classiques » auront bien du mal à montrer patte blanche vis-à-vis du RGPD, mais elles ne représentent pas forcément, par elles-mêmes et à condition qu'elles soient utilisées de manière responsable, un risque pour notre vie privée. Cet argument mérite d'être pris en considération, notamment par les autorités de contrôle qui devraient néanmoins avoir bien du mal à parfaitement réconcilier l'esprit de la blockchain et la rigueur de la norme RGPD.

[1] https://www.youtube.com/watch?v=SSo_EIwHSd4

[2] https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles

[3] https://www.eublockchainforum.eu/sites/default/files/reports/20181016_report_gdpr.pdf

(*) Suivre Sylvain Naillat sur Twitter, qui exerce dans le domaine du droit des nouvelles technologies, des données personnelles et de la propriété intellectuelle.