La blockchain est-elle RGPD compliant ?

Quand la réglementation se confronte à l’innovation technologique

Le RGPD s’applique à partir du moment où un acteur collecte, traite, héberge de la donnée personnelle.

A priori, c’est bien ce pour quoi la blockchain est faite. A ce titre donc le fonctionnement de la blockchain  serait soumis aux exigences du RGPD !

Est-ce toujours le cas ?

Il existe certaines techniques qui permettent de faire disparaitre la donnée personnelle en l’anonymisant. Il s’agit de la technique du hashing qui permet de remplacer une donnée personnelle qui pourrait être mise dans la blockchain par son empreinte digitale numérisée et sécurisée. Seul ce hash circulerait alors dans la blockchain, la donnée personnelle resterait donc stockée en dehors. Le hash serait illisible aux membres de la blockchain. Le RGPD resterait quant à lui applicable à l’entité qui héberge la donnée source.

La question juridique qui se pose alors serait de savoir s’il est considéré que ce hash permet d’identifier indirectement la personne, auquel cas le RGPD redeviendrait applicable.

Il est essentiel de répondre à cette question : si ce n’est pas le cas les exigences du RGPD s’appliquent ! Or dès lors que les exigences du RGPD s’appliquent cela n’est pas sans poser quelques interrogations relatives aux principes même de fonctionnement de la blockchain :

1. Est-il possible d’identifier un responsable du traitement comme l’exige le règlement ? La blockchain, qui n’est pas une entité juridique, ne peut pas être responsable du traitement. La CNIL apporte quelques éléments d’éclairage, le responsable de traitement dans le cadre d’une activité professionnelle serait celui qui injecte la donnée dans la blockchain.
2. Concernant le Data Protection Officer  (DPO) il est évident que la blockchain ne peut en bénéficier. Pour qui travaillerait-il ? Avec quelle entité pourrait-il contractualiser ? Sur qui et quoi pourrait-il agir ? Le DPO resterait chez le responsable du traitement, mais quand celui-ci est une collectivité d’acteurs économiques, quel DPO est en responsabilité ? Cette responsabilité peut-elle être collégiale ?
3. Le mineur peut-il être considéré comme un sous-traitant au sens du RGPD ? La CNIL semble aller en ce sens, ce qui sous-tendrait une capacité de contractualisation avec le mineur !
4. La blockchain ne connait pas les limites géographiques de l’UE et à ce titre n’est pas en capacité à respecter les obligations de transfert des données hors UE.
5. Le sujet des « smart contracts » est complexe car il fait intervenir un traitement automatique et un sous-traitant qui est le concepteur du contrat.
6. Comment respecter le droit de chacun à l’oubli, à la rectification et à l’effacement des données ? La blockchain n’oublie aucune donnée et ne permet pas de corriger une donnée, elle ne peut que la neutraliser par ajout d’une information nouvelle.
7. De même qu’en est-il de l’exigence liée à la durée de conservation ? La blockchain par construction conserve ses données de manière pérenne.

Aussi, sera-t-il intéressant de voir comment le droit répondra à ces problématiques RGPD liées à la technologie de la blockchain.