LexGo

La technologie Blockchain à l’aune du RGPD
08/02/2019

Lors d’un panel qui s’est récemment tenu à Luxembourg sur le thème de l’art et de la finance, il a été l’occasion de revenir sur les mesures qui doivent être prises lorsque la Blockchain est utilisée pour un traitement de données personnelles.

S’agissant de l’utilisation d’une technologie innovante, les responsables de traitement devraient au moins envisager l’implémentation des mesures suivantes dans le cadre d’une analyse d’impact sur l’utilisation de cette technologie :

1. Les relations entre acteurs de la Blockchain doivent être encadrées.

Le RGPD prévoit que les parties intervenant dans un traitement de données personnelles doivent encadrer leurs relations selon le rôle que ces dernières endossent.

La détermination du rôle des parties est une question de fait, mais l’autorité française de protection des données (la “CNIL”) précise, dans ses premiers éléments d’analyse sur la Blockchain, qu’en règle générale :

  • les participants inscrivant des données dans la blockchain sont des responsables du traitement indépendants ou conjoints avec d’autres participants s’ils déterminent ensemble les finalités du traitement effectué grâce à la Blockchain ;
  • les personnes procédant à la vérification des inscriptions dans la Blockchain (“les mineurs”) sont des soustraitants.

En conséquence, les relations entre ces acteurs doivent être encadrées :

  • les participants et les mineurs doivent régir leurs relations par un contrat (ou un autre acte juridique) contenant un certain nombre de mentions obligatoires conformément à l’article 28 du RGPD ;
  • lorsque des participants peuvent être considérés comme responsables conjoints du traitement, ils doivent définir leurs obligations respectives en matière de protection des données par voie d’accord conformément à l’article 26 du RGPD.   

Il faut également mettre en place les garanties appropriées lorsque le recours à la Blockchain implique un transfert de données hors de l’UE.

2. Les données personnelles inscrites doivent être protégées par des mesures techniques adaptées

La Blockchain présente l’inconvénient de fixer de manière irréversible les inscriptions faites en son sein. Un traitement de données personnelles est pourtant nécessairement limité dans le temps et les personnes concernées doivent pouvoir exercer leurs droits tels que le droit à l’effacement.

Afin d’atténuer ces difficultés, la CNIL recommande de ne pas stocker les données personnelles en elles-mêmes dans la Blockchain mais seulement une information permettant de prouver l’existence de la donnée personnelle en question (en utilisant par exemple un engagement cryptographique ou une empreinte issue d’une fonction de hachage à clé).

La suppression du lien entre la donnée personnelle stockée en dehors de la Blockchain et l’information permettant de prouver l’existence de la donnée personnelle en question pourrait être suffisamment similaire à un effacement pur et simple de la donnée.

La Blockchain n’est donc pas forcément incompatible avec le RGPD tant que les précautions nécessaires ont été mises en place.

 

Related : Wildgen SA ( Mrs. Emmanuelle Ragot )

[+ http://www.wildgen.lu]

Mrs. Emmanuelle Ragot Mrs. Emmanuelle Ragot
Partner
emmanuelle.ragot@wildgen.lu

Lastest articles by Mrs. Emmanuelle Ragot

Les PropTech ont le vent en poupe mais ne sont pas dispensées du RGPD
16/04/2019

La PropTech se définit comme la transformation du secteur de l’immobilier via des startups aux solutions inno...

Read more

Le département des ressources humaines face au RGPD
14/02/2019

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protecti...

Read more

Protection des données à caractère personnel et surveillance des salariés
05/12/2018

Depuis le 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relat...

Read more

Aide à l'innovation : à quoi les start-up peuvent-elles prétendre ?
08/10/2018

Dans un contexte d’évolution constante en matière entreprenariale et face à l’émer...

Read more

LexGO Network