Au mois de septembre 2018, la CNIL a publié un document intitulé « Premiers éléments d’analyse de la CNIL – Blockchain », dans lequel elle liste les solutions pour aboutir à un usage responsable en présence de données personnelles.
La CNIL indique, dans cette publication, que la Blockchain est une technologie au potentiel de développement fort qui suscite de nombreuses questions, y compris celle de sa compatibilité au RGPD.
La Blockchain pose notamment la question de savoir quelle est la personne endossant le rôle de responsable du traitement. La CNIL distingue 3 types d’acteurs dans une Blockchain : les accédants (qui ont un droit de lecture et d’obtention d’une copie de la chaîne), les participants (qui ont un droit d’écriture), et les mineurs (qui valident les transactions et créent les blocks en appliquant les règles de la Blockhain).
Selon la CNIL, les participants à la Blockchain, qui ont un droit d’écriture sur la chaîne et qui décident de soumettre une donnée à la validation des mineurs, peuvent être considérés comme responsables du traitement. Plus précisément, la CNIL serait d’avis que le participant soit responsable du traitement lorsqu’il est (i) une personne morale, ou (ii) lorsqu’il est une personne physique et que le traitement de données à caractère personnel est en lien avec une activité professionnelle ou commerciale.
Selon la CNIL, les mineurs, qui se limitent à valider les transactions que lui soumettent les participants, ne déterminent pas les finalités et les moyens à mettre en œuvre, et ne sont donc pas responsables du traitement. La CNIL étudie toujours la question de savoir s’ils peuvent être qualifiés de sous-traitants.
En cas de présence de plusieurs co-responsables du traitement, la CNIL recommande de prendre une décision commune quant à la responsabilité du traitement, soit en créant une personne morale et en la désignant comme responsable du traitement (un GIE ou une association par exemple), soit en désignant le participant qui prend les décisions pour le groupe en tant que responsable du traitement.
De plus, en vertu du principe de Privacy by Design (article 25 du RGPD), le responsable du traitement devrait réfléchir, en amont, à la pertinence du choix de la Blockchain pour la mise en œuvre du traitement. Si la Blockchain n’est pas la technologie la mieux adaptée pour le traitement, il conviendrait de privilégier une autre solution.
En cas de participants (mineurs ou non) situés en dehors de l’UE, se pose la question du respect des obligations en matière de transferts hors UE, ce qui imposerait de recourir aux clauses contractuelles types, BCR, codes de conduites ou mécanismes de certification.
La Blockchain pose problème s’agissant de la durée de conservation, car les données qui y sont inscrites ne peuvent être techniquement modifiées ou supprimées.
Ce problème pourrait être contourné en traitant les données en dehors de la Blockchain ou, que soit stocké sur la Blockchain (i) un engagement cryptographique, (ii) une empreinte de la donnée obtenue par une fonction de hachage à clé, ou (iii) un chiffré de la donnée.
La CNIL admet, toutefois, que certaines données puissent être enregistrées sur la Blockchain en clair, lorsqu’il existe une obligation légale de rendre publiques et accessibles, sans limitation de durée, certaines informations (sous réserve de conduire une analyse d’impact permettant de conclure que les risques sont minimes pour les personnes).
Pour les mêmes raisons que s’agissant de la durée de conservation, l’exercice des droits à l’effacement et à la rectification pourront poser problème, compte tenu des difficultés que présente la Blockchain quant à la suppression des données. Sous réserve d’une évaluation approfondie, la CNIL mentionne la possibilité de supprimer les données stockées en dehors de la Blockchain et les éléments permettant la vérification, ce qui permet de couper l’accessibilité à la preuve enregistrée dans la Blockchain (les données seraient, toutefois, toujours présentes dans la Blockchain).
La CNIL évoque enfin également, dans ce document, les mesures de sécurité à mettre en place en cas de recours à cette technologie.
