De nature anti conventionnelle, la Blockchain se répand de plus en plus. A trois mois de l’entrée en vigueur du règlement général sur la protection des données, cette technologie est-elle en conformité avec la nouvelle loi européenne ? Une union entre les deux est-elle possible ?

Par définition, la blockchain est une technologie qui permet de transférer et de stocker des données issues de tous types de fichiers. Cela comprend naturellement des informations personnelles.

A seulement quelques semaines de sa mise en place, le RPGD reste encore très floue vis-à-vis de cette technologie. Nul n’est censé ignorer la loi certes, mais qu’en est-il des entreprises qui utilisent et/ou fournissent des services issus de la technologie ? Aujourd’hui, un certain nombre d’entre elles ont pris les devants en offrant exclusivement un service de « Blockchain privée », système pour lequel les permissions d’accès et de lectures sont contrôlées de façon beaucoup plus stricte.

Un moyen de bénéficier des avantages de la technologie tout en garantissant un maximum de sécurité. L’entreprise assume la responsabilité juridique et n’aurait à priori aucun souci face au RGPD. Une certitude ébranlée pour la blockchain publique dont l’existence même est dorénavant compromise.

Une technologie par essence contre l’autorité

En 2008, Satoshi Nakamoto (pseudo utilisé par le/les mystérieux concepteur(s) de la Blockchain et du Bitcoin) dévoile un procédé d’échanges totalement neutre à une autorité centrale s’appuyant sur un réseau décentralisé. La technologie sécurise la circulation des données en les rendant autonomes avec le peer-to-peer. La volonté du concepteur est de rendre la Blockchain par nature publique, garantissant un accès libre à tout le monde moyennant un petit investissement en bitcoins. En matière de cryptologie, plusieurs procédés sont utilisés, lors de la création d’un compte (avec la création d’une paire de clefs privé/publiques), ou lors de l’inscription des transactions (avec une technique d’empreinte dites hash).

Et la confidentialité n’est pas l’objectif premier. Le chiffrement a pour but de vérifier le respect des règles de la Blockchain, authentifier l’utilisateur et garantir l’impossibilité de revenir sur une transaction effectuée. La technologie se base sur la confiance entre les acteurs matérialisés via les « smarts contracts » conditionnant les transactions. Ce sont eux qui jouent le rôle de ce qui se rapproche le plus d’une autorité centrale. Malgré un très bon fonctionnement jusqu’à présent, le futur de la Blockchain va dépendre de sa capacité à intégrer les différentes réglementations en matière de protection de la vie privée. Une étape difficile actuellement tant la technologie parait anti régulationniste.

Blockchain et RGPD, entre consiliences et défaillances

En décortiquant plusieurs articles du règlement général sur la protection des données, des disparités apparaissent entre qui est compatible ou pas avec la technologie Blockchain.

Tout d’abord, le responsable du traitement cité dans l’article 4 du règlement européen est défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui seul ou conjointement avec d’autres, détermine les moyens et les finalités du traitement ». C’est cette entité qui est assujetti à la responsabilité juridique du traitement des données. Même si des individus appelés « mineurs » travaillent pour le bon fonctionnement de la technologie, cette dernière n’en demeure pas moins totalement décentralisée. En tant que telle, la Blockchain n’a personne à sa tête et donc totalement incompatible avec l’article 4 du règlement.

L’article 7 du RGPD stipule que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique et éclairée son accord au traitement de données à caractère personnelles au moyen d’une déclaration écrite et/ou orale ». Une disposition qui ne pose aucun problème à la Blockchain. Chaque utilisateur vérifie et valide chaque donnée avant qu’elle ne soit inscrite sur le réseau. Les historiques de transactions apportent une preuve supplémentaire de consentement.

Autre idée mise en avant dans le RGPD : « le privacy by design ». Ce concept impose à une entreprise de prendre en compte la protection des données en amont de la conception d’un produit ou d’un service. Une difficulté pour les services de blockchains publiques mais qui n’est pas insurmontable. Les signatures numériques nécessaires pour son utilisation peuvent jouer ce rôle d’assureur.

Le droit à l’effacement mis en avant via l’article 17 indique que « toute personne a le droit d’obtenir du responsable de traitement l’effacement, dans les meilleurs délais, de données à caractères personnelles ». Seul hic, les informations inscrites sur la blockchain ne sont ni effaçables ni rectifiables. Pour se faire, il est nécessaire que plus de 50% des mineurs travaillent ensemble à la reconstruction de la chaine de blocs une fois la donnée modifiée ou supprimée. Impossible pour l’heure car ils sont répartis à l’international.

Une incompatibilité qui s’applique également à l’article 5 du règlement sur la conservation limitée des données. Ce principe instaure que les données ne peuvent nullement être conservées pendant une durée excédante celle nécessaire à leurs traitements. Rappelons que dans la Blockchain, les données non effacées sont forcément conservées indéfiniment.

Telle qu’elle se présente aujourd’hui, la Blockchain publique n’est pas en conformité avec le RGPD. Certains ajustements sont à effectuer mais ils vont à l’encontre des principes d’existence de la technologie : anticonformité ou encore liberté totale des échanges. Pour l’heure une chose est sûre, il ne reste que trois mois, le temps presse…