Compte tenu des difficultés que peuvent poser les technologies blockchain en matière de protection des données personnelles, notamment concernant le droit de rectification et de suppression des données, le Comité européen de la protection des données (CEPD) vient de publier une première version de ses lignes directrices en évaluant les différentes architectures possibles et leurs implications pour le traitement des données personnelles. Ces lignes directrices sont soumises à consultation publique jusqu’au 9 juin 2025.
La blockchain est un système de base de données distribuée pouvant fonctionner sans gestion centralisée. Une blockchain peut, par exemple, permettre des transactions financières sans intermédiaire financier tels que des banques en permettant de prouver la propriété d’un actif. La blockchain recouvre une grande variété de modèles : publique ou privée, ouverte ou restreinte, avec des règles de participation et de gouvernance très variables. Ces différences ont un impact sur les opérations de traitement susceptibles d’être mises en œuvre et sur la capacité des responsables de traitements et sous-traitants d’assurer la conformité aux règles du RGPD. Les données personnelles susceptibles d’être traitées dans une blockchain sont également multiples : identifiants, adresses IP, données biométriques ou sensibles, etc. Les données peuvent être directement stockées dans la blockchain ou être simplement référencées dans la chaîne tout en étant hébergées ailleurs.
Le CEPD identifie plusieurs risques eu regard des exigences du RGPD, notamment :
- Durée de conservation, droit de rectification et de suppression : une fois enregistrées, les données inscrites dans la blockchain ne peuvent généralement plus être supprimées;
- Minimisation des données : l’ajout successif et irréversible de nouvelles données sans possibilité de suppression;
- Transferts de données hors UE, notamment lorsque des nœuds situés dans des pays tiers participent au réseau;
- Qualification du responsable de traitement : la décentralisation rend complexe l’identification du responsable de traitement, en particulier dans les blockchains dites « permissionless ». Les blockchains sans autorisation sont ouvertes à tous (Bitcoin, Ethereum, etc.) tandis que les blockchains à autorisation nécessitent des invitations pour les rejoindre, le pouvoir étant limité à un petit groupe de validateurs qui prennent la plupart des décisions concernant le réseau.
Or, l’absence de contrôle centralisé ou l’impossibilité d’effacement ne peuvent exonérer les acteurs de leurs obligations légales, notamment du respect du principe de privacy by design et by default (article 25 RGPD) :
- Nécessité de recourir à une blockchain : il convient d’analyser au moment de la conception si l’utilisation d’une blockchain est nécessaire au regard des finalités poursuivies et si objectifs peuvent être atteints via des technologies alternatives offrant de meilleures garanties en matière de protection des données;
- Choix du type de blockchain adapté aux enjeux de protection des données. Le CEPD recommande de privilégier les blockchains à autorisation permettant une meilleure gouvernance, répartition des responsabilités, et offrant plus de garanties pour les droits des personnes concernées;
- Stockage de données personnelles sur la chaîne à éviter : le stockage direct de données personnelles sur la blockchain sans mesure de protection contrevient aux principes du RGPD. Le CEPD recommande de stocker les données hors chaîne (une simple référence non identifiante étant stockée sur la chaîne) et d’utiliser des techniques telles que le chiffrement, les fonctions de hachage, etc.
- Limitation des données traitées et finalités poursuivies. Seules les données strictement nécessaires doivent être traitées. Le respect du principe de minimisation est essentiel car une fois les données inscrites dans la blockchain, elles ne sont plus modifiables ni supprimables;
- Cadre de gouvernance structuré : les règles techniques, organisationnelles et juridiques doivent permettre d’attribuer les rôles de responsable de traitement et de sous-traitant, de gérer les accès, les incidents et les évolutions technologiques en matière de sécurité et de confidentialité;
- Exercice des droits des personnes : Les projets blockchain doivent intégrer dès leur conception des mécanismes permettant aux personnes d’exercer leurs droits;
- Analyse d’impact relative à la protection des données (AIPD).