La Blockchain et le RGPD

Si la blockchain est encore inconnue pour certains, les entreprises quand à elles, semblent vouloir y adhérer de plus en plus… A travers ses nombreux atouts, celle-ci est pourtant en conflit avec certains fondamentaux mis en place par le RGPD.

0

La blockchain, si on en entend de plus en plus parler, elle est pourtant encore une notion étrangère pour certains. Mais, si tel est votre cas, ne vous en faites pas, cela devrait vite changer ! En effet, si la blockchain n’est la réalité d’aujourd’hui que pour certains, elle est sans doute la réalité de tous pour demain.

Pourtant, si de plus en plus d’entreprises veulent y prendre part, le RGPD semble parfois en distorsion avec certains de ses fonctionnements. Quelles sont alors les pratiques de la blockchain remises en question par les normes imposées par le RGPD ?


Comprendre la blockchain

La Blockchain et le RGPD - httpcs

Une définition de la blockchain est donnée en droit Français par le Code Monétaire et Financier. Selon son article L 223-12, elle est un « dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions notamment de sécurité, définies par décret en Conseil d’Etat ».

Nous voilà bien éclairés… Maintenant cette définition légale donnée, essayons d’en comprendre un peu plus sur ce qu’elle est réellement.

Sur quoi est basée la blockchain?

décentralisation blockchain

La décentralisation. L’idée de base de la blockchain est que l’information n’est pas stockée sur un seul serveur central. Elle repose sur un ensemble de participants qui la font vivre et non sur une personne qui gère à elle seule l’ensemble du système.

A quoi sert la blockchain ?

  • Si la première utilisation qui a été faite de la blockchain concernait la cryptomonnaie (le bitcoin en l’occurrence), elle permet aujourd’hui de faire autre chose que du transfert d’actifs.

 

cryptomonnaie et blockchain

  • Elle permet en effet de garantir une meilleure transparence grâce à une traçabilité renforcée des produits / actifs. Ainsi, dans une chaine de production par exemple, il sera plus facile pour le consommateur de connaître tout le processus de fabrication et ainsi de faire des choix de consommation en toute connaissance de cause (ce qui est loin d’être le cas aujourd’hui…)

 

 

transparence et blockchain

 

  • Enfin, elle permet l’exécution de smart contrat. Ces contrats grâce au système de la blockchain vont s’exécuter de manière autonome et automatisée. Comment ? Grâce à un programme qui va capter lorsque la réunion des conditions nécessaires au déclenchement de la mise en œuvre du contrat sont remplies.

 

smart contrat et blockchain

Pourquoi c’est bien ?

Pour la transparence. Dès lors qu’une information a été créée dans la blockchain, elle est consultable à tout moment et par n’importe qui (en fonction des types de blockchain, mais restons sur le schéma de base).  La blockchain contient un historique de tous les échanges effectués entre ses utilisateurs depuis sa création.

De plus, les données sont immuables. Une fois enregistrées elles ne peuvent être (en principe et pour le moment) modifiées.

Pour l’autonomie / confiance. Ceux qui agissent dans la blockchain sont de véritables acteurs des actions qu’ils mettent en place. La blockchain permet de supprimer les intermédiaires. Ainsi, pour les transactions bancaires par exemple, Paul peut donner à Jacques 100€ sans passer par Marie (banquière).

Nota bene : ce qui est transmis par le blockchain est appelé actifs numériques.

Le RGPD, le bât blesse….

blockchain-rgpd-httpcs

L’obligation générale de conservation limitée des données

Le RGPD impose à travers ses principes fondamentaux que, ne peuvent être conservées que les données nécessaires à la réalisation de la mission. Il faut ainsi une justification claire et affichée de la raison qui justifie la conservation des données. Autrement dit, si la donnée n’a pas / plus de raison d’être, elle doit être supprimée.

Alors, comment combiner ce droit à la limitation qui est offert par le RGPD aux personnes physiques et l’irréversibilité des données contenues dans la blockchain ? Pour le moment, il n’y a pas de réponse à cette question. C’est pourquoi l’incompatibilité de la blockchain avec le RGPD est en cela totalement patente.

Le Responsable du traitement et le sous-traitant

La blockchain repose comme sus-exposé sur un système décentralisé et d’autonomie. En d’autres termes, personne ne contrôle, personne n’est à la tête de ce système. Est-ce à dire que tous les acteurs sont responsables ? Tout au moins, chacun est responsable des actions qu’il mène …

Quid de l’obligation faite par le RGPD de désigner un responsable du traitement ? Qui prend la responsabilité en cas d’atteinte aux données partagées ? En cas de faille contre qui se retourner ? Personne ? Tous les acteurs identifiables (mais, qui en aura vraiment le cœur) ?

Comment concilier l’obligation d’avoir un responsable de traitement clairement identifié et facile à interpeller avec ce fonctionnement totalement disparate des responsabilités ? Aucune solution n’est aujourd’hui avancée…

La même réflexion peut être menée concernant les sous-traitants…

Le droit à la suppression / la rectification

 

 

Le droit à la suppression / la rectification - blockchain - httpcs

 

Le RGPD a eu à cœur de redonner un réel pouvoir aux personnes physiques sur leurs données. Pour ce faire, celles-ci doivent pouvoir – à tout moment et sans difficulté – demander la suppression des données les concernant qui sont détenues par une entreprise

A contrario, la blockchain est fondée sur un élément essentiel l’irréversibilité des transactions qui y sont effectuées. Une fois stockés, les fichiers ne peuvent plus être modifiés, supprimés…

Comment concilier alors cet aspect du RGPD avec l’une des caractéristiques essentielles de la blockchain ? La question reste pour le moment entière…
La CNIL est en cours d’étude de ces questions qui naissent de la mise en oeuvre de la blockchain. Elle ne manquera pas de se positionner dans les prochains mois sur les différentes problématiques que celle-ci suscite.
More

Comment

Your email address will not be published.