Licéité des Blockchain comportant des données à caractère personnel au regard du RGPD : la question du droit à l’effacement et les Premiers éléments d’analyse de la CNIL… On aurait pu a priori penser que des données à caractère personnel ne pouvaient pas figurer dans une Blockchain en raison de l’impossibilité de procéder à leur effacement.
Cela aurait cependant conduit à limiter les utilisations de cette technologie dont on prédit qu’elle pourrait transformer en profondeur nos organisations (Parmi une littérature abondante, V. M. Della Chiesa, F. Hiault et C. Tequi, Blockchain, Vers de nouvelles chaînes de valeur, éd. Prospectives Accuracy, 2018). C’est probablement ce qui explique la position magnanime de la CNIL sur cette question.
Cela nous donne l’occasion de revenir sur la méthodologie qu’impose le RGPD. En effet, ce Règlement impose avant tout une méthode de management et de gestion des risques liés aux données à caractère personnel. Cela signifie qu’il est attendu de tout responsable de traitement qu’il évalue le risque et adopte les « mesures appropriées » pour le limiter, afin de protéger les droits des personnes concernées. Autrement dit, les droits reconnus par le RGPD ne sont pas garantis de façon absolue ; une balance des intérêts doit être mise en œuvre de manière à ce qu’il ne soit pas porté une atteinte trop importante aux droits des personnes physiques, laquelle constitue un « risque ».
On voit ainsi que le concept clé est moins celui du respect des droits affirmés par le RGPD que celui de la limitation des risques. Une atteinte auxdits droits est donc acceptable si, in fine, elle n’entraîne pas un risque trop important au regard de la protection des personnes physiques. Ce changement de paradigme, qui innerve l’ensemble de notre droit (F. Verdun, Le management stratégique des risques juridiques, éd. LexisNexis, 2013 ; O. de Maison Rouge, Les cyberisques, La gestion juridique des risques à l’ère immatérielle, éd. LexisNexis, 2018), implique une appréciation plus magnanime des effets d’une technologie, voire l’utilisation astucieuse de technologies complémentaires afin de limiter le risque. Le juriste a donc tout intérêt à connaître ces dispositifs technologiques et être en mesure d’en apprécier les effets au regard des exigences juridiques.
C’est cette méthodologie qui se trouve au cœur des Premiers éléments d’analyse de la CNIL en ce qui concerne la licéité des blockchain au regard du droit à l’effacement des données à caractère personnel. En effet, la CNIL relève que des moyens techniques permettent de rendre la donnée quasiment (même si ce n’est pas totalement) inaccessible, de façon à obtenir des effets sensiblement semblables à ceux d’un effacement. Tel est le cas lorsque la Blockckain comporte des engagements cryptés grâce à « une fonction de hachage à clé ou un chiffré utilisant un algorithme et des clés conformes à l’état de l’art ». Dans cette hypothèse, elle considère que des mesures techniques (que nous exposons ci-dessous) permettent d’obtenir un effet sensiblement équivalent à un effacement des données, de sorte que « leur équivalence avec les exigences du RGPD doit être évaluée ».
Pour bien comprendre cette décision, il convient de revenir sur quelques aspects techniques :
- le chiffrement peut être symétrique (auquel cas il utilise la même clé pour coder et décoder les données) ou asymétrique, auquel cas il utilise deux clés de chiffrement : l’une des clés, qualifiée de clé publique, est connue de tous tandis que l’autre, la clé privée, est secrète, ce qui permet de préserver la confidentialité des données ;
- le hachage consiste à produire une trace (« hash) à partir des données : il est généralement court et permet d’identifier, de façon presque unique, les données « hachées ». Avec les fonctions de hachage utilisées en cryptographie, il est impossible de retrouver des informations sur les données (de même qu’il est impossible que deux jeux de données différents donnent le même hash).
Mais il est possible de combiner le hachage et le chiffrement asymétrique. Par exemple, « une autorité certificatrice hache un document dont elle veut certifier l’authenticité et chiffre le hash avec sa clé privée. L’ensemble document + hash chiffré constitue le document signé. Il est possible pour n’importe qui de déchiffrer le hash avec la clé publique de l’autorité certificatrice. En le comparant avec le hash du document, on peut ainsi s’assurer que le document présenté comme authentique n’a pas été modifié depuis la certification par l’autorité » (Terra Nova, L’identité numérique : un usage de la blockchain au profit du citoyen, 24 septembre 2018, spéc. p. 16). On peut utiliser ce dispositif pour n’importe quel engagement inscrit dans une blockchain.
Dans ces hypothèses, même si aucune donnée ne peut être effacée de la blockchain, on peut obtenir un effet sensiblement équivalent de deux manières :
- soit en supprimant le hash. Dans ce cas, il ne sera plus possible d’accéder à l’information inscrite sur la blockchain. Or, la CNIL explique que ce résultat peut être obtenu grâce aux propriétés mathématiques de certains engagements cryptographiques : ceux qui sont « parfaitement indistinguables (« perfectly hiding»), lesquels [permettent d’]anonymiser l’engagement de telle façon à ce qu’il perde sa qualification de donnée à caractère personnel » (CNIL, Premiers éléments d’analyse de la CNIL, Blockchain, Septembre 2018, spéc. p.9).
- soit en supprimant la clé secrète de la fonction de hachage. Dans ce cas, il ne sera plus possible d’accéder à l’information hachée.
Ainsi, ces solutions technologiques sont de nature à rendre licite la blockchain au regard de l’exigence d’un droit à l’effacement des données à caractère personnel.
A contrario, cela signifie qu’une blockchain qui serait dépourvue de ces dispositifs technologiques méconnaîtrait les exigences du RGPD. Concrètement, et ainsi que le précise la CNIL, cela implique « de ne pas inscrire une donnée à caractère personnel en clair » sur une blockchain, mais au contraire de n’y insérer que des données cryptées, de préférence en recourant aux procédés cryptographiques « parfaitement indistinguables ».
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 30/10/2018