La blockchain est-elle conforme au RGPD ?

La blockchain est LA technologie d’avenir pour le traitement, le stockage et la traçabilité des données. C’est une solution de plus en plus utilisée par les acteurs des secteurs comme la finance, l’assurance, le droit, etc.

Mais qu’en est-il lorsqu’on traite des données à caractère personnel ? La blockchain est-elle conforme au Règlement Général sur la Protection des Données (RGPD) ? Les données personnelles stockées dans la blockchain sont-elles protégées et que dit la CNIL quant au respect de la vie privée par la blockchain ? Cet article vous explique tout ce qu’il faut savoir, et comment BCdiploma, la solution blockchain de badges, attestations et diplômes numériques, permet aux institutions de respecter l’ensemble de leurs obligations liées au RGPD.

Définitions de la blockchain et du RGPD

Qu’est-ce que la blockchain ?

La blockchain est une technologie de stockage et de transmission de l’information sécurisée et transparente. Les données et l’ensemble des manipulations y sont stockés dans un registre vérifiable par tous et infalsifiable.

La blockchain est une solution pour :

• La désintermédiation des données : elle permet par exemple d’effectuer des transactions sans l’intermédiaire d’une banque ;
• La sécurité des données : aucune donnée entrée sur la blockchain ne peut être modifiée, falsifiée ou supprimée ;
• La vérifiabilité : en cas de modifications, elles apparaissent sur la blockchain et sont visibles par tous. La blockchain est la technologie transparente par excellence.

Plusieurs acteurs interviennent dans le traitement de la donnée avec la blockchain :

• Les participants : ils peuvent ajouter des informations dans la blockchain ;
• Les mineurs : ils vérifient que les participants respectent bien le protocole au moment de l’ajout d’information ;
• Tous les autres membres du réseau : ils ont généralement un droit de visibilité sur les manipulations réalisées et les données de la blockchain.

Qu’est-ce que le RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données. C’est un règlement européen en vigueur depuis 2018 dans toute l’Union européenne qui vient compléter la loi française “Informatique et libertés” de 1978, laquelle réglemente l’usage de l’informatique pour le traitement des données.

Les objectifs du RGPD sont de :

• Protéger les personnes dont les données personnelles sont traitées et leur en redonner le contrôle : il liste un ensemble de droits dont chacun dispose sur ses données personnelles ;
• Rendre les acteurs du traitement des données personnelles responsables de la protection de la vie privée des utilisateurs.

Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), on entend par données personnelles “toute information se rapportant à une personne physique identifiée ou identifiable”. Ce sont toutes les données qui permettent l’identification directe (nom, prénom) ou indirecte (numéro de téléphone, adresse, numéro client) d’une personne. 

Le traitement des données personnelles concerne toute opération à finalité commerciale ou professionnelle portant sur les données à caractère personnel : collecte, enregistrement, utilisation, diffusion… Découvrez comment la Blockchain peut restaurer la sécurité et la confiance dans la technologie numérique.

Le RGPD a pour but d’encadrer de manière légale le traitement des données par tout organisme public ou privé européen ou dont les clients résident en Union européenne. Il concerne aussi les sous-traitants de ces organismes.

La CNIL est l’autorité de contrôle indépendante chargée de veiller à la bonne application de la loi “Informatique et libertés” ainsi qu’au respect du RGPD en France.

La blockchain et le RGPD : pour quels usages sont-ils compatibles ?

Dans quels cas la blockchain traite-t-elle des données personnelles ?

La blockchain est soumise au RGPD lorsque les données stockées sont des données personnelles. 

Voici des exemples d’usage des données personnelles par la blockchain :

• Le transfert d’actifs financiers, de fonds de pension, d’assurance ;
• Les “hash” de données médicales des patients pour les blockchains dans le domaine de la santé ;
• La traçabilité d’échantillons dans la recherche scientifique ;
• Les données académiques ou de formation, par exemple pour l’émission de badges numériques, de certificats, micro-certifications ou diplômes digitaux.

Dans ces cas précités et dans le cas de toute opération dont les données personnelles sont inscrites sur la blockchain, le RGPD doit logiquement s’appliquer pour en garantir la protection. 

Quels sont les droits du RGPD compatibles avec la blockchain ?

Dans son analyse, la CNIL note que la responsabilité de respecter le RGPD incombe à l’opérateur de traitement qui met en place un service faisant appel à la blockchain. À ce titre, elle donne un ensemble de recommandations et cite des cas d’usages, tels les diplômes et titres de compétences.

Plusieurs cas d’usages sont d’ores et déjà bien documentés et respectent dans leur mise en œuvre sur le terrain les obligations du RGPD, tels celui mis en place par BCdiploma pour les attestations certifiées grâce à la blockchain. 

Pour quels droits y a-t-il des risques ?

Toutefois, comme toute technologie, la blockchain contient des limites et n’est pas adaptée à tous les usages. La question du “droit à l’oubli”, ou “droit à l’effacement” est bien sûr au cœur du débat RGPD et blockchain :

“À première vue, blockchain et droit à l’oubli ne semblent pas forcément compatibles. Inaltérabilité et décentralisation impliquent non seulement que le registre soit ineffaçable, mais surtout partagé entre tous les utilisateurs disposant de copies historisées. En cas d’exercice du droit à l’oubli, on s’attendrait donc à devoir aller à l’encontre du principe même d’inaltérabilité de la blockchain, mais surtout de s’immiscer dans l’ensemble des registres de chaque utilisateur individuellement pour supprimer les données chiffrées souhaitées.” extrait de l’article de la juriste Aurélie Bayle “Peut-on concrètement espérer l’exercice d’un droit à l’oubli sur la blockchain et se conformer aux principes dégagés par le RGPD ?”

L’avis de la CNIL : quelles solutions pour un usage responsable des données personnelles par la blockchain ?

En septembre 2018, la CNIL publiait ses premiers éléments d’analyse concernant la compatibilité de la blockchain avec le RGPD. Elle s’est en outre penchée sur les questions suivantes :

Qui est responsable du traitement des données par la blockchain ?

Pour respecter le RGPD, il faut désigner un responsable du traitement des données personnelles capable de démontrer que les opérations sur les données respectent la vie privée des utilisateurs. 

Selon la CNIL, seuls les participants sont considérés comme responsables du traitement des données. En effet, ce sont eux qui décident de recourir à la blockchain pour traiter des données, quelle qu’en soit la finalité.

Est qualifié de responsable dans le traitement des données personnelles toute personne ou structure qui :

• Traite les données à des fins non personnelles (Ex : un médecin ou un notaire) ;
• est une entité à existence juridique (Ex : les banques).

Cependant, les mineurs qui valident les opérations sur la base de données de la blockchain ne sont pas considérés comme responsables. Dans le cas d’un groupe de plusieurs individus, la CNIL préconise qu’une personne morale ou physique soit désignée comme responsable du traitement.

Quelles solutions pour protéger les données personnelles traitées par la blockchain en respectant les obligations du RGPD ?

Afin de s’assurer que le traitement des données personnelles soit au plus proche de la conformité avec le RGPD, la CNIL donne des pistes :

• Réfléchir en amont du traitement de la donnée : est-il nécessaire d’inscrire les données sur une blockchain publique ?  Sous quel format ?
• Chiffrer les données personnelles inscrites sur la blockchain, en particulier dans le cas des blockchains publiques consultables par tout le monde ;
• Pour le droit à l’oubli : détruire la clé de chiffrement afin que les données ne soient plus déchiffrables et ainsi définitivement inaccessibles.

BCdiploma, une solution conforme au RGPD

BCdiploma a créé les premiers diplômes numériques sécurisés, vérifiables et infalsifiables grâce à la technologie de la blockchain, et démontre une solide approche pour permettre aux établissements d’enseignement qui utilisent le service de respecter le RGPD.

Les étudiants peuvent afficher leurs attestations, diplômes, certifications ou open badges sur tout support numérique (LinkedIn ou CV) et les partager avec les recruteurs grâce à une URL en toute transparence.

Pour respecter l’approche de la CNIL, BCdiploma a breveté une méthode cryptographique permettant de gérer le droit à l’oubli. Fort de plus de 200 déploiements réussis, BCdiploma a développé une expertise pour accompagner les institutions dans la mise en place du RGPD lors du déploiement de la solution. Le travail de l’Université de Lille sur cette question est documenté dans son Livre Blanc 2024, accessible ici.

En apprendre plus sur BCdiploma et sa technologie blockchain pour authentifier les diplômes.

Pour en savoir plus :

Guide de la sécurité des données personnelles : nouvelle édition 2024

Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ? | CNIL

Blockchain : Premiers éléments d’analyse de la CNIL (pdf)

Les droits pour maîtriser vos données personnelles | CNIL