Si la blockchain est «un très grand cahier, que tout le monde peut lire librement et gratuitement, sur lequel tout le monde peut écrire, mais qui est impossible à effacer et indestructible» – cette définition est celle du mathématicien français Jean-Paul Delahaye –, qu’en est-il du respect des données personnelles qui y sont inscrites?
À l’heure du Règlement général sur la protection des données (RGPD), cette question ne peut plus être écartée par les développeurs de solutions utilisant la technologie du registre décentralisé.
Impossible d’oublier
Dans le cas de la blockchain privée, la question trouve rapidement réponse, puisque les données traitées ne sont pas accessibles publiquement et peuvent être supprimées. Mais en ce qui concerne les blockchains publiques, deux problèmes essentiels se posent.
Le premier est qu’il n’existe aucun responsable de la blockchain, car elle est, par définition, décentralisée. Il n’y a donc pas la possibilité de nommer un responsable de traitement, mentionné comme obligatoire par le RGPD.
Le second problème concerne le droit à l’oubli. Celui-ci permet à chaque citoyen européen de demander que ses données personnelles soient effacées des serveurs des entreprises qui les possèdent. Mais cela est tout simplement impossible dans une blockchain publique.
Des régulateurs ouverts
Du côté de la Commission nationale pour la protection des données (CNPD), on tente d’être rassurant. «On ne peut pas dire que la blockchain est incompatible avec le RGPD», indique Christophe Buschmann, le chef du pilier Contrôle de l’institution. «Mais il faut trouver des solutions à ces deux questions (désignation d’un responsable de traitement et droit à l’oubli, ndlr).»
Dans un article publié en septembre sur son site internet, la CNIL, le pendant français de la CNPD, précise que «blockchain et protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes.» Dans certains cas, le participant, c’est-à-dire la personne qui décide de l’enregistrement d’une donnée sur la blockchain, «pourrait être considéré comme un responsable de traitement», ajoute l’organisme.
La seule façon d’être conforme est de ne pas inscrire de données personnelles.
Fabrice Croiseaux, CEO d’InTech
Cette position n’est pas encore unifiée au niveau de l’Union européenne, mais largement partagée. L’European Data Protection Board, qui supervise le respect du RGPD au niveau européen, est toutefois en train de travailler sur des recommandations et un document pourrait être publié l’année prochaine.
«La seule façon d’être en conformité avec le RGPD est de ne pas inscrire de données personnelles sur la blockchain», note pragmatiquement Fabrice Croiseaux, le CEO d’InTech, une société luxembourgeoise spécialisée dans cette technologie.
Le recours aux «empreintes cryptographiques»
Les développeurs de services relatifs à la blockchain essaient toutefois d’aborder le problème d’une façon différente. L’une des réflexions les plus partagées consiste à séparer la base de données de son utilisation sur la blockchain.
En d’autres termes, il s’agit de créer des preuves de la possession des données personnelles et du consentement de leur propriétaire pour les utiliser. Ces «empreintes cryptographiques» seront inscrites sur la blockchain sans que les données personnelles qui y sont associées soient visibles.
Nécessité de clarification
«Cette approche est en développement, mais elle est loin d’être mâture», précise Marco Houwen, le coordinateur de l’asbl Infrachain. Une maturité qui dépend également de la législation qui encadre l’application du RGPD, car personne ne sait dire aujourd’hui si cette preuve peut être considérée comme une donnée personnelle ou non.
«Il y a une attente de clarification sur ces aspects qui restent flous», ajoute Fabrice Croiseaux. «Mais l’industrie n’est pas bridée par ces questions et, à ma connaissance, il n’y a aujourd’hui aucun projet bloqué à cause du RGPD.»