Retour aux articles

Nacéra Bekhat et Guilda Rostama, CNIL : « Nous avons vraiment choisi d’être pragmatiques et de ne pas opposer blockchain et RGPD »

Tech&droit - Blockchain, Données
18/10/2018
Le mois dernier, la CNIL publiait ses premiers éléments d'analyse sur la compatibilité blockchain/RGPD et livrait ses conseils pour un usage responsable de cette technologie en présence de données personnelles. Retour sur les solutions proposées et les arbitrages qu'il reste à faire avec deux juristes de la CNIL, Nacera Bekhat, du service santé, et Guilda Rostama, du service des affaires économiques.
Actualités du droit : La question de la comptabilité entre blockchain et RGPD a dû vous être souvent posée ?

Nacera Bekhat : Nous avons effectivement rencontré de nombreux acteurs, à des stades différents de maturité de leur projet. Lorsque nous les avons informés des décisions vers lesquelles nous nous orientions, nous avons reçu un écho favorable. Nous avons vraiment choisi d’être pragmatiques dans nos orientations et de ne pas opposer blockchain et RGPD (Régl. UE n° 2016/679, 27 avr. 2016, JO 4 mai 2016, dit RGPD), tout en étant axé sur les droits de la personne concernée en cherchant à minimiser les risques.

 
Le RGPD quand on y réfléchit, c’est une logique de responsabilisation derrière le responsable du traitement. C’est un appel aux organismes à réfléchir avant de mettre en œuvre ce traitement.
 
Guilda Rostama : C’est un cas concret du « privacy by design » : il faut entamer cette réflexion en amont.
Après tous ces articles de doctrine qui mettaient l’accent sur l’incompatibilité du RGPD avec la blockchain, nous sommes venus dire que cette technologie et le RGPD pouvaient être, dans certains cas, compatibles.
 
ADD : Comment identifier le responsable de traitement dans une blockchain publique ?
Guilda Rostama : Pour nous, la blockchain est une technologie, sur laquelle s’appuie un traitement, au même titre que le cloud. Le responsable du traitement est à l’extérieur de la blockchain. C’est ce que l’on a essayé de mettre en avant en disant que le RGPD n’a pas vocation à s’appliquer à des technologies particulières, mais bien au traitement des données.
 
Sur l’identification du responsable du traitement dans une application de blockchain, nous avions plusieurs possibilités, sur lesquelles nous avons beaucoup réfléchi. Nous sommes repartis de notre grille d’analyse, à savoir les principes du RGPD : le RGPD pose que le responsable de traitement, c’est celui qui détermine les moyens et les finalités. Les moyens, c’est le choix d’avoir recours à une blockchain. Partant, le choix d’avoir recours à une blockchain fait que la personne qui est pour nous responsable du traitement, c’est la personne qui est à l’initiative de l’entrée et du stockage de la donnée dans la blockchain. C’est le participant, comme nous l’appelons.
 
Plusieurs cas de figure se présentent :
  • soit l’on a un seul participant, qui va être responsable du traitement ;
  • soit l’on a plusieurs acteurs qui vont décider de mettre en œuvre un traitement ensemble et alors on a plusieurs types de situations :
    • soit ils vont créer une entité juridique, une personne morale, qui va porter la responsabilité du traitement ;
    • soit ils vont décider de désigner un participant parmi eux, qui va assumer la responsabilité du traitement pour le commun.
À défaut d’avoir une matérialisation de cette responsabilité, on pourrait considérer qu’ils sont conjointement responsables du traitement.
 
Nacéra Bekhat : Ce qu’il faut aussi souligner, c’est que le RGPD ne s’applique pas pour ce que l’on appelle « l’exemption domestique » : quand c’est une personne physique qui va mettre en œuvre un traitement de données, mais qui est hors du champ professionnel et commercial, le RGPD n’aura pas vocation à s’appliquer dans cette hypothèse.
 
Il est toujours possible d’identifier la personne qui est à l’initiative de l’entrée d’une donnée dans la blockchain : par exemple, quand une université rentre des diplômes, les stocke, on peut tracer le fait que c’est elle qui est à l’initiative et donc elle le responsable de traitement.
 
On ne cherche pas le créateur de la blockchain, on cherche simplement la personne à qui l’on peut rattacher le traitement de données, autrement dit, celle qui utilise le protocole pour atteindre une finalité.
 
ADD : Les problématiques sont-elles les mêmes sur une blockchain publique, privée ou de consortium ?
Nacera Bekhat : On a la blockchain publique, la blockchain à permission et la blockchain privée, mais qui pour nous ne répond pas aux caractéristiques de la blockchain et qui ne pose pas de problème particulier.
 
La blockchain publique, sa caractéristique principale est d’être accessible à tout le monde et tout le monde peut y inscrire des données ou en tous cas être à l’initiative d’un stockage de données sur la blockchain.
 
La blockchain à permission est beaucoup plus fermée : on peut contrôler le nombre des mineurs, les participants. Elle peut prendre la forme d’un consortium ou d’une personne morale. C’est donc beaucoup plus facile à encadrer.
 
C’est pour cela que dans notre communication, nous appelons les organismes à bien réfléchir au type de blockchain dont ils ont besoin, sachant que la blockchain publique expose à plus de risques RGPD que la blockchain à permission. 
 
ADD :  Quelles sont vos recommandations pour identifier ce responsable de traitement ?
Nacera Bekhat : C’est vraiment de repartir de la définition qui est donnée par la réglementation. S’interroger sur celui qui a défini l’objectif poursuivi par le traitement de la donnée à caractère personnel et identifier la personne qui a choisi les moyens.
 
C’est une analyse classique, en dehors des cas d’utilisation de la blockchain.
 
ADD : Comment conjuguer RGPD, transferts de données hors UE et blockchain ?
Guilda Rostama : Il faut faire une distinction, là encore ;
  • blockchain  à permission : vous pouvez choisir qui seront les mineurs et qui seront les participants et vous pouvez contrôler leur localisation et en dehors de l’UE, il y a tous ces mécanismes de transferts qui s’appliquent ;
  • la blockchain publique : dans nos analyses, c’est plus problématique, car on pourrait facilement dire que les mineurs sont les sous-traitants, mais c’est très difficile de lier concrètement par contrat le responsable de traitement avec les mineurs. On n’a pas encore de solution, on y réfléchit encore. On invite aussi les acteurs à nous faire remonter leurs suggestions.
Nacera Bekhat : c’est vraiment, pour la blockchain publique, les deux grands points de vigilance que nous avons soulignés dans notre communiqué :
  • la qualification du sous-traitant et tout ce que cela implique derrière en termes d’obligations qui leurs sont spécifiques ;
  • le transfert de données à caractère personnel en dehors de l’Union européenne.
Guilda Rostama : Cette communication de la CNIL, ce sont vraiment des premières analyses. Nous insistons sur ce point, parce que nous n’avons pas la prétention d’apporter des solutions sur tout. Et il s’agit vraiment d'un appel aux acteurs : si vous voulez mettre en œuvre un traitement de données à caractère personnel et que vous voulez utiliser la blockchain, posez-vous bien la question de savoir si vous avez vraiment besoin de la blockchain. Si oui, est-ce que vous ne pouvez pas arriver à votre objectif avec une blockchain à permission ? Et si vraiment la finalité l’exige, utilisez une blockchain publique, mais travaillez à minimiser les risques (par exemple, stockez la donnée sous forme d’un engagement cryptographique et non en clair).
 
Nacera Bekhat : Encore une fois, nous avons rencontré pas mal d’acteurs qui avaient recours à une blockchain pour mettre en œuvre leur traitement. Et après avoir discuté avec eux, ils se sont aperçus que leur projet ne n'exigeait pas nécessairement le recours à une blockchain, ou en tout cas pas à une blockchain publique
 
ADD : La blockchain est par essence transnationale. Quid du champ d’application territorial du RGPD ?
Guilda Rostama : Le RGPD a un champ d’application qui est large et extraterritorial. Mais si le traitement ne rentre pas dans ce champ d’application, par exemple, si les participants mettent en œuvre un traitement en Chine, qui ne cible pas du tout l’Union européenne, qu’ils n’ont pas recours à un sous-traitant sur le territoire, alors le RGPD n’a pas vocation à s’appliquer.
 
Par participant, nous entendons celui qui est à l’initiative du stockage de la donnée, qui initie la transaction.
 
Dans ce champ d’application,
  • le premier critère est celui de l’établissement ; j’ai un établissement et est ce qu’on entre dans le cadre des activités de celui-ci ;
  • Ensuite, c'est le critère du ciblage : qui fait entrer le traitement dans le scope du RGPD.
On a vraiment essayé de reprendre notre grille d’analyse classique et de l’appliquer à un traitement de la donnée sur la blockchain. Il y a des choses qui sont moins évidentes, d’où les points de vigilance.
 
ADD : Si l’on reprend les droits ouverts par le RGPD un par un, quid du droit de minimisation sur la blockchain ?
Guilda Rostama : Il faut distinguer deux sortes de donnée :
  • Les identifiants : ce sont ceux des participants et comme ils sont chiffrés, nous estimons que l’on ne peut pas minimiser plus ; c’est lié à la fonctionnalité de la blockchain ;
  • La charge utile : pour les données qui sont reliées à d’autres personnes, autres que les participants, nous n'avons pas de solution pour minimiser les données.
Nacera Bekhat : C’est là que va intervenir la question du choix du format de la donnée qui va permettre de minimiser les risques qui pèsent sur les droits et les libertés des personnes. Il y a vraiment une gradation dans les solutions que l’on recommande :
  • on a d’abord identifié l’engagement cryptographique qui est finalement le plus protecteur pour la personne qui va nous permettre d’arriver parfois même à une anonymisation de la donnée, dans certains cas ;
  • ensuite on a la donnée hachée avec clé ;
  • puis on a la donnée chiffrée ;
  • et dans les solutions un peu moins idéales, on a la donnée hachée sans clé et la donnée en clair, que l’on ne recommande pas, à moins que cela soit strictement nécessaire au regard des finalités, par exemple sur les finalités de conservation ad vitam aeternam.
 
ADD : Des droits à l’information, d’accès et à la portabilité ?
Guilda Rostama : Ils ne posent pas de problème. Pour nous, le traitement a aussi lieu en dehors de la blockchain. Le responsable de traitement a ses propres obligations et le fait qu’il stocke une copie de la donnée sur la blockchain est presque indifférent sur les obligations qu’il a envers la personne. Techniquement, donc, c’est faisable.
 
Nacera Bekhat : On ne dit pas que c’est simple, parce que le droit à l’information est un réel effort sur la transparence. Il y a un réel effort à faire par rapport au marché, pour que ce soit transparent, clair, compréhensible, concis. Mais cela, c’est une problématique globale.
 
ADD : Et du droit d’effacement, a priori incompatible avec l’ADN de la blockchain ?
Guilda Rostama : Le corollaire du droit à l’effacement, c’est la conservation pour une durée limitée. C’est pour ça que l’on préconise cette solution qui est de ne pas stocker, exclusivement sur la blockchain, mais d’avoir une copie sur le système d’information du responsable du traitement. Ce qui permettra, quand on a un engagement ou une donnée chiffrée, s’il faut supprimer la donnée, de couper l’accessibilité. En faisant cela, la donnée n’est pas supprimée de la blockchain, mais on arrive à un effet qui peut être similaire. Dans le cas de l’engagement cryptographique qui serait « perfectly hiding », on peut même arriver à une donnée qui est parfaitement anonymisée.
 
La suppression de la donnée n’est pas techniquement acquise mais si l’on y réfléchit, on a un effet similaire. Il faut faire preuve de pragmatisme et être constructif.
 
ADD :  Comment, en pratique, peut-on couper cette accessibilité ?
Guilda Rostama : En détruisant les éléments de preuve, les clés de chiffrement qui ont pu être crées, sauf celles qui sont à la disposition de la personne concernée, qui aura accès à la donnée qui la concerne.
 
Il faut supprimer toutes les clés disponibles, pour revenir à une donnée qui serait intelligible. Par exemple, si j’ai un responsable de traitement et un sous-traitant, il faut que mon sous-traitant supprime aussi la clef.
 
ADD : Idem pour le droit de rectification ?
Guilda Rostama : Il va s’agir de couper l’accessibilité à la donnée "erronée" et de mettre un bloc ultérieur qui contient la donnée "correcte".
 
Comme le RGPD ne définit pas l’effacement, son application à la blockchain est compliquée. C’est pour ça que l’on a souligné que cela appelle à une réflexion plus globale au niveau européen. Nous allons nous concerter avec nos homologues européens pour avoir une approche harmonisée.
 
ADD : Et quid du droit à la limitation ?
Nacera Bekhat : C’est techniquement possible de suspendre temporairement, encore une fois en jouant sur le système d’information.
 
Guilda Rostama : Il faut souligner aussi qu'en ce qui conserne les smart contract plus spécifiquement, il faudra que ce droit soit implémenté dans la rédaction du code afin que la personne puisse contester la décision, conformément à l’article 22 du RGPD.
 
ADD : Ce rapport d’étape est-il précurseur d’un autre rapport ?
Guilda Rostama : Il s’agit bien d’un rapport d’étape, destiné à donner les premières orientations. Les prochaines étapes, ce serait de faire de l’inter-régulation, en se rapprochant, par exemple, de l’AMF. On aimerait bien également porter ce sujet au niveau européen. Pour l’instant, il n’y a pas encore de travaux publiés par nos homologues.
 
Ces analyses, c’est réellement de la co-construction. Au niveau français, on va organiser des workshops, peut-être aussi au niveau international et dans le cadre de groupes de réflexion au niveau européen.
 
Nacera Bekhat : Nous n’avons pas fait de concertation publique sur ce sujet, mais nous sommes très attentifs aux retours des acteurs.
 
Il fallait qu’une autorité de régulation se décide. Nous nous sommes lancés. Ce n’est pas gravé dans le marbre. Nous allons maintenant organiser des événements avec des acteurs français, les rencontrer, pour confronter nos lectures dans une démarche de co-construction.
 
Propos recueillis par Gaëlle Marraud des Grottes