Blockchains et RGPD : l’UE démystifie sans trancher
Certains usages des blockchains présentent des zones grises au regard du RGPD, estime la Commission européenne.
Les blockchains devraient être utilisées pour stocker une preuve d’existence de certaines données ; pas pour stocker les données elles-mêmes.
Cette recommandation* figure dans un rapport (document PDF, 36 pages) signé de l’observatoire monté en début d’année par la Commission européenne.
Un aspect des blockchains y est plus particulièrement abordé : leur compatibilité avec le RGPD. Ou plutôt la compatibilité des usages qui en sont faits.
Plusieurs points de friction sont listés. En premier lieu, l’identification des responsables des traitements de données personnelles.
Le cas des blockchains publiques – qu’elles implémentent ou non un système de validation des participants autorisés à valider des transactions – est particulièrement problématique.
Le rapport préconise que les développeurs des protocoles de registres décentralisés ne soient pas considérés comme responsables des traitements. Entre autre parce qu’ils ne décident généralement pas de la manière dont leur outil est exploité. « [Leur] attribuer la responsabilité […] reviendrait à tenir la DARPA ou Tim Bernes-Lee responsables de tout ce qui se passe sur le Web », résume la Commission européenne.
Qu’ils valident ou non des transactions, les nœuds constitutifs d’une blockchain ne devraient pas non plus être considérés comme responsables des traitements. Essentiellement parce qu’ils n’en déterminent ni les moyens, ni la finalité, estime la Commission.
Qu’en est-il des utilisateurs de ces réseaux ? S’ils y inscrivent des données personnelles dans le cadre d’une activité d’entreprise, ils sont probablement responsables des traitements. Ils ne le sont en revanche probablement pas si l’inscription des données se fait dans le cadre d’un usage personnel, comme l’achat-vente de crypto-monnaies.
Vraiment anonyme ?
Autre sujet de débat : l’anonymisation. Le RGPD ne s’applique pas aux données personnelles qui ont subi ce traitement.
Pour être véritablement considérées comme anonymisées, les données ne doivent pas permettre d’identifier de personne physique par « tous les moyens raisonnables ». Et le processus qui a permis de les rendre anonymes doit être irréversible.
Or, c’est le flou sur l’efficacité de certains de ces processus. Ne serait-ce, souligne le rapport, que pour ceux qui exploitent des clés de chiffrement : aussi longtemps que ces clés existent, peut-on considérer que les données sont anonymes ?
Le cas du hachage est une zone grise par excellence ; d’autant plus si on associe des techniques comme le salage (ajout d’informations supplémentaires au hash pour éviter les attaques par force brute).
Les adresses visibles de tous sur les blockchains publiques posent elles aussi problème. Plus encore si elles sont réutilisées : l’identification de patterns peut mener à l’identification de personnes.
Droit à l’oubli
La difficulté à déterminer l’identité des responsables de traitement a des conséquences sur de nombreuses dispositions du RGPD. Par exemple la légalité des traitements : à qui donne-t-on son consentement lorsqu’on utilise une blockchain publique ?
Les droits des personnes dont les données personnelles sont traitées posent également question. Y compris sur les blockchains privées : les accords contractuels associés à leur usage sont susceptibles de ne pas garantir systématiquement le respect desdits droits.
La nature même des blockchains soulève aussi des interrogations sur la capacité à modifier et à supprimer des données sans perturber le fonctionnement du réseau. Sur ce point, la CNIL estime acceptable, à défaut de pouvoir procéder à une suppression, d’utiliser une technique de chiffrement suffisamment robuste et de détruire la clé privée.
* Parmi les autres recommandations : effectuer les collectes de données hors blockchain.