RGPD : quel impact sur les projets blockchain ?

La responsabilité

Et la Blockchain c’est pas une technologie totalement décentralisée, sans gouvernance ?

Pour les Blockchain privées, que l’on retrouve majoritairement dans les cas d’usages industriels, le CDO du consortium assumera cette responsabilité.

Mais pour les Blockchain publiques (Ethereum), la question se pose en effet… Pas de responsable formellement nommé. Alors qui est garant de la conformité aux règles ? Les développeurs du Smart Contract ? Les mineurs ? Les utilisateurs – initiateurs des transactions ?

Aucune réponse évidente… et l’on serait même tentés d’esquiver cette responsabilité par une pirouette technique stipulant que la Blockchain n’est pas un système d’information ni une base de données, mais un protocole au même titre que HTTP, et qu’à ce titre il ne saurait porter une quelconque responsabilité, pas plus qu’un routeur ne porte la responsabilité du trafic internet qu’il relaie.

Mais s’il faut un nom, alors responsabilité se situe probablement chez celui qui initie la transaction. De même que cette initiation valide implicitement son consentement (important aussi au passage pour la RGPD) l’utilisateur et initiateur prend implicitement la responsabilité de la donnée transférée dans la Blockchain.

Le droit à l’oubli ?

Et la Blockchain justement, c’est pas la technologie révolutionnaire qui grave dans le marbre toute donnée insérée ?

La Blockchain génère nativement une certaine forme d’anonymat de par les protocoles de chiffrement asymétriques sur lesquels elles est construite. Un utilisateur ne diffuse pas son identité dans les échanges, mais une clé de chiffrement publique. On pourrait croire qu’on est conformes puisqu’il serait impossible d’identifier directement ou indirectement une personne physique…

Eh non… En réalité, on peut parler au mieux de pseudonymat, car rien n’empêche de remonter au propriétaire d’une clé publique par croisement d’informations, tout comme on remonterait à l’utilisateur d’une adresse IP.

Et puis rien n’empêche de stocker des données personnelles explicites dans des variables de Smart Contracts !

Donc, la question du droit à l’oubli se pose bien.

Et comment on fait pour effacer une donnée personnelle inscrite dans une Blockchain ?

Ben… on ne fait pas… Ces données sont fondamentalement immutables dès lors qu’elles ont été validées dans un bloc.

Alors il faut ruser…

Il existe des solutions techniques qui permettent de contourner le problème des données publiques stockées sur la Blockchain : tout simplement en ne les stockant pas !

Il est possible de concevoir de solutions de “Blockchain Layer 2”, qui permettent de stocker dans la Blockchain, non pas une donnée, mais une empreinte numérique (hash) de la donnée, qui elle reste stockée hors-blockchain, dans une base de données classique, sur laquelle on peut opérer les recommandations de la RGPD : suppression des données, conservation limitée dans le temps, etc.

On peut aussi s’appuyer sur des protocoles de chiffrement “Zero Knowledge Proof” fournissant des “preuves à divulgation nulle de connaissance” : vous stockez des données sur une Blockchain tout en garantissant que personne n’y a accès, et pourtant l’utilisateur peut fournir la preuve que cette donnée existe si besoin. Les cas d’usage existent mais restent délicats à définir.

En conclusion, la Blockchain n’est pas incompatible avec la RGPD, au contraire, ses concepts fondamentaux : transparence, chiffrement, et intégrité en font un outil idéal. Reste cependant le problème du droit à l’oubli qu’il convient d’adresser en amont de la conception des projets afin d’établir l’architecture ad hoc pour pouvoir être en conformité.

Alors continuez vos projets Blockchain, vous êtes en règle !