ENTREPRISES & STRATÉGIES — Finance & Légal

Opinion

La blockchain, compatible avec le RGPD?



218279.png

Véronique Hoffeld, avocate chez Loyens & Loeff, et Mathieu Rinck, auditeur à la Commission nationale pour la protection des données. (Photo: Maison Moderne)

C’est la question que Paperjam a posée à Véronique Hoffeld, avocate chez Loyens & Loeff, et Mathieu Rinck, auditeur à la Commission nationale pour la protection des données, dans le cadre de notre rubrique Opinion de l'édition de mars de notre magazine. Réponses.

Cet article est paru dans l'édition mars 2019 du  magazine Paperjam .

«Un effort à faire», Véronique Hoffeld, avocate chez Loyens & Loeff

Le fait qu’il semble que le RGPD ne soit pas conçu pour les nouvelles technologies, comme la blockchain, ne signifie pas qu’une compatibilité est en soi vouée à l’échec.

La constatation souvent avancée qu’il est peu pratique de se conformer au RGPD, notamment en ce qui concerne les relations entre les responsables du traitement et les sous-traitants, ainsi que les droits des personnes concernées, est issue de la méconnaissance de la technologie.

Par exemple, un individu pourrait réaliser ses activités dans une base «on-chain» tout en stockant ses informations personnelles dans une base «off-chain». Au lieu d’effacer une donnée, il pourrait être suffisant d’effacer le lien à une donnée permettant l’identification. 

Au vu des sanctions, les acteurs dans le domaine de la blockchain ont tout intérêt à faire un effort pour que leur activité respecte le RGPD.

«Des pistes de réflexion», Mathieu Rinck, auditeur à la Commission nationale pour la protection des données

C’est la façon dont la technologie est utilisée qui permet ou non de respecter le RGPD. La localisation des données personnelles, la façon dont elles sont traitées et la res­ponsabilité des traitements doivent être en particulier analysées.

S’il est vrai qu’à première vue certaines caractéristiques de la blockchain peuvent être dissuasives (l’accessibilité des données, la localisation incertaine des participants ou le caractère irréversible des données par exemple), certaines pistes de réflexion devraient être explorées afin d’assurer une entière conformité avec le RGPD.

En particulier, l’utilisation d’une blockchain à permission (afin de définir le rôle des participants et de gouverner les transferts de données) et l’utilisation de la cryptographie (afin de minimiser les données personnelles stockées en clair et de contrôler leur rétention).