Une blockchain est un registre, "une grande base de données qui a la particularité d’être partagée simultanément avec tous ses utilisateurs, tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire des données, selon des règles spécifiques fixées par un protocole informatique très bien sécurisé grâce à la cryptographie [1].

Selon cette définition issue d’un rapport d’information parlementaire de décembre 2018, l’on comprend que la blockchain doit être schématisée comme un registre transparent inviolable et contrôlé par l’ensemble de ses utilisateurs dans le but de réaliser une opération juridique déterminée.

Un paradoxe juridique semble subsister puisque l’intangibilité attachée à la blockchain, si rassurante de prime à bord, contrevient à la protection des données personnelles des utilisateurs, lesquels ne pourraient théoriquement faire valoir leur droit à l’effacement ou encore déterminer l’identité du responsable de traitement.

Cette transparence et l’absence total d’organe de contrôle lui confère une « originalité » certaine dès lors qu’elle tend progressivement à se départir de tiers de confiance au profit d’un système informatique composé de « blocs » représentant l’intégralité de toutes les transactions passées entre ses utilisateurs et ce depuis leur création.

Ainsi, toute nouvelle opération, qu’il s’agisse d’une acquisition, ou de l’authentification d’un acte, sera inscrite sur ce registre et deviendra impossible à effacer.

Les utilisateurs ou « mineurs » superviseront la tenue de ce registre infalsifiable en validant toute modification de la Blockchain qualifiée de « confiance décentralisée ».

Ces concepts, certes novateurs et atypiques, laissent toutefois quelques problématiques en suspend et interpellent du point de vue des données personnelles.

L’article 5 du Règlement UE n°910/2014 du parlement Européenn et du Conseil en date du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/C, dit Règlement « e-IDAS » disposait déjà que les services de transaction électroniques sont soumises au droit des données personnelles.

Pour autant, un paradoxe juridique semble subsister puisque l’intangibilité attachée à la blockchain, si rassurante de prime à bord, contrevient à la protection des données personnelles des utilisateurs, lesquels ne pourraient théoriquement faire valoir leur droit à l’effacement ou encore déterminer l’identité du responsable de traitement.

En outre, se pose la difficulté de la diversité des types de blockchain, lesquelles peuvent être tantôt publiques comme celles relatives à la cryptomonnaie et d’autres fermées aux utilisateurs non choisis, ayant pour effet d’être contrôlées par une ou plusieurs personnes déterminées.

A cette difficulté s’ajoutent également le contenu des transactions dont l’objet peut concerner la cryptomonnaie, les tokens, les smart contracts ou le caractère crypté des données concernées [2].

Autant de questions qui doivent nécessairement trouver une réponse juridique au regard des différents acteurs de cette chaîne numérique et de l’impératif de préserver la sécurité des données personnelles de ses utilisateurs.

1. S’agissant de la définition des responsables de traitement et des sous-traitants.

L’article 4.7 du RGPD définit le responsable de traitement comme :

« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre. »

Le sous-traitant est quant à lui défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Or, la singularité de la blockchain basée sur un réseau communautaire rend ces qualifications difficiles à appréhender.

Se pose alors la question de la nature juridique des acteurs de cette blockchain au regard du caractère public (i) ou privé (ii) de celle-ci.

(i). Au titre d’une blockchain publique.

a. S’agissant des « organes » de la blockchain.

A reprendre la lecture de l’article 4.7 du RGPD, un service ou un organisme qui déterminerait les finalités et les moyens de traitement peut être qualifié de responsable de traitement.

Dans le cadre d’une blockchain publique, un réseau peer-to-peer va intégrer l’ensemble des transactions réalisées en un ensemble de blocs regroupant les transactions les plus anciennes aux plus récentes.

Dans un système aussi complexe, bon nombres d’acteurs majeurs pourraient donc être impliqués dans le traitement des données.

La première tentation serait de s’interroger sur l’application d’une telle qualification au développeur de l’algorithme gérant la blockchain.

A ce stade, il semble que la seule création de différentes suites d’étapes ne peut être assimilée à un traitement de données personnelles, dès lors qu’elle ne vise pas à collecter ces dernières mais plutôt à créer un programme à partir d’informations très variées et notamment sous l’égide des logiciels libres.

Il en va de même des mineurs qui ont pour mission de créer et valider les transactions soumises par les participants.

La CNIL a d’ailleurs très clairement rappelé que ces derniers ont une fonction essentiellement technique et « n’interviennent pas sur l’objet de ces transactions » de sorte qu’ils n’en déterminent pas « les finalités et les moyens à mettre en œuvre » [3].

Une autre hypothèse à étudier reste celle des nœuds du réseau dès lors que la validation des blocs ainsi que leur assimilation au registre sont réalisés par leurs soins, au même titre que l’intégration des modifications apportées au protocole de la blockchain.

De telles fonctions pourraient donc correspondre à la définition du responsable de traitement mais des difficultés pratiques la rende en l’état très difficilement applicables à ces acteurs.

Leur activité de traitement de données portent sur la mise à jour et la tenue du registre public et non sur le contenu des transactions, leur conférant un rôle nettement plus passif qu’un responsable de traitement.

Cette passivité s’apprécie davantage au regard des moyens de traitement qui sont, quant à eux, fixés par un protocole informatique lié à ce même registre.

De plus, leur identification est particulièrement difficile à appréhender puisque ces derniers peuvent rejoindre le réseau puis le quitter, qu’ils peuvent détenir une copie totale ou seulement partielle du registre dans certains protocole et que la finalité de traitement dépend des spécifications de ce dernier au sein de la blockchain ou l’usage des utilisateurs.

En considération des observations apportées par la CNIL, les nœuds et les mineurs pourraient davantage être qualifiés de sous-traitants dès lors qu’ils viseraient à réaliser des opérations techniques pour le compte d’un responsable de traitement.

Pour autant, qu’il s’agisse de la qualification de responsable de traitement ou de sous-traitants, celles-ci demeurent encore théorique dans le cadre d’une blockchain publique dès lors que de telles qualifications impliquent une série d’obligations imposées par le RGPD.

Les nœuds ou les mineurs se verraient en effet soumis à la tenue d’un registre de traitement tels que prévus à l’article 30 du RGPD, ou encore à l’obligation de réaliser, le cas échéant l’analyse d’impact prévue à l’article 35 et/ou de nommer un délégué à la protection des données dans les conditions énumérées à l’article 37.

De même, la question épineuse du traitement de données personnelles hors Union Européenne paraît particulièrement complexe à mettre en œuvre dès lors que la localisation des acteurs en cause est difficilement contrôlable.

Dans ce même ordre d’idées, l’article 28 du RGPD impose au sous-traitant de présenter des « garanties suffisantes » quant aux mesures techniques utilisées et de contractualiser l’ensemble de ses obligations avec les responsable de traitement.

Autant de contraintes qui écartent l’application de telles qualifications aux acteurs précités.

b. S’agissant des utilisateurs de la Blockchain.

La CNIL constate toutefois que les participants, « qui ont un droit d’écriture sur la chaîne et qui décident de soumettre une donnée à la validation des mineurs peuvent être considérés comme responsables de traitement. »

Ce faisant, la CNIL estime que les participants vont déterminer les finalités et les moyens mis en œuvres.

Ainsi, un participant sera responsable de traitement :
 Lorsqu’il est une personne physique et que le traitement de données personnelles est en lien avec une activité professionnelle ou commerciale ;
 Lorsqu’il est une personne morale et qu’il inscrit une donnée à caractère personnelle sur la Blockchain [4].

Dès lors, le responsable de traitement pourra donc être un prestataire de services ayant recours à la technologie « Blockchain » ou encore un Oracle dont le rôle est de récolter, de certifier et d’intégrer des informations externes à la blockchain afin de les intégrer dans un smart contract.

Ces utilisateurs vont donc déterminer la finalité et les moyens du traitement en recourant à une blockchain dans le cadre d’une activité commerciale tout en s’adjoignant les services des nœuds du réseau et des mineurs, lesquels seront donc qualifiés de sous-traitants et devront contractualiser leurs obligations en cette qualité avec les utilisateurs.

De nouveau, il est toutefois particulièrement difficile en pratique d’envisager automatiquement la contractualisation d’un engagement de sous-traitance entre chaque utilisateur d’une blockchain publique et les sous-traitants au regard notamment du nombre particulièrement important des membres.

(ii). Au titre d’une blockchain privée.

La donne sera différente dans un tel cas de figure dès lors que la blockchain et les finalités du traitement des données appliqués auront intégralement été définies et délimitées par les participants.

Les réponses aux questions posées seront donc nettement plus évidentes puisque les droits des utilisateurs seront clairement définis, au même titre que les nœuds du réseau, donnant ainsi une définition commune de la finalité de la blockchain et donc de celle du traitement.

A raison de cette organisation commune, les participants pourront endosser une responsabilité de traitement des données personnelles conjointes telle que définie à l’article 26 du RGPD.

Mais ce principe de responsabilité n’est en aucun cas figé puisque la CNIL rappelle que « les participants peuvent créer une personne morale sous la forme d’une association ou d’un GIE » ou encore choisir « d’identifier un participant qui prend les décisions pour le groupe et de le désigner comme responsable de traitement » [5].

La difficulté de déterminer un responsable de traitement semble donc en partie résolue dans une blockchain privée, mais elle ne constitue pas la seule difficulté résultant de sa cohabitation avec le droit des données personnelles.

2. S’agissant du respect des droits des données personnelles des utilisateurs.

(i). Au titre du droit à l’effacement, à l’opposition et à la rectification des données personnelles d’un utilisateur.

L’intangibilité de la blockchain, caractéristique la plus vantée par ses partisans, peut constituer un frein notable à la bonne application des dispositions du RGPD et de manière générale à celle du droit des données personnelles.

En effet, il est difficile de concevoir un droit à l’effacement prévu à l’article 17 du RGPD avec l’impossibilité de pouvoir modifier des informations dans le registre numérique.

Il en va de même des autres droits primordiaux tels que celui d’opposition de traitement [6] ou encore de rectification [7].

Il convient de rappeler pourtant qu’un tel droit est manifestement nécessaire pour le cas où le responsable de traitement de la blockchain aurait commis une erreur dans l’enregistrement réalisé ou encire si les données renseignées par l’utilisateur lui-même sont erronées mais dont l’empreinte sera tout de même enregistrée sur la blockchain.

Puisque l’enregistrement initial ne peut être modifié, il paraît bien complexe de pouvoir appliquer un droit à rectification.

La CNIL, bien au fait de cette difficulté, invite le responsable de traitement « à inscrire la donnée mise à jour dans un nouveau bloc » [8], permettant ainsi d’annuler les effets d’une première décision au sein de la blockchain et de se rapprocher progressivement d’un droit à rectification, voire de suppression.

Concernant le droit à l’effacement, la donne est encore plus complexe dès lors que celui-ci est « techniquement impossible (…) lorsque des données sont inscrites dans la Blockchain » [9].

Pour autant, lorsqu’il s’agit d’adapter cette donnée en une signature numérique par la fonction de « hachage », le responsable de traitement peut rendre cette donnée « quasi inaccessible » se rapprochant ainsi des effets du droit à l’effacement.

La CNIL, sans pouvoir garantir l’effectivité de ce droit à l’effacement, trouve un palliatif qui ne concerne toutefois que les données cryptées.

S’agissant de données en clair, la réponse de la CNIL l’est tout autant :

« ces solutions ne constituent pas un effacement de la donnée au sens strict dans la mesure où les données existeraient toujours sur la Blockchain » [10].

Dès lors et afin de garantir un effet proche de celui du droit à l’effacement, il est vivement conseillé de privilégier le recours à un procédé cryptographique mentionné par la CNIL.

Mais surtout, et dans l’éventualité de recourir à ce droit à l’effacement, une nouvelle question se pose s’agissant de la responsabilité de celui qui traite les données.

L’article 17 paragraphe 2 du RGPD dispose que le responsable de traitement doit prendre « toute mesure raisonnable, y compris technique pour informer les responsables de traitement qui traitent ces données » de l’effacement sollicité.

Or, au regard des multiples acteurs concernés dans l’écosystème d’une blockchain publique (supra point 1), il sera particulièrement difficile pour un utilisateur de pouvoir identifier les responsables de traitement exploitant les données.

Cette difficulté s’appliquera nécessairement aux données non cryptées mais doit nécessairement être posée dès lors qu’un utilisateur y sera confronté tôt ou tard.

(ii). Au titre de la garantie de traitement sécurisé des données personnelles d’un utilisateur.

L’article 5 paragraphe f du RGPD dispose que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ; »

Cette obligation de sécurité pesant évidemment sur le responsable de traitement peut s’avérer délicate en matière de piratage.

L’affaire de la plateforme DAO, cible d’une attaque pirate ayant exploitée une faille dans le code d’un smart contract permettant le détournement de plusieurs dizaines de millions de la cryptomonnaie « ether », en est en effet le parfait exemple [11].

Il est donc particulièrement nécessaire de veiller à des mises à jour de l’algorithme et des moyens cryptographiques mises à disposition pour assurer une parfaite communication des informations entre chaque nœuds du réseau de la blockchain.

3. Des solutions protectrices proposées par l’aménagement des smart contracts.

Les difficultés liées à la protection des données personnelles sur la blockchain peuvent être solutionnées au moyen de programmes informatiques exécutant automatiquement des modalités sur la blockchain en prenant en compte des conditions envisagées à l’origine : les smart contracts.

Ce procédé permet ainsi d’intégrer différentes modalités pouvant intégrer la protection des données personnelles.

Il convient même de rappeler que dans le cadre du fameux principe du Privacy by Design [12], la protection des données personnelles doit être envisagé en même temps que la réalisation des smart contracts au moyen de clauses contractuelles et de protocoles informatiques intégrant, par exemple, dans la blockchain, un procédé de pseudonymisation, ou encore une technologie d’horodatage destinée à protéger les données collectées.

Cela permettra en pratique d’aménager les conditions d’applications liées à la protection des données personnelles des utilisateurs.

La CNIL indique par exemple qu’il est tout à fait possible d’intégrer un droit à la limitation des données à caractère personnelle en prévoyant que ladite limitation intervienne sur demande de l’utilisateur en cause [13].

Dans le cadre d’une telle demande, le traitement se limiterait alors à la seule conservation de données, ce qu’autorise précisément l’alinéa 2 de l’article 18 du RGPD, évitant ainsi toute intrusion dans la vie privée de l’utilisateur.

Il pourrait en aller de même en cas de traitement de données automatisé puisque les garanties permettant la sauvegarde des droits et libertés et intérêts légitimes de l’utilisateur pourront également être prévues dans ce smart contract, supposant que le responsable de traitement puisse recourir à une personne susceptible d’examiner avec attention la demande de la personne concernée.

En outre, le principe de l’anonymisation définitive de certaines données à la demande des utilisateurs pourra également être envisagée dans ce smart contract permettant de trouver une solution complémentaire au défaut d’effacement des données.

La Blockchain devient ainsi, par l’intermédiaire d’aménagements de ces programmes auto exécutant, davantage sécurisante que menaçante pour les droits des données personnelles de ses utilisateurs.

Il est donc vraisemblable que la protection des données personnelles sur ces nouveaux procédés soit davantage conditionné aux moyens technologiques plutôt que juridiques auquel, et comme toujours, le droit positif s’adaptera.

Jonathan Elkaim - Avocat au Barreau de Paris