Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?

20 septembre 2018

La Blockchain est une technologie au potentiel de développement fort qui suscite de nombreuses questions, dont parfois celle de sa compatibilité au RGPD. C’est pourquoi la CNIL s’est saisie de ce sujet et propose des solutions concrètes aux acteurs qui souhaitent l’utiliser dans le contexte d’un traitement de données personnelles.

Qu’est-ce que la Blockchain ?

La Blockchain est une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l'ensemble des utilisateurs, depuis sa création. La Blockchain n’est pas, par elle-même, un traitement de données ayant une finalité à part entière : il s’agit d’une technologie, qui peut servir de support à des traitements variés.

A noter : Le terme « Blockchain » est parfois accompagné d'une expression désignant une famille de technologies plus large : celle des registres distribués, ou DLT pour « distributed ledger technology ». Si la CNIL s’intéresse au développement de ces registres, qui incluent les Blockchains mais ne s’y limitent pas, elle a néanmoins choisi de concentrer son analyse sur la seule technologie Blockchain, dans la mesure où les solutions DLT qui ne sont pas des Blockchains sont encore trop récentes et rares pour permettre une analyse générique.

Quelles sont les caractéristiques et les différents types de Blockchain ?

La Blockchain peut se définir au travers des propriétés suivantes :

  • transparence : tous les participants peuvent visualiser l’ensemble des données inscrites ;
  • partage et décentralisation : plusieurs exemplaires de la Blockchain existent simultanément sur différents ordinateurs ;
  • irréversibilité : une fois qu’une donnée est inscrite, elle ne peut pas être modifiée ou supprimée ;
  • désintermédiation : toute décision se fait par consensus entre les participants, sans arbitre centralisé.

En pratique, plusieurs sortes de Blockchain coexistent, mettant en œuvre des niveaux de permission différents pour les différentes catégories de participants. La CNIL utilise la classification suivante :

  • les Blockchains publiques sont accessibles à n’importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la Blockchain ;
  • les Blockchains à permission ont des règles définissant quelles personnes peuvent participer au processus d’approbation ou même effectuer des transactions. Elles peuvent, selon les cas, être accessibles à tous ou être en accès limité ;
  • les Blockchains dites « privées » sont sous le contrôle d’un acteur qui assure seul le contrôle de la participation et de la validation. Selon certains experts, ces usages ne respectent pas les propriétés classiques de la Blockchain, notamment la décentralisation et la validation distribuée. En tout état de cause, elles ne posent pas de question particulière de conformité au RGPD, il s’agit de simples bases de données distribuées « classiques ».

Quels sont les différents acteurs qui interagissent sur la Blockchain ?

La CNIL distingue trois types d’acteurs dans une Blockchain :

  • les « accédants », qui ont un droit de lecture et d’obtention d’une copie de la chaîne ;
  • les « participants », qui ont un droit d’écriture (la création d’une transaction qu’ils soumettent à validation) ;
  • les « mineurs », qui valident une transaction et créent les blocs en appliquant les règles de la Blockchain afin qu’ils soient « acceptés » par la communauté.

Quelles interactions entre RGPD et Blockchain ?

 

Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique. L’architecture et les caractéristiques propres des Blockchains vont toutefois avoir des conséquences sur la manière dont sont conservées et traitées les données personnelles. L’impact de la Blockchain sur les droits des personnes (droit à la vie privée et droit à la protection de leurs données personnelles) appelle donc une analyse spécifique.

Toutefois, cette innovation et la protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes. En effet, le RGPD n’a pas pour objectif de réguler des technologies mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles.

C’est pourquoi la CNIL s’est saisie de ce sujet et, dans le but de contribuer aux réflexions en cours sur ces technologies et leur développement, propose une grille d’analyse et de premières recommandations aux acteurs qui souhaitent y recourir lorsqu’ils mettent en œuvre un traitement de données personnelles.

Quels sont les usages qui impliquent, directement ou indirectement des données personnelles ?


Une solution technologique au soutien du principe de responsabilisation (accountability) ?


Quels sont les points de vigilance ?


Quelles solutions ?


Quel plan d’action pour la CNIL ?


Document reference