Souvent décrites comme inconciliables, les relations entre la protection des données personnelles et la technologie de la blockchain sont en réalité plus complexes qu’il n’y paraît.

À l’ère du web 3.0, le concept de décentralisation devient central, via son émanation matérielle, la blockchain. La blockchain est "un registre, une grande base de données qui a la particularité d’être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire des données, selon des règles spécifiques fixées par un protocole informatique très bien sécurisé grâce à la cryptographie". Le mathématicien Jean-Paul Delahaye en propose une explication plus imagée :

 "Un grand cahier impossible à effacer et mis à la disposition de tous, par exemple sur la place de la Concorde à Paris, serait-il utile ? Oui, si ce cahier est informatisé. Il pourrait donner plus de liberté et dispenser du recours à des autorités administratives, monétaires, juridiques, etc.".

On parle de "la" blockchain mais il serait plus juste d’écrire "les" blockchains. Au-delà du fait qu’elles se multiplient, il en existe en effet plusieurs types et notamment les blockchains publiques ou privées.

Les premières sont celles qui incarnent le mieux le concept de décentralisation. Elles sont accessibles à tous et ne sont contrôlées par aucune entité centrale. À l’inverse, les blockchains privées sont "gouvernées"par une entité centralisée qui en contrôle le processus d’approbation des transactions.

Quelles sont les données personnelles traitées ?

Des données personnelles sont traitées, via des plateformes et les points d’entrée et de sortie de la blockchain, ou directement au sein d’une blockchain – l’hypothèse ici serait que le contrat codé contienne des données personnelles.

En premier lieu, les acteurs des blockchains sont identifiés via une adresse, une clé publique, sous forme d’un pseudonyme composé aléatoirement de chiffres et de lettres. Le pseudonyme, comme l’adresse IP, est considéré comme une donnée personnelle car il est possible de remonter jusqu’à la personne physique à laquelle il est rattaché et de retrouver des données personnelles telles que les nom, prénom, adresse mail, etc. C’est ce qui le différencie de l’anonymisation qui ne permet aucune identification.

Le croisement de données peut permettre de retracer les transactions d’une clé publique vers son "point d’entrée" sur la blockchain, comme dans le cas d’usage suivant:

- le premier achat d’actifs numériques est réalisé à l’aide de monnaie ayant cours légal;

- l’utilisateur va procéder à son inscription sur une plateforme gérée par un prestataire de services sur actifs numériques ("PSAN") afin d’acheter des cryptomonnaies et/ou de réaliser des transactions ;

- le PSAN va devoir récolter un certain nombre d’informations et données personnelles relatif au titulaire du compte et nécessaires au respect de la réglementation en matière de "KYC" (Know Your Customer);

- le prestataire ayant connaissance de l’identité du détenteur de la clé publique pourra remonter jusqu’à lui. Les blockchains privées permettent d’accéder à des éléments cryptés, accessibles uniquement avec une clé par des personnes autorisées, tels qu’une pièce d’identité, un diplôme ou encore un contrat contenant des données personnelles.

- le prestataire ayant connaissance de l’identité du détenteur de la clé publique pourra remonter jusqu’à lui.

Les blockchains privées permettent d’accéder à des éléments cryptés, accessibles uniquement avec une clé par des personnes autorisées, tels qu’une pièce d’identité, un diplôme ou encore un contrat contenant des données personnelles.

"Des données personnelles sont traitées, via des plateformes et les points d’entrée et de sortie de la blockchain ou directement au sein d’une blockchain si le contrat codé contient des données personnelles"

Enfin, l’usage des NFT (jetons non fongibles) peut consister ou contenir directement une donnée personnelle, comme une photo, ou y faire référence via un titre ou encore un lien vers un ou des fichiers inclus dans les métadonnées.

Qui est responsable des blockchains publiques ?

Si la détermination du responsable de traitement, imposée par le RGPD en vue de permettre aux personnes d’exercer leurs droits en cas de défaillance en matière de protection des données, est aisée en ce qui concerne les blockchains privées, celle-ci se heurte à l’absence de responsable dans les registres distribués ouverts tels que les blockchains publiques.

Qui, parmi les acteurs des blockchains publiques, pourrait relever de cette qualification ?

La Cnil considère que "les participants, qui ont un droit d’écriture sur la chaîne et qui décident de soumettre une donnée à la validation des mineurs peuvent être considérés comme responsables de traitement", sous réserve qu’ils agissent dans un cadre non exclusivement personnel.

Si nous suivons cette analyse, certes un peu ancienne, toute personne à l’initiative de la transaction et qui soumettrait les données à validation serait responsable de traitement. Cette qualification semble néanmoins difficile à mettre en œuvre en pratique compte tenu du nombre de participants, de plus agissant sous pseudonyme.

Toujours en suivant l’analyse de la Cnil, les mineurs, validant les transactions, ne seraient pas considérés comme responsables de traitements mais peuvent être qualifiés de sous-traitants du fait qu’ils suivent les instructions du responsable de traitement dès lors qu’ils doivent vérifier que la transaction respecte certains critères techniques imposés.

Quelles pistes vers une mise en conformité ?

Dans l’hypothèse d’une blockchain privée, une mise en conformité sera nécessairement facilitée du fait de la centralisation, matérialisée par un contrat entre les acteurs et qui permet de cantonner la divulgation des données personnelles et ainsi de les protéger plus activement.

La question classique du droit à l’oubli versus l’immuabilité de la blockchain mise à part, certains principes du RGPD peuvent être utilement mis en œuvre dans le cadre de blockchains même publiques, à savoir notamment les principes de "Privacy by design" et "Privacy by default" et le respect de l’obligation d’information.

Plusieurs mesures peuvent être mises en place et notamment des mesures de sécurité, en particulier des procédés cryptographiques et des solutions répondant au principe de minimisation des données, notamment via le "Zero Knowledge Proof" ou "ZKP" ("preuves à divulgation nulle de connaissance" en français).

La mise en place du ZKP permet d’attester d’une situation sans avoir à fournir de données correspondantes. Ce protocole permettrait par exemple de prouver à un utilisateur qu’il possède bien des Bitcoins, sans pour autant indiquer sa signature ou adresse publique. Le ZKP connaît de nombreux cas d’utilisations et de nombreux usages favorables à la protection des données.

Face à la complexité technique que représente la blockchain, une information d’autant plus claire et didactique doit être fournie aux utilisateurs. Le manquement à cette obligation d’information étant l’un des plus souligné lors des sanctions rendues par les différentes autorités de protection des données, les responsables de traitement doivent redoubler de vigilance.

SUR L’AUTEUR

Mathilde Carle, avocate aux barreaux de Paris et New York, intervient dans le domaine de la propriété intellectuelle, des nouvelles technologies et de la protection des données personnelles. Elle a développé une expertise dans les secteurs de l’audiovisuel, de la mode et des nouvelles technologies.


GUIDE ET CLASSEMENTS

> Guide 2024

Personnes citées

Mathilde Carle

Mathilde Carle

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}