La blockchain, littéralement « chaîne de blocs », est une technologie de stockage et de transmission d’informations. Elle se caractérise en étant transparente, décentralisée, irréversible et fonctionnant sans organe central de contrôle.
La blockchain ne constitue pas en elle-même un traitement de données personnelles au sens du RGPD et de la loi Informatique et Libertés, mais c’est une technologie pouvant servir de support à un tel traitement.
Trois types d’acteurs se retrouvent sur la blockchain, les accédants qui peuvent lire la chaîne, les participants qui peuvent inscrire sur la chaîne, et les mineurs qui connectent leur(s) machine(s) sur le réseau afin de permettre le traitement des transactions et la création des blocs.
La CNIL s’est penchée sur le sujet en édictant des premiers éléments d’analyse mi-septembre.
Elle considère que le participant est responsable de traitement, car il détermine les finalités et les moyens de traitement.
Plus précisément, lorsqu’il est une personne physique et que le traitement de données personnelles est en lien avec une activité professionnelle ou commerciale, ou lorsqu’il est une personne morale et qu’il inscrit une donnée personnelle sur la blockchain.
S’il y a plusieurs participants, à eux ensuite de s’organiser pour identifier un participant unique responsable de traitement, ou constituer une personne morale. Sinon, les participants sont responsables conjoints.
Et seraient sous-traitants, les développeurs, notamment de logiciels ou smart contract, et les mineurs qui mettent à disposition leur puissance de calcul.
Plusieurs catégories de données personnelles peuvent être ancrées sur la blockchain.
L’identifiant des participants et des mineurs, composé d’une suite de caractères alphanumériques qui constituent la clé publique de leur compte. Cette donnée est indirectement "identifiante". Et elle reste visible pour permettre le bon fonctionnement de la chaîne.
Ainsi que les données complémentaires stockées sur la blockchain qui peuvent être de nature très variée en fonction de l’application de la chaîne. Notamment les données relatives à une transaction immobilière, des données de paiement, la copie numérique d’un diplôme.
La CNIL recommande, suivant le principe de privacy by design, de veiller à limiter les risques en réfléchissant en amont à la pertinence d’inscrire de telles données dans une blockchain par rapport à l’utilisation d’une autre technologie, et de recourir au type de blockchain le plus approprié.
En effet, notamment en s’interrogeant sur les transferts de données en dehors de l’UE, car les mineurs peuvent être dispersés dans le monde entier. Une blockchain à permission serait alors plus appropriée car le responsable de traitement peut encadrer de tels transferts, notamment grâce à des clauses contractuelles types, un code de conduite ou un mécanisme de certification, contrairement à une blockchain publique où il n’est pas possible d’exercer réellement un contrôle sur la localisation des mineurs.
Enfin, étant par nature irréversible, la blockchain pose des difficultés afin de rendre l’exercice des droits des personnes concernées effectif. En effet, si les droits d’accès et de portabilité peuvent être exercés de manière effective, les droits de rectification, d’effacement et d’opposition au traitement nécessitent une réflexion plus approfondie au niveau européen. En effet, il est techniquement impossible d’effacer des données ancrées sur la blockchain. La CNIL recommande ainsi d’utiliser le chiffrement pour rendre la donnée quasi inaccessible, par exemple en supprimant la clé secrète de la fonction de hachage.
Avant de mettre en œuvre un tel traitement de données utilisant la blockchain, il peut être opportun de mesurer puis maîtriser les risques en réalisant une analyse d’impact relative à la protection des données.
Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements.
Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ICI.