La CNIL s'intéresse à la technologie Blockchain en vue du RGPD

A un mois maintenant de l'entrée en application du Règlement Général sur la Protection des Données (RGPD) une question revient et la CNIL s'intéresse à la technologie Blockchain, sans toutefois trouver de réponse : la blockchain, cette technologie associée dans l'esprit de chacun aux cryptomonnaies,  est-elle conforme au RGPD ? 

 

La blockchain : qu'est-ce-que c'est ?

En quelques mots, la blockchain est une technologie utilisée afin de stocker et de transmettre des informations de manière transparente et sécurisée sans qu'un organe central ne la contrôle. 

Apparue en 2008 avec le Bitcoin, la blockchain est composé de blocks d'informations vérifiées par des utilisateurs.

Une fois ces blocks d'informations vérifiés, ils sont ajoutés à une chaîne de blocks (d'où le nom de "Blockchain") qui sont datés et liés les uns aux autres. 

L'avantage d'une telle technologie est la traçabilité qu'elle offre : les blocks étant liés les uns aux autres, ils ne sont pas modifiables individuellement, ou alors très difficilement. 

De ce fait, l'intégrité de la date et des informations contenues dans un block est assurée. 

Et c'est là que la problématique de sa conformité au RGPD, qui prévoit différents droits des personnes concernées, dont le droit à l'effacement ou à la rectification des données, voit le jour. 

 

Une conformité impossible ?

Dans un article posté le 24 août 2017 sur le site du LINC (Laboratoire d'Innovation Numérique de la CNIL), la CNIL titrait : "Blockchain et RGPD, une union impossible ?". 

Titre annonciateur de son intérêt pour le sujet, il y était fait un distinguo entre les blockchains publiques, plus compliquées selon certains à mettre en conformité avec le règlement à venir, et les blockchains privées, plus enclines à respecter les droits des personnes concernées. 

En effet, les blockchains publiques, dont font partie celles utilisées pour les cryptomonnaies, posent entre autres la question de la durée de conservation des données. Une blockchain est très compliquée à modifier et cette complexité augmente au fur et à mesures qu'augmente le nombre de blocks qu'elle contient, rendant quasi-impossible la modification (article 16 du RGPD), anonymisation ou suppression des données (article 17 du RGPD)

De même, un grand nombre d'acteurs intervenant dans les blockchains publiques, comment désigner pour cette blockchain un responsable de traitement (article 24 du RGPD) vers qui se tourner ? 

La CNIL finissait par nuancer cette approche, rappelant que cette technologie des blockchains publiques était avant tout utilisée aux fins de transfert d'informations économiques ou juridiques, pour lesquelles une durée de conservation assez longue était préconisée. 

Les enjeux de 2018 : la blockchain concernée

Le 9 avril 2018, la CNIL rendait son rapport d'activité pour l'année 2017 avec ce premier constat d'une forte hausse des demandes et plaintes reçues par la CNIL durant l'année écoulée. 

Et pour les initiés, le rapport d'activité de la CNIL ne vient jamais seul mais accompagné du programme de l'année suivante, une sorte de prévisions des actions à venir. 

Parmi les enjeux de 2018 pour la CNIL, nous retrouvons donc ainsi l'accompagnement des professionnels à leur mise en conformité RGPD, logique au vu de sa prochaine entrée en application, et l'accompagnement de l'innovation.

 

L'accompagnement de l'innovation ? Desquelles ? 

La CNIL décide de s'attarder en 2018 sur trois sujets. L'intelligence artificielle tout d'abord pour laquelle la CNIL souhaite enclencher un débat européen sur les principes de sa gouvernance éthique. 

Le Privacy By Design ensuite, lié aux modalités d'interaction de plus en plus innovantes entre l'Homme et la machine (voix, photographies, émotions).

Et enfin la Blockchain, que la CNIL n'a pas oublié, et les questions laissées en suspens que pose cette technologie quant à la protection des données à caractère personnel. 

Aux dires de la CNIL, la non-conformité de la blockchain au RGPD ne serait que présumée, ne serait qu'une idée reçue qui, heureusement, aurait été à l'origine d'un certain nombre de demandes concrètes d'éclaircissements de la part d'acteurs privés et publics. 

Nous devrions donc durant l'année 2018, voir émerger de la CNIL diverses solutions, "lignes directrices concrètes et lisibles", pour nous permettre d'y voir un peu plus clair dans les utilisations de la blockchain par rapport aux préoccupations de gouvernance des données. 

 

 

En savoir plus : 

 

- Site officiel du Laboratoire d'Innovation Numérique de la CNIL (LINC)

- Site officiel de la CNIL