[Avis d'expert] RGPD et blockchain, bonne ou mauvaise combinaison ?
La blockchain, protocole d'écriture et de lecture des données dans un registre décentralisé et distribué, est une technologie convoitée et réputée inviolable. Mais comment son application peut-elle se conformer au RGPD et à la nécessité d'identifier le responsable de traitement ?
Je m'abonneL'intérêt pour la blockchain est grandissant et le concept est alléchant pour les entreprises, mais cette technologie est-elle compatible avec le RGPD qui a récemment durci la législation en matière de collecte et de traitement des données personnelles, ainsi que de consentement et de droit à l'oubli ?
Blockchain et RGPD, que dit la CNIL ?
Blockchain : de quoi parlons-nous ? Dans son rapport de septembre 2018, la CNIL apporte des éclaircissements et la définit comme "une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées " transactions ", sont visibles de l'ensemble des utilisateurs, depuis sa création."
Plusieurs blockchains existent :
- Publique : accessible partout dans le monde par n'importe quelle personne, se définit par le fait que "toute personne peut effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la blockchain".
- À permission : a ses propres règles qui déterminent les acteurs effectuant des transactions ou les approuvant. Son accès peut être donné à tous ou limité.
- Privée : dépend du contrôle d'un acteur pour la participation et la validation. Techniquement, cette configuration ne respecte pas les principes de décentralisation et de validation distribuée. Réglementairement, elle se rapproche d'une base de données distribuée classique, plus conforme au RGPD.
Rôles des acteurs
- Les "accédants" ont un droit de lecture et d'obtention d'une copie de la chaîne.
- Les "participants" ont un droit d'écriture.
- Les "mineurs" peuvent valider une transaction et créer les blocs, avec les règles de la blockchain, qui seront acceptées par la communauté.
Blockchain, données personnelles et RGPD
Soit les données personnelles sont relatives aux participants ou aux mineurs, soit elles sont relatives à des personnes. La clé publique utilisée dans les transactions permet d'identifier les premiers, tandis que les informations liées à l'objet de la transaction permettent d'identifier les seconds directement ou non selon le format des données.
Chaque acteur de la chaîne est donc responsable de traitement comme sous-traitant et doit se conformer au RGPD en respectant :
· La légitimité de la collecte des données,
· La protection de la vie privée dès la conception,
· La sécurisation du stockage et du traitement des données,
· Le consentement explicite des propriétaires et leur droit à l'oubli.
Si plusieurs participants mettent en place un traitement avec un objectif commun, l'identification d'un responsable de traitement est conseillée ; à défaut, ils sont responsables conjointement. En cas de contrôle, l'application des règles devra être démontrée.
Cas d'usage des ressources humaines
La blockchain peut s'appliquer à divers domaines tels que les RH. Les recruteurs pourraient vérifier les CV de candidats avec une blockchain certifiant les expériences et les diplômes.
Des tâches de gestion administrative et de paie, telles que les paiements, les validations de temps et les tâches administratives à faible valeur ajoutée pourraient être reprises par une blockchain. Le traitement transparent de données infalsifiables permettrait à une entreprise de réduire ses délais et de se prémunir contre d'éventuels litiges.
Une blockchain pourrait intégrer les processus de suivi des entretiens annuels, d'évaluation et de certification des compétences des collaborateurs. Cependant ces applications nécessitent d'adapter son modèle d'organisation.
Complexité d'une blockchain conforme au RGPD
Quelle mise en oeuvre en entreprise ?
La CNIL incite les entreprises à utiliser d'autres solutions si la blockchain n'est pas nécessaire à l'atteinte de leur objectif. À défaut, la blockchain à permission est la plus adaptée. Un règlement d'entreprise ou des clauses contractuelles sont souhaitables pour apporter des garanties sur le bon usage des données en cas de transferts hors Union européenne.
La CNIL recommande de traiter les données à l'extérieur de la blockchain et de ne faire apparaître dans celle-ci qu'un engagement cryptographique, une empreinte ou un chiffré de la donnée. Sinon une étude d'impacts devra démontrer qu'il existe des risques résiduels acceptables.
La durée de conservation des données
La conservation limitée des données exigée par le RGPD s'oppose aux principes technologiques de non-modification et de non-suppression des données une fois la transaction acceptée par les participants.
Des solutions tendent à respecter le droit à l'effacement lorsque l'engagement cryptographique est parfaitement indistinguable. La suppression du témoin et de la valeur engagée est suffisante pour anonymiser l'engagement si l'information est supprimée des autres systèmes. Les données inscrites en clair sont à bannir.
Mais que recommande la CNIL ? L'utilisation de la blockchain ne s'oppose pas aux droits d'accès, à l'information et à la portabilité si certaines précautions sont prises. Néanmoins, la CNIL émet des réserves pour le droit à l'oubli en attendant que les solutions proposées sur le marché soient plus matures. Elle fait donc appel à la vigilance des acteurs en matière de sécurité et recommande :
- d'évaluer "un minimum de mineurs permettant d'assurer l'absence de coalition permettant de contrôler plus de 50% des pouvoirs sur la chaîne" afin de contrecarrer une éventuelle prise de contrôle malveillante.
- de mettre en place des "procédures techniques et organisationnelles" afin de sécuriser les transactions en cas de "défaillance d'un algorithme", ou d'anticiper l'évolution des logiciels de création de transaction et de minage et de leurs impacts sur les permissions.
La réglementation s'étoffe petit à petit et la CNIL semble être favorable à l'utilisation de la blockchain sous certaines conditions. Paradoxalement, plus la blockchain se conforme au RGPD, plus elle s'éloigne de son concept initial d'absence d'organe de contrôle.
Pour en savoir plus
Perrine Meunier, Consultante mc2i. Elle accompagne de grandes entreprises dans la réalisation de leurs projets et intervient actuellement pour un acteur majeur de la transformation numérique de la fonction publique.