RGPD & Blockchain - L’approche de La Commission Européenne
RGPD & Blockchain - L’approche de La Commission Européenne
Est-il possible de trouver un équilibre entre le Règlement général sur la protection des données (“RGPD”) et la technologie de Blockchain ? Comment garantir l’innovation tout en respectant le droit à la vie privée ?
Ces questions revêtent une importante cruciale. De ce fait, un “Think Tank” du parlement européen a prit part à ce débat académique.
Dans cet article nous abordons les difficultés entre le droit fondamental au respect de la vie privée, les obligations du RGPD ainsi que les nouvelles recommendations de la Commission européenne. Est-il envisageable de trouver un compromis entre l’innovation technologique et la protection des données personnelles ?
La relation difficile entre le RGPD et la Blockchain
Une Blockchain est une base de données qui permet le stockage et la distribution de ces informations sur un grand nombre de systèmes, autorisant ainsi un large accès à celles-ci par tous les utilisateurs. Les informations enregistrées peuvent ensuite être exploitée pour diverses raisons.
Outre les avantages que les Blockchains peuvent apporter aux amateurs de nouvelles technologies, celles-ci ne sont pas toujours en accord avec la législation.
Le RGPD considère que pour le traitement de données à caractère personnel, il en est convient que au moins un responsable de traitement de ces données doit exister. En contre partie, les Blockchain rendent l’allocation des responsabilité et la notion de “accountability” plus onéreuse.
De plus, bien que le RGPD repose sur l'hypothèse que les données personnelles peuvent faire l'objet d'une modification ou peuvent même être effacées si nécessaire (en réponse aux exigences légales), les Blockchains rendent la modification unilatérale des données volontairement également onéreuse - et pourquoi ? Afin d'assurer l'intégrité des données et de renforcer la fiabilité du réseau.
L’utilisation des Blockchains soulève également des questions relatives à la sous-traitance et les règles des transferts internationaux de données dans le caractère personnel. Lors de leurs utilisations, il est difficile de rendre les données personnelles “anonymes”.
Les données sont souvent réutilisées pour des raisons diverses, allant à l’encontre des obligations du RGPD d’obtenir le consentement de chaque personne concernée. Selon le RGPD, les personnes concernées ont le droit de solliciter l’effacement de leurs données personnelles (le droit à l’oubli) mais la modification et/ou la suppression des données enregistrées n’est pas aussi évidente quand il s’agit des Blockchains.
L’année dernière, la CNIL a publié un rapport contenant des conseils pour l’utilisation des Blockchains tout est respectant les dispositions du RGPD. Ce rapport a souligné le fait que les utilisateurs des Blockchains pourraient être rendu responsables de traitement des données personnelles enregistrées dans la Blockchain tout en suggérant que des changements sont toujours nécessaires en rapport avec la suppression et la modification des données.
Blockchain - l’avis au niveau européen
Le Service de Recherche du Parlement européen a publié son avis sur la relation entre le RGPD et les Blockchains.
Des problèmes déjà mentionnés dans des débats précédents ont été mis de nouveau en avant. Entre autre, il est difficile de désigner un responsable de traitement spécifique à une technologie décentralisée avec plusieurs acteurs, ce qui entraine des problèmes de responsabilité. De plus, selon les articles 16 et 17 du RGPD, la suppression des données personnelles devrait être simple, alors que la suppression unilatérale des informations contenues dans une Blockchain est particulièrement onéreuse. Enfin, en utilisant la technologie de Blockchain, il est difficile d’assurer la minimisation des données et donc limiter les finalités de traitement.
L’Etude du Parlement Européen, en accord avec la CNIL, suggère que l’utilisation de Blockchain à des fins en accord avec le RGPD reste toujours une possibilité. La technologie Blockchain pourrait être utilisée en tant qu’outil de conformité ou de gouvernance des données personnelles. De plus, cette étude envisage également des modalités alternatives de traitement et de distribution des données personnelles, tout en s’appuyant sur les avantages spécifiques qui sont propres à une Blockchain, tels que la transparence, la sécurité, la fiabilité et la possibilité d’assurer l’identité des utilisateurs, l’historique des activités de traitement et la facilitation de partage de données personnelles.
Les “nouvelles” suggestions de la Commission européenne.
Un cadre réglementaire
Il existe beaucoup d’incertitude quant à la sécurité juridique concernant l’application du RGPD aux technologies de la Blockchain – la Commission européenne a elle-même admis ce fait. Cela s’explique par le fait que la technologie de base des Blockchains est en conflit avec le RGPD et que toute tentative de régulation des Blockchains à mit en évidence de nombreuses défaillances de cette législation en relation avec son interprétation et son application.
Selon la Commission Européenne, les dispositions du RGPD ont été conçues de manière neutre afin d’assurer son application homogène à tout type de technologie en accordance avec le rapide développement de nouvelles technologies. De ce fait, la Commission n’envisage pas d’apporter de modifications à la présente législation. Il faut donc imaginer un renforcement du cadre juridique de la Blockchain à travers des mécanismes spécifiques, tels que des organismes comme le Comité européen de la Protection des Données (CEPD). Cela dit, il en convient que la forme suggéré se rapproche de guidance politiques portant sur les meilleures pratiques à adopter plutôt que d’actes législatif.
La Commission européenne espère que cette méthode de gouvernance pourrait s’appliquer à la fois aux parties prenantes de la technologie de Blockchain ainsi qu’à l’ensemble des acteurs de notre data economy.
Codes de Conduite et Mécanismes de Certification
Du a la nécessité d’une application uniforme du RGPD, son application peut être quelque peu comprise dans certaines situations précises. Par conséquent, le RGPD prévoit des mécanismes de certification et des codes de conduite auxquels les acteurs doivent adhérer. Selon la Commission Européenne, il est donc possible d’introduire de telles solutions dans le contexte de la technologie Blockchain.
Financement de recherche
Concernant l’élaboration de codes de conduite applicables aux technologies de Blockchain, la Commission Européenne reconnaît la nécessité de recherche supplémentaires afin d’aborder des problèmes spécifiques du RGPD. La Commission européenne met l’accent sur le besoin d’effectuer des recherches interdisciplinaires de façon à developer des solutions techniques et de gouvernance.
S’agit-il des suggestions vraiment innovantes ?
Pour le moment, la Commission Européenne reconnait que les Blockchains doivent être examinées au cas par cas afin d’étudier leurs utilités et la méthode de fonctionnement. En revanche, le coût de cette démarche représente une quantité de travail que le système légal ne peut pas fournir.
Les suggestions de la Commission Européenne suivent les prédictions émient par la communauté Hi-Tech, et comme souvent, il semblerait que le système juridique rencontre des difficultés pour subvenir aux besoins de protection légale face aux rapides avancées technologiques. Même si cela n’est pas forcément très rassurant pour les innovateurs et utilisateurs des Blockchains, attendons toutefois de voir comment ces choses se développeront.
Article rédigé par Lily Morrison & Rebecca Willoughby @ Gerrish Legal, septembre 2019