L’European Union Blockchain Observatory and Forum (l’ « Observatoire) vient de publier un rapport mettant en lumière les tensions existantes entre la technologie Blockchain et le Règlement Général sur la Protection des Données (RGPD). Le rapport se veut résolument optimiste. Petit tour d’horizon.
Présentation de l’Observatoire
La technologie Blockchain consiste à stocker des blocs d’informations de façon distribuée sur le réseau. Elle est considérée comme une avancée majeure. En effet, elle elle apporte un niveau élevé de traçabilité et de sécurité dans les transactions en ligne. On s’attend à ce qu’elle fasse changer les services numériques et transformer les modèles économiques dans divers secteurs comme les soins de santé, l’assurance, la finance, l’énergie, la logistique, la gestion des droits de propriété intellectuelle ou les services publics.
Lancé le 1er février 2018, l’Observatoire a comme objectifs de mettre en lumière les développements clés de la technologie de la Blockchain, d’encourager les acteurs européens et de renforcer l’engagement de l’Europe auprès de multiples parties prenantes participant aux activités de la Blockchain.
La Commission européenne espère que l’Observatoire aidera l’Europe à saisir les nouvelles opportunités offertes par la chaîne de blocs, à accumuler de l’expertise et à s’afficher en leader du domaine. En effet, l’Europe ne veut pas rater les retombées financière et d’emploi qui seront liées aux développements de la Blockchain. Il faut (très) agir vite au risque de voir la technologie se développer aux Etats-Unis ou en Chine et l’Europe dès lors contrainte d’utiliser les modèles et standards conçus ailleurs.
A ce titre, l’Observatoire collectera des informations, suivra et analysera les tendances, se penchera sur les défis à relever et examinera le potentiel socioéconomique des chaînes de blocs. Il permettra la coopération transfrontière sur des cas concrets, rassemblera les meilleurs experts d’Europe et pourra constituer un forum ouvert pour les spécialistes de cette technologie, les innovateurs, les citoyens, les parties prenantes du secteur, les pouvoirs publics, les autorités de régulation et de surveillance, où ils pourront débattre et élaborer de nouvelles idées et ainsi apprendre, interagir et contribuer de façon ouverte.
ConsenSys, société active sur ce segment, est chargée, en coopération étroite avec les services de la Commission européenne, de gérer l’Observatoire (et sa communication).
La Blockchain et le RGPD, sujet d’étude de l’Observatoire
L’Observatoire a organisé le 8 juin 2018 un workshop sur les liens entre la Blockchain et le RGPD. Son rapport vient d’être publié. Important à noter (et c’est rappelé en préambule du rapport), le rapport a été rédigé par ConsenSys et non par la Commission européenne. Il ne lie donc pas les institutions européennes.
Tout comme le récent rapport de la CNIL (que nous vous avions commenté sur notre site web), le rapport commence par expliquer ce que sont le RGPD et la Blockchain en rappelant que le RGPD a été négocié et voté sans tenir compte de la technologie décentralisée Blockchain.
Le rapport est très intéressant et complète adéquatement celui de la CNIL auquel il fait référence à de nombreuses reprises. Il rappelle à de nombreuses occasions que rien n’est fixé pour l’instant ni juridiquement, ni technologiquement. ConsenSys en appelle d’ailleurs à des clarifications régulatoires (surtout venant de l’EDPB ou de décisions judiciaires).
Les points principaux du rapport
Le RGPD impose de définir qui est responsable du traitement/sous-traitant/responsables conjoints. Cette détermination est plus évidente dans les blockchains privées mais presqu’impossible dans les blockchains publiques. Le rapport appelle à ne pas considérer les développeurs des blockchains comme des responsables potentiels ni les personnes (les noeuds ou nodes) qui approuvent les transactions. Quid des utilisateurs de la blockchain concernée? Ils pourraient être considérés comme responsables du traitement tout en bénéficiant de l’exemption « traitements domestiques » (art. 2.2.c du RGPD) si leurs actions se produisent uniquement dans le cadre de leur famille.
Car écrit par ConsenSys, le rapport s’attarde beaucoup plus sur la problématique de l’anonymisation/pseudonymisation des données stockées sur la blockchain.
Le RGPD ne s’applique qu’aux données personnelles et aux données pseudonymisées. Pas aux données anonymes ni aux données non personnelles. Toutefois, il est extrêmement difficile, dans notre monde numérique gouverné par les big data, d’avoir de réelles et définitives données anonymes et/ou anonymisées. En effet, il serait pour l’instant toujours possible (et encore plus facilement dans un futur proche grâce aux ordinateurs quantiques) de retrouver les personnes derrière les données anonymisées.
ConsenSys rappelle qu’il existe de nombreuses techniques pour rendre des données à caractère personnel pseudonymisées à un niveau très élevé. Ces techniques permettraient d’avoir un niveau de sécurité actuel maximum compte tenu de l’état de la technique d’aujourd’hui.
Concernant les droits des personnes concernées, le rapport rejoint celui de la CNIL. L’exercice de ces droits sera souvent lié à la difficulté de déterminer et de savoir qui est/sont le/les responsable(s) du traitement. Le rapport met par exemple aussi en évidence que le caractère global et mondial des blockchains entre en conflit avec le fait de ne pouvoir transférer des données personnelles que dans des pays ayant un niveau de protection relatif aux données personnelles équivalent avec les règles européennes.
Recommandations du rapport
Le Rapport se veut pratique. A ce titre, il recommande de:
- analyser, préalablement à l’implémentation d’une blockchain spécifique, de bien réfléchir si cette technologie est bien la réponse adéquate aux problèmes rencontrées. En effet, il est faux de croire que la Blockchain sera la solution à tous les problèmes ;
- de ne pas stocker des données personnelles en clair sur une blockchain surtout s’il s’agit d’une blockchain publique comme celle derrière les bitcoins. Il faudrait, au préalable et à l’aide de différentes techniques, rendre les données pseudonymes à un niveau très élevé ;
- si des données personnelles doivent être stockées sur une blockchain, il faudrait utiliser une blockchain privée et donc contrôlée par un consortium d’entreprises, comportant des noeuds limités et des règles bien définies;
- être toujours transparent vis-à-vis de l’ensemble des personnes concernées par la blockchain (développeurs, gérants, utilisateurs, public).
Conclusion
La société ConsenSys se veut optimiste quant à la résolution des tensions qui existent actuellement entre la technologie Blockchain et la régulation relative à la protection des données personnelles. Dans la lignée de la CNIL, ConsenSys appelle à des solutions pragmatiques et annonce que les développements de cette technologie vont tenir de plus en plus compte des exigences et des obligations liées au RGPD.
Espérons que ce voeu soit entendu.
Besoin de mettre votre société en conformité avec les exigences nombreuses et variées du RGPD? Un seul livre: le « Guide pratique du RGPD » publié aux Editions Bruylant.
Axel BEELEN, @ipnewsbe