Blockchain et RGPD

Le 24 septembre 2018, la CNIL a publié ses recommandations relatives à la blockchain.

Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique. L’architecture et les caractéristiques propres des Blockchains vont toutefois avoir des conséquences sur la manière dont sont conservées et traitées les données personnelles.

La Blockchain peut servir au transfert d’actifs (ex : Bitcoin ou titres de propriété), être utilisée comme un registre qui assure une traçabilité (ex : certification de diplômes) ou enfin pour le lancement d’un « contrat intelligent » (ou smart contract).

La CNIL distingue trois types d’acteurs dans une Blockchain :

  • les « accédants », qui ont un droit de lecture et d’obtention d’une copie de la chaîne ;
  • les « participants », qui ont un droit d’écriture (la création d’une transaction qu’ils soumettent à validation) ;
  • les « mineurs », qui valident une transaction et créent les blocs en appliquant les règles de la Blockchain afin qu’ils soient « acceptés » par la communauté.

La Blockchain peut contenir deux catégories de données à caractère personnel :

  • l’identifiant des participants et des mineurs : chaque participant/mineur dispose d’une clé publique, ce qui permet d’assurer l’identification de l’émetteur et du destinataire d’une transaction ;
  • des données complémentaires, inscrites « dans » une transaction (ex : diplôme, titre de propriété). Si ces données sont relatives à des personnes physiques, éventuellement autres que les participants, directement ou indirectement identifiables, il s’agit de données à caractère personnel.

Sur la base de cette distinction, la grille d’analyse habituelle du RGPD s’applique : identification du responsable de traitement, mise en œuvre des droits, mise en place de garanties appropriées, obligation de sécurité, etc.

Télécharger (PDF, 206KB)

Télécharger (PDF, 347KB)

http://www.ipnews.be/blockchain-et-rgpd-la-cnil-precise-sa-doctrine/

https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles

https://www.eublockchainforum.eu/knowledge