Les « mineurs » de Bitcoin pourraient-ils être considérés comme des « processeurs de données » traitant des données personnelles des citoyens de l’UE ? Les « informations personnelles » stockées dans une blockchain publique seraient-elles alors sujettes au droit à l’oubli ? Jessie Mundis, CISSP (Certified Information Systems Security Professional) et senior software engineer chez Micro Focus dans l’entité Voltage Security, répond à ces interrogations pour les lecteurs de Solutions Numériques.
Avec une capitalisation boursière de plus de 40 milliards de dollars en juillet 2017, le potentiel commercial du Bitcoin et d’autres technologies blockchain a commencé à intriguer le monde de la finance ainsi que d’autres grands acteurs économiques. Par exemple, le projet Hyperledger, une initiative collaborative mondiale open source créée pour améliorer les technologies de blockchain dans différents secteurs d’activité, a été lancé début 2016 avec un bon nombre de soutien d’entreprises telles qu’IBM et JP Morgan. Aujourd’hui, ce projet rassemble plus de 100 membres, comprenant des entreprises établies et des start-ups [1].
Depuis que le RGPD (Règlement Général sur la Protection des Données) est un document finalisé et accessible à tous, une problématique majeure se pose : lorsque des entreprises participent à des transactions compatibles avec les blockchains ou lorsqu’elles développent d’autres technologies basées sur des blockchains [4], quelles contraintes règlementaires imposées par le RGPD [2,3] ne pourraient-elles pas satisfaire ? Par exemple, une adresse de paiement Bitcoin sera-t-elle considérée comme une pseudonymisation de l’identité d’une personne physique ? La Raison 26 [5] du RGPD définit la relation liant les données pseudonymisées aux données personnelles : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Les « mineurs » de Bitcoin pourraient-ils alors être considérés comme des « processeurs de données » traitant des données personnelles des citoyens de l’UE (Union Européenne) [6] ? Les « informations personnelles » stockées dans une blockchain publique seraient-elles alors sujettes au droit à l’oubli [7] ?
Une entreprise participant à des transactions blockchain peut être concernée par les contrôles RGDP dans trois situations :
- Lorsqu’elle accepte des crypto-monnaies, comme le Bitcoin, en paiement de biens et de services
- Lorsqu’elle stocke des données personnelles non relatives aux paiements dans une blockchain publique
- Lorsqu’elle stocke des données personnelles non relatives aux paiements dans une blockchain privée
Accepter des crypto-monnaies comme moyen de paiement
Une adresse Bitcoin peut être considérée comme une information personnelle pseudonymisée, tout comme un numéro de compte bancaire. Les informations supplémentaires nécessaires pour rétablir l’identité associée existent hors de la blockchain.
Bien que les « mineurs » de Bitcoin puissent techniquement être considérés comme des processeurs de données manipulant des adresses de paiement pseudonymisées, il est peu probable qu’ils soient directement tenus responsables du non-respect des contraintes du RGPD: ils ne possèdent aucune des informations supplémentaires qui pourraient lier une identité à leurs transactions financières. Il incombera aux entreprises recevant les Bitcoins de protéger les données de corrélation qui pourraient être utilisées pour dévoiler des transactions de paiement individuelles.
Si lors d’une transaction payée avec des moyens traditionnels, les informations de paiement restent localisées dans l’entreprise suite à l’achat d’un produit ou d’un service, les informations de transaction pseudonymisée résidant sur la blockchain sont par nature accessibles au public, et ce dans le monde entier. Nous pouvons donc considérer que les entreprises acceptant les paiements en Bitcoin encourent une plus grande responsabilité dans la protection des informations d’identité de leurs clients.
Pour autant, il pourrait toujours être possible d’identifier les utilisateurs de Bitcoin sans cette information protégée. Dans une recherche publiée dans le magazine Science en 2015, Yves de Montjoye et son équipe ont analysé les transactions par carte de crédit effectuées par 1,1 million de consommateurs dans des pays de l’OCDE (Organisation de Coopération et de Développement Economiques). Bien que les noms, adresses et autres informations directement liées aux propriétaires de cartes aient été supprimés, les chercheurs ont pu identifier 90 % des acheteurs, dès lors qu’ils connaissaient la date et l’emplacement de seulement quatre de leurs transactions par carte de crédit [8].
S’il existe des corrélations similaires entre des transactions Bitcoin et d’autres informations accessibles de façon publique, les citoyens de l’UE souhaitant utiliser des crypto-monnaies risquent de devoir abandonner leurs droits par rapport à l’article 17 du RGPD, également appelés « droit d’effacement » ou « droit à l’oubli ». De même, ils risquent de devoir disculper les entités auxquelles ils effectuent des paiements de toute culpabilité concernant l’identification possible de citoyens de l’UE à partir de leur historique de transactions sur la blockchain. Le RGPD exigerait des responsables du traitement des données qu’ils obtiennent un consentement clair concernant ces deux situations [9].
Stocker des données personnelles non liées au paiement dans une blockchain publique
Si le Bitcoin a démontré son usage comme monnaie et système de paiement, la blockchain peut être utilisée pour résoudre un large éventail de cas d’usage. De nouvelles entreprises utilisent déjà la blockchain officielle de Bitcoin, ainsi que leurs propres registres distribués et fiables de transactions afin de stocker toutes sortes d’informations, allant de titres fonciers jusqu’à des négociations autonomes de ressources IoT (Internet des Objets). Dans la mesure où les entreprises peuvent stocker toutes les informations qu’elles désirent dans leurs blockchains, qui seront rendues publiques dans le cadre du processus d’enregistrement, le respect du RGPD devra être évalué pour toute application métier qui utilise une technologie blockchain pour traiter les données personnelles des citoyens de l’UE. L’une des principales caractéristiques de la blockchain, la non-altération des transactions passées, est susceptible de se heurter directement au « droit à l’effacement » prévu par le RGPD.
Une fois qu’une transaction a été enregistrée dans une blockchain, il n’y a pas de moyen pratique et technique de se conformer aux directives du RGDP en concernant son effacement. Les données ne peuvent être effacées ni par l’entreprise ni par les contrôleurs globaux distribués traitant les données. Il semble donc que le RGPD soit incompatible avec ce type d’application à base de blockchain, dès lors que des données personnelles sont stockées dans la chaîne. Les entreprises devront donc examiner attentivement les données qu’elles souhaitent publier dans les enregistrements au sein de blockchains publiques.
Stocker des données personnelles non liées au paiement dans une blockchain privée
En théorie, une blockchain privée, circonscrite au périmètre d’une entreprise, n’est pas sujette aux problèmes évoqués ci-dessus. Il est pourtant très probable qu’elle y soit exposée malgré tout. La conception fondamentale d’une blockchain rend encore très difficile la possibilité de supprimer un ou plusieurs enregistrements. En revanche, dans une blockchain privée, tous les contrôleurs et processeurs sont sous la même autorité : c’est donc techniquement possible. En contrôlant toute l’infrastructure, une entreprise pourrait constituer de nouvelles blockchains internes, y rejouer les transactions passées, tout en ayant le soin d’omettre celles qui doivent être supprimées. Une telle reconstitution remettrait presque en cause toute valeur supposée fournie par la technologie blockchain, à savoir assurer l’intégrité transactionnelle.
Le plus simple consisterait à exclure des enregistrements d’une blockchain publique ou privée tous les éléments qui pourraient être considérés comme une information personnelle, et de stocker ces données ailleurs sous une forme plus transposable. La plupart des entreprises n’ont pas besoin de blockchain pour assurer l’intégrité de leurs données, et le RGPD devrait leur offrir une nouvelle voie de réflexion pour déterminer si cette technologie répond fondamentalement à leurs besoins. Dans ce cas, elles devront s’assurer qu’elles ne stockent pas les données personnelles des citoyens de l’UE sous cette forme immuable.
Références
[1] Article “Hyperledger Releases Beta Version of Fabric Blockchain” publié par Wolfie Zhao sur le site de Coindesk, et consulté le 24 août 2017 à l’adresse https://www.coindesk.com/hyperledger-releases-beta-version-of-fabric-blockchain
[2] RGPD, contenu accédé le 24 août 17 sur la page https://gdpr-info.eu,
[3] GDPR, Art. 4 : Définitions, contenu accédé le 24 août 17 sur la page https://gdpr-info.eu/art-4-gdpr
[4] GDPR, Art. 24 : Controller, contenu accédé le 24 août 17 sur la page https://gdpr-info.eu/art-24-gdpr
[5] GDPR, Recital 26 : Not applicable to anonymous data, contenu accédé le 24 août 17 sur la page https://gdpr-info.eu/recitals/no-26
[6] GDPR, Art. 28 : Processor, contenu accédé le 24 août 17 sur la page https://gdpr-info.eu/art-28-gdpr
[7] GDPR, Art. 17: Right to Erasure (‘right to be forgotten’), contenu accédé le 24 août 17 sur la page https://gdpr-info.eu/art-17-gdpr
[8] Article de Y-A. de Montjoye, L. Radaelli, VK. Singh et A. Pentland, (2015) : ”Unique in the shopping mall: On the reidentifiability of credit card metadata”, publié dans le magazine Science, Vol. 347, Issue 6221, pages 536 à 539, contenu consulté le 24 Août 2017 sur la page http://science.sciencemag.org/content/347/6221/536, accessed 8/24/17
[9] GDPR, Art. 7: Conditions for consent, contenu consulté le 24 août 2017 sur la page https://gdpr-info.eu/art-7-gdpr
.