Une technologique dans laquelle il est impossible de supprimer des données est-elle utilisable avec une règlementation qui impose de pouvoir supprimer des données à la demande ?
Le fonctionnement de la blockchain
Pour bien comprendre ce qu’est véritablement la blockchain en faisant un parallèle avec le monde ‘physique’, il faut imaginer un registre (un cahier par exemple), dans lequel serait écrite des informations. Au fur et à mesure des pages, le cahier se remplit avec une particularité, il est impossible de supprimer quoi que ce soit, c’est écrit au marqueur et on ne peut déchirer les pages, il reste lisible sans limite de temps.
Une blockchain peut être publique, imaginons alors que le cahier est placé au centre du village et tous les habitants ont un œil dessus. Pour garantir la sécurité des informations qu’il contient, tous les habitants conservent chez eux une copie du cahier, et à chaque fois qu’une nouvelle information est entrée, tout le monde vérifie que personne n’a modifié l’historique, et ajoute la nouvelle information.
Une blockchain peut aussi être privée, alors les habitants font confiance à quelques habitants pour tenir le cahier, le sécuriser et y ajouter les informations.
Voila en quelques mots comment résumer ce qu’est et comment fonctionne une blockchain, ce n’est rien d’autre qu’une base de données sans possibilité de suppression.
Le RGPD
Le Règlement général sur la protection des données, applicable à tous services qui s’adressent à des citoyens européens depuis 2018 est très clair, les données personnelles doivent pouvoir être supprimées à la demande par le propriétaire de celle-ci.
Il est dès lors assez légitime de se demander s’il est possible et légal d’utiliser une blockchain pour manipuler des données personnelles, ne risque-t-on pas à cause de cette règlementation d’empêcher l’essor d’une technologies dont les nombreux avantages (sécurisation de l’information, nouvelles possibilités en terme de ‘confiance’) bénéficient déjà à de nombreux secteurs ?
La blockchain est en fait très compatible avec le RGPD, à condition de l’avoir anticipé correctement
La CNIL s’est déjà prononcée sur le sujet , et il est tout à fait possible de stocker des données personnelles dans une blockchain, mais à quelques conditions/précautions qui nécessitent d’avoir été prises en comptes dans le développement de l’application :
- Il faut crypter les données à caractères personnelles, et stocker la clé de décryptage hors de la blockchain, comme cela il suffit de supprimer la clé de décryptage à la demande, et la blockchain ne stocke alors plus qu’une longue chaine de caractère qui ne veut plus rien dire, on se rapproche ainsi d’une suppression classique.
- La CNIL va même plus loin dans son avis et mentionne qu’il est possible de réaliser une Analyse d’impact relative à la protection des données(AIPD) qui peut démontrer que si cela est justifié par la finalité du traitement, la donnée peut être inscrite en clair, à condition de garantir que le risque est minime pour les personnes.
Dans tous les cas, et ce n’est pas spécifique à la blockchain, il faut faire attention à bien minimiser les données personnelles collectés, comme indiqué dans le guide du développeur : l’idée ici est de ne collecter que le strict minimum nécessaire au fonctionnement de l’application, en cohérence avec la finalité du traitement.
Attention au rôle de sous traitant
Le RGPD a renforcé le rôle du sous-traitant, qui peut être responsable vis-à-vis des autorités ou sanctionné en cas de manquement à ces obligations, qui sont justement essentiellement des obligations relatives à la sécurité des données. Le développeur d’un smart contract doit donc faire très attention à ces obligations car il est considéré comme sous traitant au sens du RGPD.
Prenons l’exemple extrême d’une entreprise qui développe un smart contract pour une autre et qui stocke des données à caractères personnelles dans une blockchain publique, il y a fort à parier que sa responsabilité pourrait être engagé au même titre que le responsable de traitement.
Pour conclure, on voit que la blockchain est compatible avec le RGPD, à condition de l’avoir anticipé convenablement et de bien définir le rôle de chacun et des informations utilisées. En cas de doute, le plus simple reste de contacter directement la CNIL, le site est très bien fait et permet de répondre à toutes les questions que l’on se pose sur ce sujet, aussi bien en tant que particulier qu’entreprise.
