Qu'est-ce que la Blockchain ?
La Blockchain est une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l'ensemble des utilisateurs, depuis sa création. La Blockchain n'est pas, par elle-même, un traitement de données ayant une finalité à part entière : il s'agit d'une technologie, qui peut servir de support à des traitements variés.
A noter : Le terme « Blockchain » est parfois accompagné d'une expression désignant une famille de technologies plus large : celle des registres distribués, ou DLT pour « distributed ledger technology ». Si la CNIL s'intéresse au développement de ces registres, qui incluent les Blockchains mais ne s'y limitent pas, elle a néanmoins choisi de concentrer son analyse sur la seule technologie Blockchain, dans la mesure où les solutions DLT qui ne sont pas des Blockchains sont encore trop récentes et rares pour permettre une analyse générique.
Quelles sont les caractéristiques et les différents types de Blockchain ?
La Blockchain peut se définir au travers des propriétés suivantes :
transparence : tous les participants peuvent visualiser l'ensemble des données inscrites ;
partage et décentralisation : plusieurs exemplaires de la Blockchain existent simultanément sur différents ordinateurs ;
irréversibilité : une fois qu'une donnée est inscrite, elle ne peut pas être modifiée ou supprimée ;
désintermédiation : toute décision se fait par consensus entre les participants, sans arbitre centralisé.
En pratique, plusieurs sortes de Blockchain coexistent, mettant en œuvre des niveaux de permission différents pour les différentes catégories de participants. La CNIL utilise la classification suivante :
les Blockchains publiques sont accessibles à n'importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la Blockchain ;
les Blockchains à permission ont des règles définissant quelles personnes peuvent participer au processus d'approbation ou même effectuer des transactions. Elles peuvent, selon les cas, être accessibles à tous ou être en accès limité ;
les Blockchains dites « privées » sont sous le contrôle d'un acteur qui assure seul le contrôle de la participation et de la validation. Selon certains experts, ces usages ne respectent pas les propriétés classiques de la Blockchain, notamment la décentralisation et la validation distribuée. En tout état de cause, elles ne posent pas de question particulière de conformité au RGPD, il s'agit de simples bases de données distribuées « classiques ».
Quels sont les différents acteurs qui interagissent sur la Blockchain ?
La CNIL distingue trois types d'acteurs dans une Blockchain :
les « accédants », qui ont un droit de lecture et d'obtention d'une copie de la chaîne ;
les « participants » qui ont un droit d'écriture (la création d'une transaction qu'ils soumettent à validation) ;
les « mineurs », qui valident une transaction et créent les blocs en appliquant les règles de la Blockchain afin qu'ils soient « acceptés » par la communauté.
Quelles interactions entre RGPD et Blockchain ?
Lorsque la Blockchain concerne des données personnelles, le RGPD s'applique. L'architecture et les caractéristiques propres des Blockchains vont toutefois avoir des conséquences sur la manière dont sont conservées et traitées les données personnelles. L'impact de la Blockchain sur les droits des personnes (droit à la vie privée et droit à la protection de leurs données personnelles) appelle donc une analyse spécifique.
Toutefois, cette innovation et la protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes. En effet, le RGPD n'a pas pour objectif de réguler des technologies mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles.
C'est pourquoi la CNIL s'est saisie de ce sujet et, dans le but de contribuer aux réflexions en cours sur ces technologies et leur développement, propose une grille d'analyse et de premières recommandations aux acteurs qui souhaitent y recourir lorsqu'ils mettent en œuvre un traitement de données personnelles.
Quels sont les usages qui impliquent, directement ou indirectement des données personnelles ?
La CNIL a reçu des demandes concrètes d'acteurs privés comme publics, provenant en particulier du secteur de la santé et des institutions financières et concernant à la fois des acteurs publics, de grandes entreprises ou des startups. Elle a pu constater, au cours de ces divers échanges, que la Blockchain recouvre des réalités très variables.
En effet, elle peut servir au transfert d'actifs (ex : Bitcoin ou titres de propriété), être utilisée comme un registre qui assure une traçabilité (ex : certification de diplômes) ou enfin pour le lancement d'un « contrat intelligent » (ou smart contract). Ce dernier terme désigne un programme autonome qui « fige » dans la Blockchain et sous la forme d'un algorithme un accord trouvé par deux personnes.
Si tous les projets de Blockchain n'impliquent pas de traitement de données à caractère personnel, en pratique, de nombreuses utilisations de cette technologie nécessitent la manipulation de ces données, tant au niveau du contenu que des informations liées aux participants.
En effet, une Blockchain peut contenir deux catégories de données à caractère personnel :
l'identifiant des participants et des mineurs : chaque participant/mineur dispose d'une clé publique, ce qui permet d'assurer l'identification de l'émetteur et du destinataire d'une transaction ;
des données complémentaires, inscrites « dans » une transaction (ex : diplôme, titre de propriété). Si ces données sont relatives à des personnes physiques, éventuellement autres que les participants, directement ou indirectement identifiables, il s'agit de données à caractère personnel.
Sur la base de cette distinction, la grille d'analyse habituelle du RGPD s'applique : identification du responsable de traitement, mise en œuvre des droits, mise en place de garanties appropriées, obligation de sécurité, etc.
Une solution technologique au soutien du principe de responsabilisation (accountability) ?
Le RGPD opère un changement de paradigme. Chaque acteur, responsable de traitement comme sous-traitant, doit désormais être en mesure de démontrer la conformité de ses traitements aux obligations posées par le RGPD.
Dans certains cas, ces technologies peuvent fournir des solutions efficaces à certains enjeux de protection des données. En effet, la CNIL a eu l'opportunité de rencontrer des offreurs de solutions proposant de s'appuyer sur les caractéristiques de Blockchains pour remplir efficacement certaines obligations que le RGPD met à la charge des responsables de traitement.
L'immuabilité des actions effectuées sur la Blockchain ont notamment permis le développement de solutions permettant de répondre aux obligations de traçabilité du consentement ou des actions effectuées sur les données.
Quels sont les points de vigilance ?
Dans certains cas, ces technologies sont susceptibles de soulever des difficultés au regard du RGPD. Elles ne seront donc pas toujours la solution la mieux adaptée pour tous les traitements. Ainsi, certains points, tels que la mise en œuvre des obligations liées à la sous-traitance ou les règles encadrant les transferts internationaux de données personnelles, nécessitent une vigilance particulière des acteurs ayant recours à la Blockchain, notamment lorsqu'il s'agit d'une Blockchain publique.
Ces points d'attention font de la Blockchain une technologie dont il faudra très concrètement apprécier l'intérêt réel au regard des objectifs et des caractéristiques de chaque traitement. La CNIL appelle donc les acteurs à s'interroger très tôt, en application du principe de protection de la vie privée dès la conception des produits et des services (Privacy by design), sur l'opportunité de recourir, pour la mise en œuvre de leurs traitements, à la technologie Blockchain plutôt qu'à une technologie alternative.
Au-delà de la question du recours ou non à la Blockchain, le responsable de traitement doit aussi s'interroger sur le type de Blockchain à privilégier.
En effet, la CNIL constate que les Blockchains sont des objets protéiformes et que les choix opérés par le responsable de traitement (entre une Blockchain à permission ou une Blockchain publique, entre différents formats pour l'inscription de la donnée dans les blocs, etc.) peuvent impacter significativement, à la hausse ou à la baisse, les risques sur les droits et les libertés des personnes.
Quelles solutions ?
En ce qui concerne la qualification des acteurs, les travaux menés par la CNIL ont permis de constater que dans de nombreux cas, le participant (la personne qui décide de l'enregistrement d'une donnée sur la Blockchain) pourrait être considéré comme un responsable de traitement dans la mesure où il décide de la finalité et des moyens du traitement de données.
S'agissant de l'exercice des droits, certains droits peuvent être exercés de manière effective telle que le droit d'accès et le droit à la portabilité. En ce qui concerne les droits à l'effacement, de rectification et d'opposition au traitement, la CNIL a pris connaissances des solutions technologiques, qui méritent d'être évaluées. Sans pouvoir conduire à des effets strictement identiques, ces solutions permettent de se rapprocher des exigences de conformité du RGPD, notamment en coupant l'accessibilité de la donnée en fonction du format choisi (engagement cryptographique, chiffrement, empreinte issue d'une fonction de hachage à clé…). Leur conformité mérite dès lors d'être évaluée. D'ailleurs, de manière plus générale, il convient de ne pas avoir recours à un stockage en clair d'une donnée personnelle sur la Blockchain.
Par ailleurs, les principes en matière de sécurité demeurent entièrement applicables dans la Blockchain.
En tout état de cause, la réalisation d'une étude d'impact relative à la protection des données (AIPD) pourra permettre d'analyser la nécessité et la proportionnalité du dispositif et d'identifier, le cas échéant, les cas pour lesquels d'autres solutions sembleraient plus adaptées.
Pour aller plus loin, lien vers la grille d'analyse et les recommandations de la CNIL
Quel plan d'action pour la CNIL ?
Les enjeux que présentent la Blockchain en termes de respect des droits et libertés fondamentaux appellent nécessairement une réponse au niveau européen. La CNIL est l'une des premières autorités à se saisir officiellement du sujet et va s'inscrire dans une démarche de coopération avec ses homologues européens pour proposer une approche solide et harmonisée.
Elle entend également se rapprocher d'autres régulateurs nationaux (AMF, ACPR) afin de poser les bases d'une interrégulation permettant aux acteurs concernés une meilleure lisibilité des diverses règlementations applicables à la Blockchain.
La Blockchain est une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l'ensemble des utilisateurs, depuis sa création. La Blockchain n'est pas, par elle-même, un traitement de données ayant une finalité à part entière : il s'agit d'une technologie, qui peut servir de support à des traitements variés.
A noter : Le terme « Blockchain » est parfois accompagné d'une expression désignant une famille de technologies plus large : celle des registres distribués, ou DLT pour « distributed ledger technology ». Si la CNIL s'intéresse au développement de ces registres, qui incluent les Blockchains mais ne s'y limitent pas, elle a néanmoins choisi de concentrer son analyse sur la seule technologie Blockchain, dans la mesure où les solutions DLT qui ne sont pas des Blockchains sont encore trop récentes et rares pour permettre une analyse générique.
Quelles sont les caractéristiques et les différents types de Blockchain ?
La Blockchain peut se définir au travers des propriétés suivantes :
transparence : tous les participants peuvent visualiser l'ensemble des données inscrites ;
partage et décentralisation : plusieurs exemplaires de la Blockchain existent simultanément sur différents ordinateurs ;
irréversibilité : une fois qu'une donnée est inscrite, elle ne peut pas être modifiée ou supprimée ;
désintermédiation : toute décision se fait par consensus entre les participants, sans arbitre centralisé.
En pratique, plusieurs sortes de Blockchain coexistent, mettant en œuvre des niveaux de permission différents pour les différentes catégories de participants. La CNIL utilise la classification suivante :
les Blockchains publiques sont accessibles à n'importe qui dans le monde. Toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la Blockchain ;
les Blockchains à permission ont des règles définissant quelles personnes peuvent participer au processus d'approbation ou même effectuer des transactions. Elles peuvent, selon les cas, être accessibles à tous ou être en accès limité ;
les Blockchains dites « privées » sont sous le contrôle d'un acteur qui assure seul le contrôle de la participation et de la validation. Selon certains experts, ces usages ne respectent pas les propriétés classiques de la Blockchain, notamment la décentralisation et la validation distribuée. En tout état de cause, elles ne posent pas de question particulière de conformité au RGPD, il s'agit de simples bases de données distribuées « classiques ».
Quels sont les différents acteurs qui interagissent sur la Blockchain ?
La CNIL distingue trois types d'acteurs dans une Blockchain :
les « accédants », qui ont un droit de lecture et d'obtention d'une copie de la chaîne ;
les « participants » qui ont un droit d'écriture (la création d'une transaction qu'ils soumettent à validation) ;
les « mineurs », qui valident une transaction et créent les blocs en appliquant les règles de la Blockchain afin qu'ils soient « acceptés » par la communauté.
Quelles interactions entre RGPD et Blockchain ?
Lorsque la Blockchain concerne des données personnelles, le RGPD s'applique. L'architecture et les caractéristiques propres des Blockchains vont toutefois avoir des conséquences sur la manière dont sont conservées et traitées les données personnelles. L'impact de la Blockchain sur les droits des personnes (droit à la vie privée et droit à la protection de leurs données personnelles) appelle donc une analyse spécifique.
Toutefois, cette innovation et la protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes. En effet, le RGPD n'a pas pour objectif de réguler des technologies mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles.
C'est pourquoi la CNIL s'est saisie de ce sujet et, dans le but de contribuer aux réflexions en cours sur ces technologies et leur développement, propose une grille d'analyse et de premières recommandations aux acteurs qui souhaitent y recourir lorsqu'ils mettent en œuvre un traitement de données personnelles.
Quels sont les usages qui impliquent, directement ou indirectement des données personnelles ?
La CNIL a reçu des demandes concrètes d'acteurs privés comme publics, provenant en particulier du secteur de la santé et des institutions financières et concernant à la fois des acteurs publics, de grandes entreprises ou des startups. Elle a pu constater, au cours de ces divers échanges, que la Blockchain recouvre des réalités très variables.
En effet, elle peut servir au transfert d'actifs (ex : Bitcoin ou titres de propriété), être utilisée comme un registre qui assure une traçabilité (ex : certification de diplômes) ou enfin pour le lancement d'un « contrat intelligent » (ou smart contract). Ce dernier terme désigne un programme autonome qui « fige » dans la Blockchain et sous la forme d'un algorithme un accord trouvé par deux personnes.
Si tous les projets de Blockchain n'impliquent pas de traitement de données à caractère personnel, en pratique, de nombreuses utilisations de cette technologie nécessitent la manipulation de ces données, tant au niveau du contenu que des informations liées aux participants.
En effet, une Blockchain peut contenir deux catégories de données à caractère personnel :
l'identifiant des participants et des mineurs : chaque participant/mineur dispose d'une clé publique, ce qui permet d'assurer l'identification de l'émetteur et du destinataire d'une transaction ;
des données complémentaires, inscrites « dans » une transaction (ex : diplôme, titre de propriété). Si ces données sont relatives à des personnes physiques, éventuellement autres que les participants, directement ou indirectement identifiables, il s'agit de données à caractère personnel.
Sur la base de cette distinction, la grille d'analyse habituelle du RGPD s'applique : identification du responsable de traitement, mise en œuvre des droits, mise en place de garanties appropriées, obligation de sécurité, etc.
Une solution technologique au soutien du principe de responsabilisation (accountability) ?
Le RGPD opère un changement de paradigme. Chaque acteur, responsable de traitement comme sous-traitant, doit désormais être en mesure de démontrer la conformité de ses traitements aux obligations posées par le RGPD.
Dans certains cas, ces technologies peuvent fournir des solutions efficaces à certains enjeux de protection des données. En effet, la CNIL a eu l'opportunité de rencontrer des offreurs de solutions proposant de s'appuyer sur les caractéristiques de Blockchains pour remplir efficacement certaines obligations que le RGPD met à la charge des responsables de traitement.
L'immuabilité des actions effectuées sur la Blockchain ont notamment permis le développement de solutions permettant de répondre aux obligations de traçabilité du consentement ou des actions effectuées sur les données.
Quels sont les points de vigilance ?
Dans certains cas, ces technologies sont susceptibles de soulever des difficultés au regard du RGPD. Elles ne seront donc pas toujours la solution la mieux adaptée pour tous les traitements. Ainsi, certains points, tels que la mise en œuvre des obligations liées à la sous-traitance ou les règles encadrant les transferts internationaux de données personnelles, nécessitent une vigilance particulière des acteurs ayant recours à la Blockchain, notamment lorsqu'il s'agit d'une Blockchain publique.
Ces points d'attention font de la Blockchain une technologie dont il faudra très concrètement apprécier l'intérêt réel au regard des objectifs et des caractéristiques de chaque traitement. La CNIL appelle donc les acteurs à s'interroger très tôt, en application du principe de protection de la vie privée dès la conception des produits et des services (Privacy by design), sur l'opportunité de recourir, pour la mise en œuvre de leurs traitements, à la technologie Blockchain plutôt qu'à une technologie alternative.
Au-delà de la question du recours ou non à la Blockchain, le responsable de traitement doit aussi s'interroger sur le type de Blockchain à privilégier.
En effet, la CNIL constate que les Blockchains sont des objets protéiformes et que les choix opérés par le responsable de traitement (entre une Blockchain à permission ou une Blockchain publique, entre différents formats pour l'inscription de la donnée dans les blocs, etc.) peuvent impacter significativement, à la hausse ou à la baisse, les risques sur les droits et les libertés des personnes.
Quelles solutions ?
En ce qui concerne la qualification des acteurs, les travaux menés par la CNIL ont permis de constater que dans de nombreux cas, le participant (la personne qui décide de l'enregistrement d'une donnée sur la Blockchain) pourrait être considéré comme un responsable de traitement dans la mesure où il décide de la finalité et des moyens du traitement de données.
S'agissant de l'exercice des droits, certains droits peuvent être exercés de manière effective telle que le droit d'accès et le droit à la portabilité. En ce qui concerne les droits à l'effacement, de rectification et d'opposition au traitement, la CNIL a pris connaissances des solutions technologiques, qui méritent d'être évaluées. Sans pouvoir conduire à des effets strictement identiques, ces solutions permettent de se rapprocher des exigences de conformité du RGPD, notamment en coupant l'accessibilité de la donnée en fonction du format choisi (engagement cryptographique, chiffrement, empreinte issue d'une fonction de hachage à clé…). Leur conformité mérite dès lors d'être évaluée. D'ailleurs, de manière plus générale, il convient de ne pas avoir recours à un stockage en clair d'une donnée personnelle sur la Blockchain.
Par ailleurs, les principes en matière de sécurité demeurent entièrement applicables dans la Blockchain.
En tout état de cause, la réalisation d'une étude d'impact relative à la protection des données (AIPD) pourra permettre d'analyser la nécessité et la proportionnalité du dispositif et d'identifier, le cas échéant, les cas pour lesquels d'autres solutions sembleraient plus adaptées.
Pour aller plus loin, lien vers la grille d'analyse et les recommandations de la CNIL
Quel plan d'action pour la CNIL ?
Les enjeux que présentent la Blockchain en termes de respect des droits et libertés fondamentaux appellent nécessairement une réponse au niveau européen. La CNIL est l'une des premières autorités à se saisir officiellement du sujet et va s'inscrire dans une démarche de coopération avec ses homologues européens pour proposer une approche solide et harmonisée.
Elle entend également se rapprocher d'autres régulateurs nationaux (AMF, ACPR) afin de poser les bases d'une interrégulation permettant aux acteurs concernés une meilleure lisibilité des diverses règlementations applicables à la Blockchain.
