L’entrée en vigueur de la loi de 2008 sur la protection des données à caractère personnel en 2008 a bouleversé tous les écosystèmes. Pour rappel, la loi de 2008 a pour fonction principale de protéger les données personnelles des individus, en particulier lorsque ces données sont collectées et utilisées par toute personne.
La difficulté, c’est que la réglementation sur la protection des données personnelles a été pensée pour des personnes qui opèrent des traitements sur les données personnelles de manière centralisées avec, à sa tête, un responsable déterminé.
Or, la blockchain n’est pas assimilable à un acteur économique traditionnel car sa caractéristique principale est d’être décentralisée. Qui plus est, elle stocke des informations sur un nombre indéfini de serveurs et les rend visibles à l’ensemble des participants. Il est donc difficile d’identifier un pouvoir décisionnaire et lui attribuer un certain nombre d’obligations en matière de protection de la vie privée des personnes.
Afin de comprendre comment les textes sur les données personnelles et la blockchain peuvent trouver un terrain d’entente, il convient de s’interroger sur les éléments suivants :
• Qu’est-ce que la blockchain ?
• Blockchain et la loi de 2008 : qui est responsable ?
• Blockchain et la loi de 2008 : comment la loi de 2008 s’applique à la blockchain ?
Blockchain et la loi 2008 : de quoi parle-t-on ?
Qu’est-ce que la blockchain ?
La blockchain est une technologie qui correspond à une immense base de données qui est partagée simultanément par tous ses utilisateurs qui sont à la fois détenteurs de ces données. Ces derniers peuvent inscrire de nouvelles données dans ce registre, c’est-à-dire effectuer des transactions.
Mais la particularité de la blockchain est qu’elle ne dépend qu’aucun organisme centralisateur comme une banque centrale par exemple. En effet, la blockchain est le plus souvent reconnue pour son utilisation dans le secteur financier comme le secteur des Bitcoin qui ne représente qu’une des facettes de la blockchain.
Il faut également retenir que la blockchain est connue pour mettre œuvre un système infalsifiable par l’horodatage de chaque transaction et la sécurisation des données par la cryptographie.
En résumé, les caractéristiques de la blockchain sont les suivantes :
• La décentralisation : chaque nouveau bloc est lié au précédent, une copie étant transmise à tous les membres du réseau. Par ailleurs, chacune des décisions est prise par les utilisateurs puisqu’aucune autorité centrale n’intervient ;
• La transparence : tous les participants ont accès à l’ensemble des données inscrites qui sont, par la même occasion, irréversibles. Elles ne peuvent être ni modifiées ni supprimées ;
• La sécurité : les données sont cryptées et authentifiées par des « centres de données » ou « mineurs » puis stockées sur un grand nombre d’ordinateurs.
La blockchain est donc un nouveau moyen de traiter des données. Ce système est particulièrement apprécié d’une part pour la rapidité des transactions puisque les intermédiaires sont supprimés et d’autre part, pour la possibilité d’accélérer la contractualisation lorsque les clauses sont prédéfinies (il s’agit du fameux smart contract).
Vous l’aurez compris, le principal problème lié à l’applicable de la loi de 2008 sur la protection des données à la blockchain, est l’absence d’autorité centralisatrice. Nous étudierons cela plus en détail.
Quelles sont les différentes blockchains existantes ?
Il existe une technologie blockchain, mais il y a plusieurs niveaux de permission qui varient en fonction du libre accès ou non aux participants. Nous pouvons retenir la classification suivante :
• Les blockchains publiques accessibles à tous. N’importe quel participant peut effectuer une transaction, valider les blocs et avoir une visibilité sur les autres transactions.
• Les blockchains privées qui sont sous le contrôle d’un acteur qui assure seul le droit de participation et de validation.
Moins la blockchain est accessible (blockchains privées) plus elle peut être assimilée à un système centralisé, et dans ces cas la loi de 2008 s’applique sans difficulté. À l’inverse, plus la blockchain est accessible et publique, plus l’application la règlementation soulève de question au regard de sa décentralisation.
Quelles sont les données personnelles concernées par la blockchain ?
La blockchain est souvent associée à la cryptomonnaie3 qui n’est finalement qu’un cas d’usage parmi tant d’autres. Cet exemple est cependant intéressant puisqu’il représente à lui seul ce que la blockchain peut apporter : l’indépendance vis-à-vis d’un pouvoir décisionnaire (comme la banque centrale) et la traversée des frontières sans contrôle possible.
De nombreux secteurs peuvent être concernés par la blockchain : les NFT4 dans l’art et l’immobilier, l’automatisation des procédures de remboursement dans le domaine des assurances via un smart contract5, la collecte de preuves pour les particuliers, la sécurité et l’horodatage lors de transfert de documents, la certification des documents administratifs.
L’ensemble de ces secteurs génèrent énormément de données. La question est de savoir si ces données correspondent à des données à caractère personnel.
Pour rappel, les données à caractère personnel sont toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique (article 4 de la 2008).
En l’espèce, au sein de la blockchain, il existe deux grandes catégories de données à caractère personnel :
• Les identifiants des participants (ceux qui ont le droit d’écriture d’une transaction) et des mineurs (ceux qui valident une transaction). Chacun d’entre eux a un identifiant composé d’une suite de caractères alphanumériques qui constituent la clé publique du compte du participant ou du mineur. Concrètement il s’agit de données identifiant une personne physique.
• Les données complémentaires. Il s’agit des données contenues dans la transaction (transaction monétaire, titre de propriété etc.). Et dès lors que la transaction peut être reliée à un identifiant lui-même relié à une personne physique, c’est de la donnée personnelle.
Blockchain et la loi de 2008 : qui est responsable ?
Pour rappel, l’article 4 de la loi de 2008 définit deux rôles principaux dans la manipulation des données : responsable de traitement et le sous-traitant. De cette qualification dépend l’application d’obligations différentes de la loi de 2008.
• Le responsable de traitement : la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités.
• Le sous-traitant : toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement.
Comment ces rôles s’appliquent aux différents intervenants au sein de la blockchain ?
Blockchain : qui est responsable de traitement ?
Comme exposé précédemment, par essence la blockchain instaure un système décentralisé. En définitive, l’ensemble des transactions sont ordonnées par les utilisateurs eux-mêmes. Il existe donc une multiplicité de personnes intervenantes dans le traitement. Alors, qui doit-on qualifier de responsable de traitement ?
Dans son analyse, considère que le participant, en tant qu’il ordonne l’enregistrement d’une transaction dans la chaine, doit être regardé comme le responsable de traitement puisqu’il détermine les finalités (c’est-à-dire l’objectif) et les moyens (c’est-à-dire la méthode) de traitement de la donnée.
À l’inverse, les mineurs (les personnes qui valident l’écriture dans la blockchain) n’ont pas ce pouvoir de déterminer les finalités et moyens du traitement.
Pour donner un exemple concret, lorsqu’une banque inscrit les données de son client dans la blockchain, elle agit ici en tant que responsable de traitement.
Blockchain : qui est sous-traitant ?
Comme nous l’avons vu ci-dessus, le sous-traitant est un prestataire de services, il intervient pour le compte du responsable de traitement. À ce titre, il manipule les données sur les instructions sur responsable de traitement. Il a donc des obligations en vertu de la loi 2008 qui sont équivalentes à son niveau de responsabilité dans le traitement.
En vertu de cette définition, qui a le statut de sous-traitant dans la blockchain ? Il arrive que les participants exerçant à titre professionnel (responsable de traitement) fassent appel à des sous-traitants qui inscrivent des données dans la blockchain pour leur compte.
Par exemple, lorsqu’un développeur de logiciel propose à une banque une solution qui permet d’automatiser ces fameux smart contract. Ces entreprises ont le statut de sous-traitant.
Blockchain et la loi de 2008 : comment les règles s’appliquent ?
Les statuts de responsable de traitement et de sous-traitant entrainent certaines implications au regard de cette loi. Pour résumer :
Lorsque vous avez le statut de responsable de traitement, vous devez assurer aux personnes la protection des données personnelles dont vous avez la charge.
Lorsque vous avez le statut de sous-traitant, vous devez assurer au responsable de traitement, la protection des données personnelles qu’il vous a transféré. Un contrat précisant les droits et obligations des parties doit impérativement prévoir un certain nombre de règles conformément à l’article 39 de la loi de 2008.
Pour assurer la protection des données personnelles dans la blockchain, comment faut-il procéder ?
• Une protection des données dès la conception (Privacy by Design)6 :
Il appartient au responsable de traitement comme au sous-traitant de choisir la solution ayant le moins d’impact sur les droits et libertés des individus dès la conception du traitement. Il s’agit du principe de Privacy by Design. Les données à caractère personnel devraient être enregistrées dans la blockchain, de préférence sous la forme d’un engagement cryptographique.
Mais, il y a une alternative à cette technique. La donnée peut être stockée sur un serveur classique (l’ordinateur du responsable de traitement) et seule une information démontrant l’existence de la donnée est stockée sur la blockchain via un engagement cryptographique.
Avant d’aller plus loin dans les démarches de conformité, la priorité est bel et bien de choisir la solution la plus sécurisante pour les personnes à condition que la finalité du traitement le justifie et qu’une analyse d’impact prouve que les risques identifiés sont acceptables.
• Information : portée et limites selon le type de blockchain :
Le consentement libre et éclairé est l’un des piliers de la loi de 2008. On comprendra aisément que le responsable de traitement devra renseigner de façon complète et accessible la personne concernée avant d’ancrer ses informations à caractère personnel dans la blockchain.
Par ailleurs, il sera facile de lui transmettre les informations classiques telles que les types de données récoltées, l’identité et les coordonnées du responsable de traitement et le sous le traitement, les finalités de traitement, l’existence ou non de profilage.
Mais, qu’en est-il des indications relatives aux sous-traitants, notamment lorsque ceux-ci opèrent des transferts de données personnelles en dehors du Sénégal ? Cette question est d’autant plus complexe dès lors qu’on est face à une blockchain publique ?
Dans ce dernier cas, il est quasiment impossible pour le responsable de traitement d’avoir une parfaite maitrise des transferts de données et leurs localisations. À l’inverse, la blockchain privée pose moins de problèmes puisqu’un contrôle est présent. Logiquement, les clauses contractuelles types, les règles d’entreprises contraignantes, les codes de conduite ou encore les mécanismes de certification sont donc actionnables.
Tel n’est pas le cas pour les blockchains publiques dans lesquelles le responsable de traitement n’a aucun contrôle donc aucun moyen de faire jouer ces mécanismes.
Exercice des droits et blockchain : possible ou pas ?
L’un des piliers de la 2008 est de redonner du pouvoir aux personnes concernant leurs données personnelles. Pour ce faire, la loi prévoit un certain nombre de droits que les personnes doivent pouvoir exercer. Et c’est au responsable de traitement d’assurer l’effectivité de ces droits.
• Le droit à l’information (article 58) ;
• Le droit d’accès (article 62) ;
• Le droit d’opposition (article 68) ;
• Le droit de rectification et de suppression (article 69).
Seulement dans la blockchain, comment ces droits peuvent être exercés par les personnes ?
En ce qui concerne le droit à l’information et d’accès il n’y a aucune difficulté puisque la blockchain permet justement à chaque personne d’avoir accès au registre et d’en obtenir une copie.
Or, concernant le droit de suppression et la rectification les choses se compliquent. En effet, il est techniquement infaisable de faire droit à la demande de suppression de la personne concernée lorsque des données en clair sont inscrites dans une Blockchain. Néanmoins, si on a recours à une empreinte issue d’une fonction de hachage à clé et d’une clé privée, le responsable de traitement peut rendre la donnée quasi inaccessible. Il ne sera plus possible de prouver ou de vérifier quelle information a été engagée. Cette solution ne constitue pas une suppression de la donnée au sens strict dans la mesure où il y aura une trace dans la blockchain mais, retrouver l’information inscrite sera irréalisable.
Concernant le droit à la rectification, il y a un vrai sujet puisqu’il est impossible de modifier les données inscrites dans un bloc.
Références
La loi n° 2008 – 12 sur la Protection des données à caractère personnel ;
Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?
Les blockchains et la protection des données personnelles – France-Science https://donnees-rgpd.fr/definitions/privacy-by-design/.
Baba Fall Badiane Cyber-juriste
Baba.fallbadiane@gmail.com 77774 50 45