Le 24 septembre 2018, la CNIL a publié ses recommandations « vie privée » relatives à la blockchain. Comme nous le mentionnons dans notre livre/votre livre de chevet (avant-dernière Fiche de guidance), la compatibilité des solutions blockchain/DLT avec le RGPD n’est pas si évidente. Toutefois, la CNIL n’abandonne pas pour autant! Et c’est tant mieux.
Blockchain? Késako?
La Blockchain est une technologie au potentiel de développement énorme mais qui suscite de nombreuses questions juridiques et techniques. La question de sa compatibilité au Règlement Général sur la Protection des Données (RGPD) est au coeur de l’actualité. En effet, l’Europe s’est saisie du sujet et entend faire de l’Europe un centre de développement en la matière.
La problématique de la conformité au RGPD des solutions décentralisées comme le sont les solutions blockchain fut encore rappelé lors du colloque qui s’est tenu en juin 2018 à Bruxelles et organisé par l’European Union Blockchain Observatory and Forum. Nous vous conseillons d’ailleurs de lire le Paper qui avait été préparé pour le colloque.
Comme le rappelle la CNIL sur son site (à ce sujet, pour connaître ce que la CNIL pense du sujet, il vous faudra ET lire son intéressant rapport de 11 pages ET ce qui est mentionné sur la page web de la CNIL consacré à la Blockchain, page qui reprend le rapport en question. En effet, le rapport ne reprend pas tout ce qui est mentionné en html sur la page web. Etrange…), la Blockchain est une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l’ensemble des utilisateurs, depuis sa création.
La Blockchain n’est pas, par elle-même, un traitement de données ayant une finalité à part entière : il s’agit d’une technologie, qui peut servir de support à des traitements variés.
Analyse du rapport de la CNIL
Le rapport est divisé en quatre parties:
- La Blockchain : quelles solutions pour un usage responsable en présence de données personnelles
- Comment minimiser les risques pour les personnes lorsque le traitement s’appuie sur une Blockchain ?
- Comment assurer un exercice effectif des droits ?
- Quelles sont les exigences en matière de sécurité ?
Première partie du rapport
La première partie se penche sur la problématique de savoir qui est responsable du traitement, si l’ensemble des participants sont des (co)-responsable de traitement dans une blockchain et s’il y a des sous-traitants dans une blockchain.
Selon la CNIL, les participants à une blockchain qui ont un droit d’écriture sur la chaîne et qui décident de soumettre une donnée à la validation des mineurs peuvent être considérés comme responsables de traitement.
En effet, les participants à une Blockchain déterminent les finalités (les objectifs poursuivis par le traitement) et les moyens mis en œuvre (format de la donnée, recours à la technologie Blockchain, etc.).
Plus précisément, la CNIL est d’avis que le participant est responsable de traitement :
- lorsqu’il est une personne physique et que le traitement de données personnelles est en lien avec une activité professionnelle ou commerciale (c’est-à-dire lorsque l’activité n’est pas exclusivement personnelle) ;
- lorsqu’il est une personne morale et qu’il inscrit une donnée à caractère personnel sur la Blockchain.
La CNIL cite en exemple, le cas d’un notaire qui enregistre le titre de propriété de son client dans une Blockchain. Dans ce cas, le notaire est responsable de traitement.
Mineurs, principe d’exception domestique
Par contre, les mineurs qui se limitent à la validation des transactions que lui soumettent les participants et qui n’interviennent pas sur l’objet de ces transactions ne sont pas des responsables du traitement. En effet, selon la CNIL, ils ne déterminent pas les finalités et les moyens à mettre en œuvre. Par ailleurs, les personnes physiques qui inscrivent des données à caractère personnel dans la Blockchain, en dehors d’une activité professionnelle ou commerciale, ne sont pas responsables de traitement (en application du principe d’exception domestique prévu à l’article 2 du RGPD).
Coresponsabilité
Lorsqu’un groupe de participants décide de mettre en œuvre un traitement ayant une finalité commune, la CNIL recommande que le responsable de traitement soit identifié en amont.
Par exemple, les participants peuvent créer une personne morale sous la forme d’une association ou d’un GIE. Elles peuvent également choisir d’identifier un participant qui prend les décisions pour le groupe et de le désigner comme responsable de traitement.
À défaut, tous les participants pourraient être considérés comme ayant une responsabilité conjointe, conformément à l’article 26 du RGPD et devront donc définir, de manière transparente, les obligations de chacun aux fins d’assurer le respect de la règlementation.
Il est nécessaire que les personnes concernées (celles dont les données à caractère personnel sont enregistrées sur la Blockchain) sachent vers quelle entité se tourner pour un exercice effectif de leurs droits et que les autorités de protection disposent d’un point de contact qui puisse rendre des comptes sur le traitement mis en œuvre.
S’agissant des smart contracts, comme pour tout logiciel, le concepteur de l’algorithme pourra être un simple fournisseur de solution ou, lorsqu’il participe au traitement, être qualifié de sous-traitant ou de (co)-responsable de traitement en fonction de son rôle dans la détermination des finalités.
Sous-traitants?
Selon la CNIL, il existe des sous-traitants au sens du RGPD dans une Blockchain. Elle cite en exemple les développeurs de « smart contract », qui traitent des données à caractère personnel pour le compte du responsable de traitement.
Il serait également possible de considérer dans certains cas les mineurs comme des sous-traitants au sens du RGPD. En effet, ils exécutent les instructions du responsable de traitement lorsqu’ils vérifient que la transaction respecte des critères techniques (par exemple un format et une certaine taille maximale, et que le participant est en capacité, vis-à-vis de la chaîne, d’effectuer sa transaction).
Les mineurs devraient donc établir avec le participant, responsable de traitement, un contrat précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du RGPD. Consciente de certaines difficultés pratiques que peut engendrer la qualification de mineurs en tant que sous-traitant dans la Blockchain publique, la CNIL mène actuellement une réflexion approfondie sur cette question.
Deuxième partie du rapport : les risques
Réflexion sur l’utilité de la Blockchain
La CNIL, à l’instar de nombreux auteurs, rappellent qu’il ne faut lancer une Blockchain que si cette technologie est vraiment nécessaire quant à l’objectif que l’on s’est fixée. Si les propriétés techniques d’une Blockchain ne sont pas nécessaires pour atteindre l’objectif, la CNIL recommande de privilégier d’autres solutions permettant d’assurer une entière conformité avec le RGPD.
Dans le cas où l’entreprise décide d’utiliser une Blockchain, il conviendrait de privilégier une Blockchain à permission. En effet, elle permet d’avoir une meilleure maîtrise sur la gouvernance de la donnée personnelle, s’agissant notamment de la problématique des transferts hors UE. La CNIL précise que les solutions existantes permettant d’encadrer les transferts hors UE, tels que les règles d’entreprises contraignantes (les BCR) ou les clauses contractuelles types, sont entièrement applicables dans la Blockchain à permission.
Durée de conservation
L’une des caractéristiques de la Blockchain réside dans le fait que les données qui y sont inscrites ne peuvent être techniquement modifiées ou supprimées : une fois que le bloc auquel est intégrée une transaction a été accepté par la majorité des participants, une transaction ne peut plus en pratique être modifiée. Des solutions techniques existeraient, solutions que la CNIL étudient pour l’instant.
Dans la mesure où les identifiants des participants, c’est à dire leurs clés publiques, sont essentiels au bon fonctionnement de la Blockchain, la CNIL constate qu’il n’est pas possible de les minimiser davantage et que leurs durées de conservation sont, par essence, alignées sur celles de la durée de vie de la Blockchain.
En ce qui concerne les données complémentaires inscrites « dans » une transaction (diplôme, titre de propriété, données à caractère personnel, parfois relatives à des personnes autres que les participants et mineurs), afin d’assurer le respect des obligations de protection des données dès la conception et par défaut, et de minimisation des données, la CNIL recommande de privilégier certaines solutions.
Ces solutions sont celles dans lesquelles la donnée est traitée en dehors de la Blockchain ou, par ordre de préférence, que soit stocké sur la Blockchain :
o un engagement cryptographique ;
o une empreinte de la donnée obtenue par une fonction de hachage à clé ;
o un chiffré de la donnée.
Le principe commun à certaines de ces solutions est que la donnée en clair est stockée ailleurs que sur la Blockchain (comme par exemple sur le système d’information du responsable de traitement) et que seule une information prouvant l’existence de la donnée y est stockée
(engagement cryptographique, empreinte issue d’une fonction de hachage à clé etc.).
Si aucune de ces solutions ne peut être mise en œuvre, et lorsque cela est justifié par la finalité du traitement et qu’une étude d’impact a démontré que les risques résiduels sont acceptables, la CNIL accepte que les données personnelles peuvent être stockées soit avec une fonction de hachage sans clé soit, en l’absence d’autres possibilités, en clair. En effet, certains responsables de traitement peuvent avoir une obligation légale de rendre publiques et accessibles, sans limitation de durée, certaines informations : dans ce cas particulier, un stockage des données à caractère personnel sur une Blockchain publique peut être envisagé, sous réserve qu’une analyse d’impact permette de conclure que les risques sont minimes pour les personnes.
Troisième partie du rapport : l’exercice des droits
Possibilité de compatibilité des autres droits mais quid du droit à l’effacement?
La CNIL constate qu’il est techniquement impossible de faire droit à la demande d’effacement de la personne concernée lorsque des données sont inscrites dans la Blockchain. Toutefois, lorsque la donnée inscrite sur la Blockchain est un engagement, une empreinte issue d’une fonction de hachage à clé ou un chiffré utilisant un algorithme et des clés conformes à l’état de l’art, le responsable de traitement peut rendre la donnée quasi inaccessible, et se rapprocher ainsi des effets d’un effacement de la donnée.
La CNIL cite en exemple, les propriétés mathématiques de certains engagements cryptographiques qui peuvent garantir qu’à la suppression des éléments permettant sa vérification, il ne sera plus possible de prouver ou de vérifier quelle information avait été engagée. L’engagement en lui-même ne présente plus alors aucun risque en termes de confidentialité. L’information devra aussi être supprimée des autres systèmes où elle aura été stockée pour le traitement. Autre exemple cité est celui de la suppression de la clé secrète de la fonction de hachage qui aura un
effet similaire. Il ne sera plus possible de prouver ou de vérifier quelle information avait été hachée. L’empreinte ne présentera plus, en pratique, de risque sur la confidentialité. L’information devra, ici aussi, être supprimée des autres systèmes où elle aura été stockée pour le traitement.
En dehors du cas spécifique de certains engagements cryptographiques, ces solutions ne constituent pas un effacement de la donnée au sens strict dans la mesure où les données existeraient toujours sur la Blockchain.
Néanmoins, la CNIL constate qu’elle permet de se rapprocher de l’exercice effectif de son droit à l’effacement pour la personne concernée. Leur équivalence avec les exigences du RGPD doit être évaluée. Il est techniquement impossible de faire droit à la demande de rectification ou d’effacement de la personne concernée lorsque des données en clair ou hachées sont inscrites dans une Blockchain. Il est donc fortement recommandé de ne pas inscrire une donnée à caractère personnel en clair sur la Blockchain, et de privilégier le recours à un des procédés cryptographiques mentionnés.
Smart contracts
La décision entièrement automatisée provenant d’un smart contract est nécessaire à son exécution, dans la mesure où elle permet de réaliser l’essence même du contrat (ce pourquoi les parties se sont engagées). En ce qui concerne les mesures appropriées, la personne concernée devrait pouvoir obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision après que le smart contract ait été exécuté. Il convient donc que le responsable de traitement prévoie la possibilité d’une intervention humaine qui permette de remettre en cause la décision en permettant à la personne concernée de contester la décision, même si le contrat a déjà été exécuté, et ceci indépendamment de ce qui est inscrit dans la Blockchain.
La CNIL constate aussi que les smart contracts seraient utiles pour arriver à une limitation de l’utilisation des données simplement en le prévoyant en amont dans le programme.
Quatrième partie: la sécurité
Les différentes propriétés de la Blockchain (transparence, décentralisation, infalsifiabilité, désintermédiation) reposent en grande partie sur deux facteurs : le nombre de participants et de mineurs, et un ensemble de fonctions cryptographiques d’autre part.
Dans le cas des Blockchain à permission, la CNIL recommande d’évaluer, en fonction de l’éventuelle divergence ou convergence des intérêts des acteurs participants, un minimum de mineurs permettant d’assurer l’absence de coalition permettant de contrôler plus de 50% des pouvoirs sur la chaîne.
La CNIL recommande également de mettre en place des procédures techniques et organisationnelles pour limiter l’impact sur la sécurité des transactions de l’éventuelle défaillance d’un algorithme (notamment cryptographique), y compris un plan d’urgence à mettre en œuvre permettant de modifier les algorithmes lorsqu’une vulnérabilité est identifiée.
Par ailleurs, il convient de documenter la gouvernance des évolutions du ou des logiciels utilisés pour créer des transactions et miner, et de prévoir des procédures techniques et organisationnelles pour assurer l’adéquation entre les permissions prévues et la mise en pratique.
Une vigilance particulière devrait être portée sur les mesures mises en œuvre pour assurer la confidentialité de la Blockchain si celle-ci n’est pas publique. Tout responsable de traitement mettant en œuvre son traitement via des transactions sur une Blockchain, doit assurer la sécurité des clés secrètes mise en œuvre, en assurant par exemple leur stockage sur un support sécurisé.
Conclusion
Les enjeux que présentent la Blockchain en termes de respect des droits et libertés fondamentaux appellent nécessairement une réponse au niveau européen. La CNIL est l’une des premières autorités à se saisir officiellement du sujet et va s’inscrire dans une démarche de coopération avec ses homologues européens pour proposer une approche solide et harmonisée.
Elle entend également se rapprocher d’autres régulateurs nationaux (AMF, ACPR) afin de poser les bases d’une interrégulation permettant aux acteurs concernés une meilleure lisibilité des diverses règlementations applicables à la Blockchain.
Quid d’une consultation lancée par le régulateur belge?
Picture : Blockchain by Maria Kislitsina from the Noun Project
Axel BEELEN, @ipnewsbe
Pour plus d’informations sur comment implémenter le RGPD/GDPR dans votre entreprise,
n’hésitez pas à nous contacter (axel.beelen@ipnews.be) et à vous procurer notre livre publié aux Editions Bruylant.