Les blockchains confrontées au RGPD: les questions à se poser !
« Nul n’est censé ignorer la loi », pas même la blockchain. Le règlement général sur la protection des données n’en fait pas mention, mais toutes les entreprises sont concernées y compris celles qui fournissent des services blockchain. En effet, le nouveau règlement qui entrera en vigueur à compter du 25 mai 2018 vient renforcer les notions de consentement, de droit à l’oubli et du libre accès, induit le droit à la portabilité des données et prévoit de lourdes sanctions financières en cas de non observation de ses principes. Cependant, il s’avère que de nombreuses entités ne sont que pour partie, ou pas du tout, conformes aux nouvelles dispositions. Qu’en est-il des organisations qui utilisent des blockchain ? Quelles sont les questions de conformité qui se posent ?
Le consentement clair de la personne concernée
Selon les dispositions du RGPD, « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ». Pour Blandine Poidevin, avocate spécialisée dans les technologies de l’information et de la communication, les caractéristiques de la blockchain en font un outil parfaitement adapté pour répondre à ces exigences. En effet, les données validées dans un bloc restent intègres et leur traçabilité est toujours possible, et chaque utilisateur peut vérifier et valider les données avant qu’elles ne soient intégrées dans la blockchain. L’historique des transactions constitue en ce sens un bon moyen de preuve du consentement.
La blockchain est-elle responsable du traitement des données ?
En tant que protocole, une blockchain ne peut être responsable du traitement des données qui y sont inscrites. En effet, l’article 4.7 du RGPD définit la personne responsable comme « personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres détermine les finalités et les moyens de traitement ». Pour William O’rorke, conseiller juridique de l’organisme de conseil Blockchain Partner, une blockchain n’est pas un service comme peut l’être un logiciel, mais un protocol, comme le TCP/IP pour internet et le SMTP/IMAP pour les mails. C’est un langage informatique donnant la possibilité aux machines de communiquer grâce à des applications. A cet effet, aucun des acteurs de la blockchain (mineurs, développeurs, utilisateurs…) n’est susceptible de correspondre à la qualification de responsable du traitement.
Le privacy by design
Le RGPD a mis au cœur de son texte le privacy by design, un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Dans ce sens, les blockchains permettent un saut technologique majeur en matière de protection des données personnelles, dont peuvent bénéficier les entreprises et les acteurs en métiers du web pour se conformer au nouveau règlement. En effet, malgré leur politique de transparence et de libre accès, les blockchains garantissent une bonne protection des données personnelles grâce à leurs mécanismes de signature et d’horodatage numérique.
Le droit à l’effacement
Selon le règlement, les utilisateurs ont le droit d’obtenir du responsable du traitement l’effacement de leurs données personnelles. Toutefois, les données inscrites dans les blockchains ne sont ni effaçables, ni rectifiables après la validation d’une transaction. Selon l’Open Data Center Institute, supprimer une donnée nécessite que près de la moitié des nœuds du réseau travaillent ensemble pour reconstruire la chaine de blocs depuis le moment où la donnée a été ajoutée. Ce qui est une chose impossible, dans la mesure où les mineurs sont répartis aux quatre coins du monde.
Les métiers du web vous fascinent ? Découvrez les programmes de WIS, l’école web & Digital Business !