ARTICLES

Blockchain et RGPD : Répartition des rôles et responsabilités dans une Blockchain au regard du RGPD, la difficile identification des responsables de traitement et des sous-traitants et les premiers éléments d’analyse de la CNIL :


22 octobre 2018



Blockchain et RGPD : Premiers éléments d’analyse de la CNIL –  Exigences posées par l’article 28 du RGPD :

Selon l’article 4 du RGPD, le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement… ».

 

Cette définition, parfaitement adaptée à une gouvernance centralisée des données, se prête plus difficilement à une application à une gouvernance décentralisée comme celle de la Blockchain.

 

En effet, la particularité de cette technologie, ou plutôt de cette architecture (ouverte ou fermée selon qu’il s’agit d’une Blockchain publique ou privée) est de permettre des transactions sur un réseau de pair à pair, c’est-à-dire sans intermédiaire (ou tiers de confiance) qui viendrait apporter sa garantie.

 

Sur cette architecture, « la transaction entre deux internautes est enregistrée dans un registre (ledger) qui garde trace de toutes les opérations effectuées».

 

Ce registre n’est pas détenu dans un lieu centralisé mais « distribué » dans les ordinateurs de tous les participants, appelés « nœuds ».

 

A chaque transaction, les membres du réseau interrogent l’historique pour s’assurer que la personne possède bien les actifs qu’elle souhaite échanger.

 

Les transactions sont ensuite groupées et validées par blocs – qui forment une « chaîne de blocs » ou « blockchain ». Chaque nouveau bloc de transaction vient s’ajouter à la chaîne, lié au précédent par un procédé cryptographique.

 

La blockchain contient ainsi «l’ensemble des opérations validées depuis la création de la chaîne jusqu’à aujourd’hui » (France Stratégie, Les enjeux des blockchains, sous la dir. De J. Toledano, Juin 2018, spéc. p.19).

 

Mais la spécificité de cette chaîne de blocs réside en réalité dans la méthode de validation des transactions (le protocole de consensus) réalisée par les « mineurs » ou les « développeurs de smart contracts ».

 

Ce processus de validation par consensus est réalisé par toute personne dans la blockchain publique, ou par des intervenants agréés dans la blockchain privée (sans compter les diverses variantes exposées dans Les enjeux des blockchains, préc., spéc. p.24).

 

Autant dire que les blockchains font intervenir une pluralité d’intervenants, ce qui interroge sur l’attribution des responsabilités prévues, dans le cadre du RGPD pour les responsables de traitements ou les sous-traitants.

 

C’est dire si les Premiers d’éléments d’analyse de la CNIL sur la Blockchain, publiés en septembre 2018, apportent d’utiles précisions.

 

D’une part, les finalités (les objectifs poursuivis par le traitement) et les moyens mis en œuvre (format de la donnée, recours à la technologie Blockchain, etc.) sont déterminés par les participants à la Blockchain.

 

Cette qualité résulte du droit d’écriture dont ils disposent sur la chaîne ainsi que de leur pouvoir de décider de soumettre une donnée à la validation des mineurs.

 

Cela signifie que le notaire qui, par exemple, enregistre le titre de propriété de ses clients dans une Blockchain, doit respecter les exigences posées par le RGPD à l’égard des données à caractère personnel.

 

Toutefois, l’article 2 du RGPD écarte son application lorsque le traitement de données à caractère personnel est effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique », ce que l’on dénomme « l’exception domestique ».

 

Dès lors, une personne physique qui achète ou vend des Bitcoins pour son compte n’est pas responsable de traitement, alors qu’elle l’est si elle agit, dans le cadre de son activité professionnelle ou commerciale, pour le compte d’autres personnes physiques.

 

Par conséquent, la CNIL considère que les participants à une Blockchain seront qualifiés de responsables de traitement dans deux séries d’hypothèses : soit s’il s’agit d’une personne physique agissant dans le cadre d’une activité professionnelle ou commerciale, soit s’il s’agit d’une personne morale.

 

Et s’ils déterminent conjointement les finalités et moyens du traitement, la CNIL leur recommande d’identifier clairement le responsable du traitement (ou de créer une personne morale chargée de ce rôle) afin de permettre aux personnes concernées d’exercer effectivement leurs droits.

 

D’autre part, les mineurs, qui se limitent à valider les transactions que leur soumettent les participants, sans intervenir sur l’objet de ces transactions, ne peuvent en principe pas être qualifiés de responsables de traitement puisqu’ils ne déterminent pas les finalités et les moyens mis en œuvre.

 

Toutefois, il est possible, dans certaines hypothèses, de les qualifier de sous-traitant, défini par l’article 4 du RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

 

Tel est le cas si le développement des « smart contracts » impose d’exécuter les instructions du responsable de traitement en vérifiant que la transaction respecte des critères techniques (par exemple, un format et une taille maximale) et que la participant est en capacité, vis-à-vis de la chaîne, d’effectuer sa transaction.

 

Dans ce cas, le développeur (sous-traitant) et le responsable de traitement devront rédiger un contrat précisant les obligations de chacun, conformément aux exigences posées par l’article 28 du RGPD.

 

  Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

 Mise en ligne:  22/10/2018

 





LES AVOCATS ALTA-JURIS