Le Règlement Général portant Protection des Données (RGPD) à caractère rentré en vigueur depuis le 25 Mai 2018 a profondément renforcé les droits des personnes concernées par le traitement de leurs données à caractère personnel.
Pour rappel, le RGPD a introduit une définition plus précise des données à caractère personnel. En effet, la donnée à caractère personnel désignait à l’origine toutes les informations nominatives « qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent » (L. N° 78-17, 6 janvier 1978, article 4).
Désormais, avec le RGPD, la définition est plus détaillée. En effet, on entend par « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». [1]
Les droits nouveaux ont également été renforcés. On pourrait citer la notion de consentement préalable de la personne concernée. Le droit de s’opposer à une mesure de profilage, le droit à la portabilité de ses données qui permet à la personne concernée de solliciter la restitution de ses données dans un format structuré et le droit à la limitation du traitement qui a pour objet d’interdire l’utilisation de certaines données pendant le délai d’examen d’une demande de rectification ou d’effacement en cours.
Par ailleurs, le RGPD consacre le droit d’effacement.
Quant à la technologie Blockchain, elle a été inventée en 2008 par un homme ou une femme ou un groupe de personne sous le nom Satoshi Nakamoto. Personne ne sait qui se cache derrière ce nom. La Blockchain ou technique de registre partagé (Distributed Ledger Technology, DLT) est une technologie reposant sur la technique du consensus et destinée à remplacer tous les tiers de confiance. La Blockchain est un système communautaire en vrai. La base de données, distribuée, partagée et cryptée sert de répertoire d'informations public irréversible et incorruptible.
La Blockchain est susceptible de nombreuses applications dans tous les domaines même si le secteur financier et bancaire est privilégié aujourd'hui. Elle a donc une fonction de conservation de données ou de documents ; c'est une plateforme permettant des transactions, des transmissions ; elle peut être le support de smart contracts.
De plus, le principe de la Blockchain est que chacun des participants reçoit copie des données échangées, ce qui lui permet de savoir quelle transaction a eu lieu.
La technologie Blockchain offre aux personnes concernées la possibilité de contrôler leurs propres données.
Cependant, le droit à l’oubli numérique instauré par le règlement 2016/679, prévoit que tout individu peut demander, dans certains cas et à certaines conditions, l’effacement d’une information publique concernant son passé. Or il existe un risque de conflit avec le principe même de la Blockchain puisque cette technologie suppose la conservation des données dans les registres sans pouvoir les effacer. Il s’agit bien d’informations publiques puisque les registres peuvent être consultés par les utilisateurs de la chaine.
En d’autres termes, aucune protection des données échangées ne peut être garantie autrement que par la confiance en la technologie des registres distribués.
Celle-ci repose sur l’irréversibilité des données transcrites dans la chaine des blocs validés par les participants.
I) Consécration du droit à l’effacement par le RGPD
A) Le droit à l’effacement consacré par l’article 17 du RGPD
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement.
C’est également le cas lorsque la personne concernée a retiré son consentement au traitement, lorsqu’elle s’oppose au traitement, ou encore lorsque le traitement ne respecte pas d’une manière ou d’une autre le règlement (traitement illicite).
Lorsqu'il s’agit de données rendues publiques par le responsable de traitement, celui-ci a l’obligation de prendre toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d’informer les tiers qui traitent lesdits données qu’une personne concernée leur demande d’effacer tous les liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.
Au vu des motifs pour lesquels le droit à l'effacement peut être exercé, il faut le distinguer du droit au déréférencement créé par la CJUE, permettant à une personne d'obtenir le déréférencement de liens hypertextes portant atteinte à sa vie privée (CJUE, 13 mai 2014, aff. C-131/12, Google Spain : JurisData n° 2014-009597.
B) Exclusion du droit à l’effacement dans certaines circonstances
Le droit à l'effacement ne s'applique pas aux traitements nécessaires :
· À l'exercice du droit à la liberté d'expression et d'information ;
· Pour respecter une obligation légale qui requiert le traitement prévu par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
· Pour des motifs d'intérêt public dans le domaine de la santé publique (Règl. (UE) 2016/679, 27 avr. 2016, art. 9 (2), h) et i), et (3)) ;
· À des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l'effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
· À la constatation, à l'exercice ou à la défense de droits en justice.
II) Conformité aux règles de protection des données personnelles
A) Accès des données publiques par les utilisateurs de la technologie Blockchain
Qu’est-ce qu’une Blockchain publique ? La blockchain publique permet à tous d'accéder au registre, chacun est protégé par un pseudonyme, aucun tiers ne contrôle le fonctionnement de cette blockchain et les règles ne peuvent être modifiées.
Les Blockchains publiques sont accessibles à n’importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la Blockchain.
Une blockchain publique peut donc être assimilée à un grand livre comptable public, anonyme et infalsifiable. Comme l’écrit le mathématicien Jean-Paul Delahaye, il faut s’imaginer « un très grand cahier, que tout le monde peut lire librement et gratuitement, sur lequel tout le monde peut écrire, mais qui est impossible à effacer et indestructible ».
Vitalik Buterin dans un de ses articles sur le sujet expliquait qu’: « une blockchain publique est une blockchain que quiconque dans le monde peut lire, à laquelle quiconque peut envoyer des transactions et les y voir incluses si elles sont valides, et au mécanisme de consensus de laquelle quiconque peut participer - le mécanisme de consensus déterminant quels blocs sont ajoutés à la chaîne et l'état actuel d'icelle ».
Il existe la blockchain publique, dont l'exemple le plus connu est le bitcoin, dans laquelle l'application est diffusée en open source - donc ouverte à tous. Elle se compose de serveurs gérés par des « mineurs », répartis sur des nœuds Internet, qui, chacun, mettent à disposition du système une certaine puissance de calcul pour faire tourner l'application et conserver tout ou partie des registres sécurisés.
Le traitement des données doit être conçu pour rendre possible l’exercice des différents droits reconnus aux titulaires des données. Il existe par exemple un droit à l'oubli ou droit à l'effacement des données ou encore un principe de portabilité. Il faut désigner un délégué à la protection des données (Data Privacy Officer, dit DPO). Comment ce droit des données peut-il être respecté dans une blockchain publique alors même qu'il n'existe pas de responsable du traitement et que les données inscrites le sont de manière définitive ?
La difficulté est que l’impossible effacement des données sur la Blockchain publique est un véritable casse-tête pour les personnes concernées. On voit dans ce cas très précis que la technologie Blockchain ne peut exécuter une demande formulée sur le droit à l’effacement de la personne concernée.
B) Difficile mise en œuvre en œuvre du droit à l’effacement consacré par le RGPD
Le « droit à l'oubli » que l'on retrouve à l'article 17 du RGPD prévoit que les individus peuvent demander l'effacement de certaines données les concernant. [2]
La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d'analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ?
Il semblerait qu'il faille choisir entre sécurisation des données et respect du droit d'effacement des personnes concernées. Heureusement, le choix ne serait plus aussi manichéen, les spécialistes étant en train d'œuvrer au développement de blockchains permettant d'allier sécurisation et possibilité de modification des contenus.
La CNIL envisage la conciliation de la blockchain et des droits reconnus aux titulaires de données. Elle fait le constat que l’exercice de certains droits n’est pas remis en cause. Tel est le cas du droit à l’information et du droit à la portabilité des données.
D’autres, notamment le droit à l’effacement, le droit de rectification et le droit d’opposition, suscitent des difficultés. Le droit à la portabilité des données pourra être confronté à la difficulté d’extraire ces données de la blockchain. [3] Une telle opération paraît néanmoins pour l’heure techniquement moins compliquée que l’effacement de données au titre du droit à l’oubli, l’une des caractéristiques de la blockchain consistant en effet à empêcher un tel effacement pour préserver la pérennité du système.
Dans un rapport publié en 2016, l’Open Data Institute estime que la technologie Blockchain ne permet pas l’effacement d’une donnée ou l‘intervention sur les nœuds du réseau sans risquer des dommages affectant l’ensemble de la chaine. En effet, le risque serait de devoir effacer le bloc entier comprenant la donnée ou de conserver des données endommagées, ce qui est aux antipodes de l’objectif de traçabilité infalsifiable souhaité. [4]
Dès lors, il parait compliqué d’obliger le responsable du traitement à la mise en œuvre du droit à l’effacement par décision de justice. Le droit à l’effacement devant nécessairement être mis en balance avec la nécessité de la finalité du traitement des données.
Le droit à l’effacement consacré par le RGPD rentrerait en totale contradiction avec les principes même de la technologie Blockchain dont l’un des attributs consiste à ce que les données, une fois insérées, ne peuvent pas être modifier ou altérer par la suite. [5]
La CNIL constate qu’il est techniquement impossible de faire droit à la demande d’effacement de la personne concernée lorsque des données sont inscrites dans la blockchain. Toutefois, lorsque la donnée inscrite sur la blockchain est un engagement, une empreinte issue d’une fonction de hachage à clé ou un chiffré utilisant un algorithme et des clés conformes à l’état de l’art, le responsable de traitement peut rendre la donnée quasi inaccessible, et se rapprocher ainsi des effets d’un effacement de la donnée. [6]
Sources :
[1] (RGPD, article 4.1).
[2] Le « droit à l’effacement » (RGPD, art. 17).
[3] https://Blockchainfrance.net/decouvrir-la-Blockchain/c-est-quoi-la-Blockchain/
[5] https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf
[6] https://www.ethereum-france.com/la-chaine-de-blocs-nest-pas-immuable/