La technologie blockchain s'est fait connaître du grand public par les cryptomonnaies, en s'imposant dans le monde de la finance avant de s'étendre sur d'autres sentiers. Dans le domaine juridique, la protection des données s'est retrouvée au coeur de la discussion.
Pas une, mais plusieurs blockchains
La technologie blockchain ne se définit pas en un modèle unique. Au contraire, elle s'adapte à son environnement, offre une variété de solutions et s'intègre ainsi à différents systèmes. C'est pour cette raison qu'il n'existe pas une blockchain mais des blockchains.
Celles-ci peuvent être catégorisées selon le tableau suivant:
En résumé, une blockchain peut être construite de manière à autoriser toute personne à lire les transactions qui sont enregistrées (lire des données – public). Il s'agit dans ce cas d'une blockchain publique, que l'on peut comparer à un livre ouvert. A l'inverse, lorsque l'accès à la lecture des transactions est contrôlé et donc limité à des personnes autorisées (lire les données – privé), la blockchain est dite privée. Pour reprendre l'image du livre, dans ce cas, celui-ci est cadenassé.
On distingue également les blockchains non permissionnées (Écrire des données – sans restriction) de celles permissionnées (Écrire des données – accès restreint). Dans le premier cas, il s'agit des blockchains qui autorisent toute personne à écrire des transactions. A l'exemple de la blockchain pour les bitcoins, chacune et chacun peut décider d'en acheter et d'en vendre. A l'inverse, les blockchains permissionnées permettent uniquement aux personnes autorisées de passer des transactions.
Lorsque la technologie blockchain s'avère être la solution (voir notre article «Quand une blockchain est-elle pertinente?»), il est ainsi possible de construire une blockchain adaptée au système concerné.
D'un point de vue juridique, cela joue un rôle important. En effet, au vu de ce panel de possibilités, la compatibilité de la technologie aux exigences légales dépend du contexte et donc des choix opérés.
Blockchains et protection des données
Bien que les blockchains puissent être catégorisées, elles fonctionnent toutes de manière transparente, décentralisée, inaltérable et résiliente.
Sous l'angle de la protection des données, la question de la conformité se pose dès qu'une blockchain permet par ses transactions d'établir un lien avec une personne physique. Autrement dit, sitôt que des données personnelles sont traitées, les exigences en matière de protection des données doivent être respectées. Inversement, s'il n'est pas possible d'identifier ou de reconnaître une personne physique via les informations disponibles sur la blockchain, la loi sur la protection des données ne s'applique pas.
Dans ce cas, les blockchains sont-elles alliées ou ennemies de la protection des données? La réponse varie.
A titre d'exemple, la technologie blockchain a l'avantage de rendre le traitement de données reconnaissable par chaque personne du fait que celle-ci peut lire les transactions effectuées sur la blockchain. Sur ce point, la blockchain contribue à une application conforme de la loi sur la protection des données, plus précisément au respect du principe de la transparence du traitement de données.
La décentralisation et la résistance de la technologie rendent les cyberattaques très difficiles voire impossibles. La sécurité du traitement des données, principalement leur disponibilité, est nettement renforcée. Toutefois, la décentralisation peut transformer l'établissement de la responsabilité en un vrai challenge. Quant à l'inaltérabilité, celle-ci garantit l'intégrité des données mais entre par exemple en collision avec le droit à l'effacement des données. On peut constater que les blockchains présentent des avantages intéressants en matière de protection des données mais qu'il existe également des inconvénients. Toutefois, ces derniers peuvent parfois être contournés.
A titre d'exemple, les justificatifs numériques permettent l'envoi de données personnelles. Grâce à la technologie blockchain, l'authenticité des justificatifs est vérifiable. Cependant, aucune donnée personnelle n'est inscrite sur la blockchain (voir notre article sur «Justificatifs numériques: comment les résultats scolaires seront documentés à l'avenir»).
Que faut-il en conclure?
La compatibilité de la technologie blockchain avec la protection des données dépend premièrement du choix conceptuel de la blockchain utilisée et si celle-ci autorise, par ses transactions, la reconnaissabilité ou l'identification de personnes physiques.
Dans ce cas, le respect des principes de «privacy by design» et «privacy by default» lors de la conception d'une blockchain est primordial. A titre d'exemple, il convient d'opter pour une solution qui minimise le traitement des données personnelles sur la blockchain, si celui-ci ne peut pas être évité, et de choisir la pseudonymisation des données à défaut de pouvoir les anonymiser.
Protection des données dès la conception et par défaut
Plus communément connu sous privacy by design et privacy by default, la protection des données dès la conception et par défaut sont deux obligations introduites par la nouvelle loi sur la protection des données (LPD) du 25 septembre 2020.
Le responsable du traitement doit désormais mettre en place toutes les mesures techniques et organisationnelles nécessaires et appropriées afin que, dès la conception et par défaut, le traitement de données respecte tous les principes et les prescriptions de la LPD.