Les principes classiques de la protection des données personnelles ont été conçus dans un monde où ceux qui détiennent les données sont des entités centralisées : or, les technologies de chaîne de blocs sont construites sur un modèle décentralisé et visent à se passer de tout organe de contrôle.
Cette antinomie presque structurelle entre chaîne de blocs et les principes de protection des données personnelles (avec, notamment, la nécessité d’identifier un responsable de traitement) donne lieu, depuis des années à des constats tranchés.
De nombreuses voix se font entendre pour estimer que les technologies de chaînes de blocs seraient inconciliables avec la protection des données personnelles dès lors qu’il serait impossible d’appliquer certains principes cardinaux de la protection des données personnelles comme l’identification du responsable de traitement, le droit à l’effacement ou la limitation de la durée de conservation.
Les titres de quelques articles donnent une idée des interrogations ambiantes.
- Blockchain : Is the GDPR out of date already ?
- La Blockchain est-elle compatible avec le RGPD?
- Blockchain & RGPD : Un mariage impossible ?
Certains promoteurs de la chaîne de blocs suggèrent (comme on l’avait déjà vu pour le Big Data) que les principes de protection des données personnelles brideraient l’innovation.
Symétriquement, les promoteurs des chaines de blocs font valoir que leurs propriétés singulières en font une technologie « Privacy by design ».
Deux types de diagnostic.
Le premier, souvent avancé par les promoteurs de la chaîne de blocs, aboutit à la conclusion que le RGPD ne s’appliquerait pas à la technologie chaîne de blocs.
Selon William O’Rorke, Legal Advisor chez Blockchain Partner, « une Blockchain ouverte, en tant que protocole, ne peut être responsable du traitement des données qui y sont inscrites. La Blockchain n’est pas un service, comme peut l’être un logiciel, mais un protocole, comme le TCP/IP pour Internet ou le SMTP/IMAP pour les mails, c’est-à-dire un langage informatique permettant à des machines de communiquer au moyen d’applications (Chrome, Firefox ou Safari pour internet par exemple) ».
Le second diagnostic recense les propriétés des chaînes de blocs publiques (décentralisation, immuabilité etc.) qui rendraient impossible leur conformité au RGPD. « On le voit, bien, le contrôle et la régulation de la Blockchain publique sont non seulement difficiles, mais incompatibles avec la nature même du concept »( Isabelle Renard, Régulation de la Blockchain il est urgent d’attendre)
Ce diagnostic aboutit à deux types de recommandations.
- Certains experts recommandent de privilégier les chaînes de blocs non publiques (« à permission » (C’était la conclusion en 2016 de l’Open Data Institute).
- D’autres experts concluent, de manière fataliste, « qu’il est urgent d’attendre : une fois l’effet de mode apaisé, la loi du marché fera elle-même le tri entre ce qui marché et ce qui ne marche pas, une régulation se mettra en place sur les secteurs qui ne pourront pas y échapper, et un marché parallèle et obscur se créera, exactement comme pour l’internet»
La CNIL, dans une mise au point publiée sur son site, adopte une position plus nuancée.
« Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique. L’architecture et les caractéristiques propres des Blockchains vont toutefois avoir des conséquences sur la manière dont sont conservées et traitées les données personnelles.
L’impact de la Blockchain sur les droits des personnes (droit à la vie privée et droit à la protection de leurs données personnelles) appelle donc une analyse spécifique.
Toutefois, cette innovation et la protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes. En effet, le RGPD n’a pas pour objectif de réguler des technologies mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles ».
CNIL: Premiers éléments d’analyse de la CNIL sur la blockchain.
Voir aussi: Blockchain : un univers mouvant, en évolution permanente
Travaux publics 