Alors que la CNIL lance une expérimentation d’une solution basée sur la technologie cryptographique de double anonymat permettant de restreindre l’accès des mineurs aux sites pour adultes, cette question n’est pas sans rappeler les difficultés rencontrées aujourd’hui encore dans l’utilisation de la technologie blockchain en matière de protection des données personnelles et les opportunités que le protocole de « preuve de connaissance nulle » (Zero Knowledge Proof ou « ZKP ») pourrait présenter.
Il est important de rappeler que par principe, le RGPD a été pensé pour redonner aux individus le contrôle de leurs informations personnelles. Et pourtant, le RGPD fait figure de bête noire dans l’écosystème blockchain. A l’inverse, ce même écosystème scande à la protection de ses données et l’anonymat dès lors qu’un prestataire crypto requiert une identification – principalement pour remplir ses obligations de lutte contre le blanchiment d’argent et de financement du terrorisme. Il suffit de travailler dans un département conformité d’un acteur crypto pour comprendre à quel point une identification peut sauver un marché, un business, des clients. L’identification est parfois le prix de la sécurité.
Dès septembre 2018, la CNIL présentait les difficultés soulevées par la présence de données personnelles dans une blockchain tout en affirmant par ailleurs que « l’innovation et la protection des droits fondamentaux ne sont pas des objectifs antagonistes ».
Il n’empêche que la question de la conformité d’un projet blockchain au RGPD est un « pain point » pour tous les acteurs de l’écosystème et ce, principalement, pour deux raisons :
- le RGPD requiert une culture RGPD, c’est-à-dire de conscientiser au sein des équipes de la nécessité d’intégrer les principes et règles RGPD dès l’étape de conception du produit. On parle alors de « privacy by design » (art. 25 RGPD). Ce qui requiert non seulement des ressources mais également d’accepter de devoir éventuellement adapter le produit, le parcours client, de rajouter des « frictions » et concéder que cette démarche soit dans l’intérêt de l’utilisateur ;
- la deuxième raison est plus technique et tient au caractère immuable de la technologie blockchain qui ne permet pas de supprimer ou rectifier une donnée inscrite sur la chaîne. Dès lors, tout effort pour garantir la conformité avec le RGPD semble vain…
La première raison s’entend de moins en moins car, après 7 ans de RGPD, les utilisateurs ont pour leur part pris conscience de l’importance de leurs données personnelles. Bon gré, mal gré, les concepteurs de produits devront s’adapter et répondre à ces exigences qui proviennent désormais des utilisateurs.
Quant à le deuxième raison, liée au caractère immuable de la chaîne, il est nécessaire de distinguer les droits garantis par le RGPD. Si les droits à l’information, d’accès et de portabilité ne posent aucun problème, les droits de rectification et d’effacement (articles 16 et 17 RGPD) sont techniquement impossibles à mettre en œuvre sur une technologie blockchain. La première recommandation est donc de limiter – voire éviter – l’inscription de données personnelles dans la chaîne. Si cette option n’est pas possible alors il pourrait être envisagé de rendre la donnée inaccessible. Seule la donnée hors chaîne serait alors accessible et susceptible de rectification et effacement.
Il faudra également penser à l’hébergement, car ces mêmes données personnelles, inscrites on chain ou off chain, vont être hébergées, chez un prestataire (centralisé !).
Pour ceux qui envisagent de contourner le problème en optant pour un produit qui ne collecte aucune donnée personnelle, il y a tout de même deux remarques importantes :
- l’absence de collecte et d’analyse de données personnelles des clients, implique l’impossibilité de procéder aux contrôle de conformité (Know Your Custumer / Know Your Business) requis par de nombreuses activités cryptos au premier titre desquelles les activités de PSAN ;
- les adresses de wallet (et à fortiori les transactions), selon que ces wallets ont été ou non ouverts auprès d’un prestataire régulé contraint à l’identification de ses clients, constitueront des données à caractère personnel. Par conséquent, au-delà des données personnelles qui peuvent être collectées hors chaîne pour les besoins d’identification ou inscrites sur la chaîne pour les besoins du service, il sera considéré, par défaut, que l’adresse de wallet est une donnée personnelle soumise au régime du RGPD.
Depuis plusieurs années, l’ombre du ZKP plane sur le secteur comme potentielle solution à une conformité RGPD. Le ZKP est un protocole cryptographique qui permet à une personne de prouver qu’elle connaît certaines informations sans avoir à les divulguer. En d’autres termes, une personne peut prouver qu’elle possède une information spécifique, sans avoir à révéler l’information elle-même. Ainsi il devient possible de valider l’identité ou l’âge d’une personne sans divulguer d’informations personnelles.
En juillet 2022, dans le cadre de la problématique de contrôle de l’âge des mineurs pour l’accès aux sites pour adultes, la CNIL recommandait déjà le « passage par un tiers vérificateur indépendant, dont l’utilisation est placée sous le contrôle de l’individu ». Elle a développé en conséquence avec Olivier Blazy, professeur à l’École polytechnique et le Pôle d’expertise de la régulation numérique de l’État (PEReN), un démonstrateur basé sur un protocole ZKP. En février 2023, la CNIL annonçait le lancement de l’expérimentation basée sur ce démonstrateur ZKP qui suppose une validation de l’âge via un tiers certifié à chaque connexion sur un nouveau site et une révision éventuelle (annuelle, biannuelle ?) par le site visité.
Or, en utilisant ce même mécanisme de ZKP mais sur une blockchain cette fois, on peut imaginer obtenir un « certificat de majorité » sous forme de jeton numérique qui puisse être utilisé sur tous les sites, et ce sans avoir à demander un nouveau certificat au tiers certifié pour chaque nouveau site visité. La majorité ne connaissant pas d’obsolescence, puisque l’on a plus ou moins de 18 ans et qu’il n’est pas possible de revenir à la minorité une fois atteinte, cette information en particulier est immuable, tout autant que l’est la technologie blockchain.
Et si ce jeton de majorité était créé sous la forme d’un Soulbound token (SBT), donc intransférable, alors la technologie blockchain apporterait un réel avantage d’un point de vue parcours utilisateur et sécurité de l’information tout en garantissant la conformité avec le RGPD telle qu’envisagée par le démonstrateur de la CNIL. Sur le cas d’usage spécifique du contrôle de la majorité, la blockchain agrémente l’intérêt du ZKP du fait de son caractère immuable mais aussi de la sécurité qu’elle apporte en permettant d’avoir un jeton de majorité non transférable. La question de l’indépendance du tiers certifié, de sa gouvernance et des risques techniques est cruciale, et se pose que l’on soit sur blockchain ou pas. Car, une information fausse ou erronée off chain restera fausse on chain.
À propos de l’auteur
Marie L’Hermite est avocate au Barreau de Paris spécialisée en technologie blockchain, ainsi que la Vice Présidente de l’Association Française des Femmes Juristes.
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : conformément aux directives de The Trust Project, cet article d’opinion présente le point de vue de l’auteur et ne reflète pas nécessairement les opinions de BeInCrypto. BeInCrypto s’engage à fournir des informations transparentes et à respecter les normes journalistiques les plus strictes. Les lecteurs sont invités à vérifier les informations de leur propre chef et à consulter un professionnel avant de prendre des décisions sur la base de ce contenu.
