Op Ed: 10 éléments à retenir des récentes directives françaises sur la Blockchain et le GDPR

«Les RPGD, et plus généralement les principes classiques de la protection des données à caractère personnel, ont été conçus dans un monde où la gestion des données était centralisée au sein d'entités spécifiques. À cet égard, le modèle décentralisé de gouvernance des données incarné par la blockchain et la multiplicité des acteurs participant au traitement des données compliquent la définition des rôles de chacun ». Blockchain: Premiers éléments d’analyse de la CNIL.

Fin septembre 2018, la France est devenue le premier État membre de l'UE à publier des orientations officielles sur l'interaction complexe du règlement général sur la protection des données et de la technologie de la blockchain. Les directives de la Commission nationale de l’informatique et des libertés (CNIL) sont complexes et nuancées, mais suggèrent quelques points importants à retenir concernant le respect du GDPR par blockchain.

A emporter n ° 1: Les utilisateurs de solutions blockchain peuvent être considérés comme des contrôleurs de leurs propres données.

Les directives de la CNIL identifient une catégorie d’acteurs appelés «participants» (c’est-à-dire initiateurs d’opérations sur une chaîne de chaînes) qui ont le droit d’écrire des données dans la chaîne et qui décident de soumettre ces données à la validation d’autres participants (c’est-à-dire les mineurs et les «validateurs»). nœuds ”). Parce que ces participants décident des finalités du traitement des données à caractère personnel et ont choisi la technologie de la blockchain comme moyen de traitement, la CNIL précise qu'ils doivent être considérés comme des responsables du traitement.

Cette partie des orientations de la CNIL aura un impact positif significatif sur diverses solutions de blockchain, en particulier les solutions d’auto-souveraineté, qui cherchent à soustraire le contrôle des données à caractère personnel aux entités commerciales et à les remettre aux mains des particuliers.

A emporter n ° 2: les échanges de crypto-monnaie sont des contrôleurs de données à caractère personnel dans le cadre du GDPR.

Selon les directives de la CNIL, un responsable du traitement sera soit (a) une personne physique qui traite des données à caractère personnel dans un contexte professionnel ou commercial, soit (b) une personne morale qui écrit des données à caractère personnel dans la chaîne.

Dans un exemple précis, la CNIL indique qu '«une personne physique qui achète ou vend du bitcoin… peut être considérée comme un responsable du traitement si elle effectue ces transactions dans le cadre d'une activité professionnelle ou commerciale, pour le compte d'autres personnes physiques. . "

Cette déclaration semble placer clairement les échanges de crypto-devises dans la définition d'un contrôleur de données dans le GDPR et les soumet probablement à toutes les obligations applicables aux contrôleurs.

A emporter n ° 3: les mineurs ou les nœuds de validation des transactions blockchain sont des processeurs de données à caractère personnel au sens du GDPR.

La CNIL note que tout acteur qui se contente de valider des transactions ou d’écrire des données dans la chaîne selon la direction d’un autre devrait être considéré comme un processeur. Par conséquent, les personnes ou entités opérant en tant que mineurs ou validateurs sur une chaîne de chaînes seront probablement considérées comme des processeurs de données à caractère personnel.

A emporter n ° 4: La blockchain n’est pas incompatible avec le droit de suppression du RPGD.

En dépit d’hypothèses antérieures selon lesquelles l’immuabilité d’une chaîne de blocs mettrait définitivement celle-ci en contradiction avec le droit d’effacement, le guide initial propose un terrain d’entente favorable.

La CNIL suggère que l'effacement des données à caractère personnel stockées dans une chaîne de blocs pourrait être réalisé en rendant les données «presque inaccessibles, et donc approximativement».[ing] En outre, la destruction de la clé privée sous-jacente ou de la valeur générant le résultat chiffré ou haché serait «suffisante pour anonymiser l'engagement cryptographique de manière à ce qu'il perde la qualité de ses données personnelles». pour que ces techniques soient efficaces, les données personnelles résidant en dehors de la blockchain doivent également être supprimées.

A emporter n ° 5: les participants appartenant à une blockchain autorisée doivent désigner un seul responsable du traitement des données, sous peine de risquer que tous les participants soient considérés comme des contrôleurs communs.

Parmi les entités pouvant être classées en tant que contrôleurs dans une blockchain autorisée, à savoir les entités déterminant les finalités du traitement et de l'écriture dans la chaîne, la CNIL propose deux options: Les contrôleurs ou le groupe de participants peut soit créer une entité juridique, association ou «GIE» (groupe d’intérêt économique), ou bien ils peuvent choisir un participant pour prendre des décisions en matière de protection des données pour le groupe et désigner cette entité comme responsable du traitement.

Si le groupe choisit de ne faire ni l'un ni l'autre, chaque participant sera alors considéré comme conjointement responsable en tant que responsable du traitement au sens du RGPD et devra se conformer séparément à toutes les obligations applicables. (L'application de ce concept à une blockchain publique sans autorisation reste floue et fera probablement l'objet de futures recommandations.)

A emporter n ° 6: Les développeurs de contrats intelligents seront considérés comme des processeurs de données lorsqu'ils élaboreront des contrats intelligents sous la direction d'un tiers.

En ce qui concerne les contrats intelligents, les directives de la CNIL offrent aux concepteurs de contrats intelligents la possibilité d’être soit des processeurs, soit des contrôleurs, en fonction des circonstances. Cependant, les directives apportent une certaine clarté en citant un exemple invoquant directement une projet pilote de contrats intelligents dans la vie réelle appelé «fizzy» qui a été lancé l'année dernière par la compagnie d'assurance mondiale AXA.

Dans l'exemple, «un développeur de logiciels propose à une compagnie d'assurance une solution sous la forme d'un contrat intelligent, ce qui lui permet d'automatiser l'indemnisation des passagers lorsque leur vol est retardé. Ce développeur sera considéré comme un sous-traitant par la compagnie d’assurance, le responsable du traitement. »L’entité qui dirige la création et l’utilisation du contrat intelligent sera probablement considérée comme un responsable du traitement.

A emporter n ° 7: Toute entreprise souhaitant utiliser la technologie blockchain doit soigneusement évaluer les aspects relatifs à la confidentialité avant de proposer sa solution.

Toute organisation qui construit ou utilise des solutions blockchain doit veiller au respect de la vie privée, à la fois en répondant aux exigences du règlement général et en minimisant les risques de préjudice pour les personnes. Les organisations devraient commencer par se demander si une solution de blockchain est vraiment nécessaire ou si le même résultat peut être atteint par des moyens plus traditionnels et centralisés. La CNIL a judicieusement fait remarquer: «Blockchain n’est pas toujours la meilleure technologie pour tout traitement de données; cela peut être une source de difficultés pour le responsable du traitement en ce qui concerne ses obligations au titre du RGPD. "

Si la technologie de la blockchain est toujours préférée, la CNIL encourage fortement les entités à effectuer une analyse de confidentialité par conception avant tout traitement. L’organisme de réglementation recommande à plusieurs reprises aux développeurs, aux entreprises et aux autres acteurs de procéder à une évaluation détaillée de la nécessité de recourir à la technologie de la chaîne de blocs, de ses avantages et inconvénients en matière de protection de la vie privée et de la manière dont les données personnelles seront traitées sur la plate-forme de la chaîne.

Il est également essentiel que le responsable du traitement détermine la nécessité et, si nécessaire, qu'il réalise une analyse d'impact sur la protection des données (DPIA) pour chaque traitement envisagé sur la blockchain. La DPIA permettra au responsable du traitement de démontrer ultérieurement qu'il a pesé et documenté les risques et les protections avant le traitement.

A emporter n ° 8: les chaînes de blocs autorisées doivent comporter un nombre minimal de nœuds pour protéger l'intégrité des données de la chaîne de blocs.

Les directives de sécurité de la CNIL conseillent aux opérateurs de chaînes de blocs de prendre en compte la possibilité "d’attaques à 51%", les acteurs contrôlant plus de la moitié de la puissance de calcul du réseau pouvant modifier ou empêcher des transactions ou des entrées ultérieures dans la chaîne. Pour prévenir un tel événement, la CNIL recommande de mener des évaluations afin de déterminer le nombre minimum de mineurs nécessaires pour atténuer ce risque.

Néanmoins, s'il est conseillé de s'assurer qu'une blockchain est correctement répartie entre au moins un nombre minimum de nœuds indépendants, des contrôles beaucoup plus complexes seront nécessaires pour se prémunir contre les risques liés à la collusion et au contrôle consolidé de ces nœuds.

À emporter n ° 9: les personnes concernées doivent avoir le droit de contester le résultat des contrats intelligents – bien que la forme que ce recours devrait prendre ne soit pas claire.

Les directives de la CNIL semblent apparemment incohérentes sur la mesure dans laquelle une personne concernée devrait pouvoir contester la production de contrats intelligents.

Dans une phrase, les directives semblent exiger que les personnes concernées puissent intervenir dans les contrats intelligents, indiquant qu '«une personne concernée devrait pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision, après quoi le contrat peut être modifié. être exécuté."

Dans la phrase suivante, les indications semblent indiquer qu’il suffit de permettre à une personne concernée de contester un contrat intelligent après exécution, en indiquant qu’il est «approprié que le responsable du traitement prévoie la possibilité d’une intervention humaine permettant à… la personne concernée de contester la décision, même si le contrat a déjà été exécuté. "

La seule chose qui soit peut-être claire est que, dans les scénarios dans lesquels les contrats intelligents traitent des données à caractère personnel, la personne concernée devrait avoir un certain recours pour contester le résultat de la transaction de contrat intelligent.

A emporter n ° 10: Il y aura des façons «correctes» et «mauvaises» d'utiliser les chaînes de blocs du point de vue de la confidentialité et de la sécurité, et des conseils supplémentaires seront fournis prochainement.

Le 3 octobre 2018, le Parlement européen a adopté une résolution intitulée «Technologies du grand livre distribué et chaînes de blocs: instaurer la confiance avec la désintermédiation». Cette résolution reconnaît la technologie du grand livre distribué comme «un outil qui favorise l'autonomisation des citoyens en leur donnant la possibilité de: contrôler leurs propres données », fait des recommandations aux États membres pour encourager l'adoption et les meilleures pratiques des plates-formes blockchain.

La résolution de l’UE et la publication des directives de la CNIL envoient un signal fort que l’UE ne craindra pas, comme certains l’ont craint, que la technologie de la blockchain ne soit fondamentalement incompatible avec le GDPR. Au contraire, ces actions officielles indiquent une conscience aiguë des avantages de la technologie de blockchain et une volonté de travailler avec l'industrie pour augmenter l'adoption, à condition que les participants comprennent qu'il peut en résulter de bonnes et de mauvaises manières de «faire de la blockchain» à partir d'une vie privée. la perspective.

C'est un message de Laura Jehl, Robert Musiala et Stephanie Malaska de BakerHostetler. Les opinions exprimées sont celles des auteurs et ne reflètent pas nécessairement celles de BakerHostetler. ses clients, Bitcoin Magazine ou BTC Inc.

Robert A. Musiala Jr. est le conseil Blockchain de Baker Hostetler. Sa pratique consiste notamment à conseiller les clients du secteur des chaînes de blocs qui ont précédemment participé à des événements «offre initiale de pièces» sur des stratégies visant à atténuer les risques personnels et commerciaux, à limiter les perturbations des activités et à se conformer aux réglementations.

Stephanie Malaska, une associée du cabinet, se concentre sur le développement de la pratique du contentieux dans les litiges internationaux et les problèmes transfrontaliers connexes.