Pour gérer vos consentements :

Les blockchains sont-elles compatibles RGPD ?

Blockchain et RGPD, une union impossible ?

La CNIL posait la question l’été dernier, en réaction aux propos de Blandine Poidevin et Christine Vroman.

Les deux avocates s’était exprimées, quelques semaines auparavant, dans le magazine Expertises. Elles avaient soulevé plusieurs incompatibilités potentielles entre lesdites blockchains et les dispositions du règlement européen, dont l’entrée en application est fixée au 25 mai 2018.

De l’autre côté de l’Atlantique, on brandit aussi l’épouvantail. Illustration avec Coin Center. Le think tank américain appelle les régulateurs européens à considérer la réalité des technologies de registres décentralisés… et à envisager une « exception » sous peine de « [se fermer] à l’avenir d’Internet ».

Ses observations rejoignent globalement celles de la CNIL. Cette dernière avait notamment souligné que les données traitées sur les blockchains ne sont pas systématiquement anonymes. Elles peuvent aussi être pseudonymes, auquel cas les obligations prévues par le RGPD doivent s’appliquer.

Réunies sous l’égide du collectif Article 29, les autorités européennes chargées de la protection des données avaient rendu un avis sur le sujet en avril 2014. Elles avaient, dans les grandes lignes, affirmé que rendre des données effectivement anonymes impliquait impérativement d’empêcher « de manière irréversible » toute possibilité d’identification d’individus par « tous les moyens envisageables et raisonnables ».

La blockchain et l’oubli

Un problème se pose en premier lieu avec les blockchains publiques telle celle de Bitcoin.

Le cabinet d’avocats Hogan Lovells résume la situation : à toutes les transactions enregistrées sont associées des clés publiques (hashs), chiffrées dans l’absolu, mais susceptibles, par recoupements, de permettre des identifications indirectes. Et ainsi d’entrer dans la catégorie des données personnelles sous le régime du RGPD.

Dans ce scénario se pose une question : qui est responsable du traitement ? D’après l’article 4 du règlement, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Les blockchains publiques étant par nature décentralisées, il apparaît difficile d’apporter une réponse. Les participants au réseau pourraient éventuellement être considérés comme responsables de traitement conjoints. Leur rôle pourrait aussi être considéré comme purement technique (mise à disposition de capacités de calcul) et, à la rigueur, faire d’eux des sous-traitants.

Autre pierre d’achoppement : les articles 16 et 17 du RGPD, qui donnent aux citoyens de l’UE le droit d’obtenir la rectification et l’effacement de leurs données. Des dispositions a priori incompatibles avec la logique d’immutabilité des blockchains.

La question est moins prégnante dans le cas des blockchains privées, qui peuvent être encadrées par des administrateurs et donc être plus facilement modifiées. Ce qui remet néanmoins en cause leur principale valeur ajoutée face à des bases de données traditionnelles, tout en imposant des coûts (déduplication, contre-vérification…).

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago