La blockchain et les cryptoactifs sont-ils solubles dans le RGPD ? (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >   Protection des données personnelles
Eu flag.png

Thierry Vallat, Avocat au Barreau de Paris
Mai 2018



C'est aujourd'hui 25 mai 2018 qu'entre en application la nouvelle réglementation européenne sur la protection des données personnelles – le fameux RGPD.


Il est cependant encore délicat de savoir quelles seront ses retombées exactes dans le secteur des cryptomonnaies et de la blockchain.


On apprend en revanche déjà que certains acteurs vont devoir fermer certaines de leurs plateformes, puisque Parity annonce fermer sa plate-forme PICOPS à compter du 24 mai 2018.


Rappelons que Parity fournit un portefeuille et une interface de développement pour les Dapps et smart contracts déployés sur la blockchain d’Ethereum.


C'est d'abord la notion d’immutabilité des données inscrites dans les blockchains qui pose difficulté


En effet, les données enregistrées ne peuvent pas être effacées, alors que le RGPD impose un droit à l’effacement de leurs données personnelles pour les usagers (article 17 du RGPD).


La plateforme PICOPS était utilisée pour de nombreuses ICO basées sur Ethereum. Le service permettait des procédures de conformités KYC (Know Your Customer) et AML (anti-blanchiment) pour les ICO, en authentifiant le propriétaire d’une adresse Ethereum.


La société s'est fendue d'un communiqué [1] déclarant que :

« Nous cherchons des moyens de résoudre l’incertitude et de rendre PICOPS conforme à la GDPR, tout en préservant son utilité. Cependant, dans l’état actuel des choses, les solutions que nous avons identifiées limitent le service à un ensemble très limité de fonctionnalités. Pour cette raison, (…) nous avons décidé de cesser le service malgré les besoins et la demande importante du marché. »


C'est ainsi tout l'écosystème d’Ethereum qui pourrait être impacté par l'application du RGPD.


D’après Bitcoinist [2] LocalBitcoins envisage également de désactiver plusieurs comptes d’utilisateurs européens en raison des complications liées au règlement


Le fonctionnement même de l’architecture des blockchains, basé sur un registre, distribué sur l’ensemble des appareils des utilisateurs d’un réseau, comme Ethereum, pourrait donc se confronter à cette nouvelle loi europenne, qui n’avait évidemment pas pris en compte le cas particulier des blockchains.


Prenons tout d'abord la notion de données personnelles: le RGPD s’applique dès lors qu’il est possible d’identifier directement ou indirectement une personne physique (art. 4.1 du RGPD) dans le cadre d’un traitement, soit toute opération de la consultation, en passant par la collecte, l’organisation et l’extraction, jusqu’à l’effacement et la destruction (art. 4-2 du RGPD).


Or, ne peut-on pas considérer que l’adresse bitcoin nécessaire pour réaliser des transactions permet d’identifier indirectement un individu ? Une étude d'impact et audit des traitements va donc s'avérer nécessaire pour tout projet de BC.


De la même manière, la blockchain suppose la conservation des données dans le registre public sans possibilité de les effacer et l'intègration des blocs de données validées sans limitation de durée. Or, cette conservation sans limite est incompatible avec l’art. 5 du RGPD qui dispose que "les données doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".


Comment va pouvoir se gérer le droit à la portabilité, qui doit permettre à une personne de changer de blockchain  ?


Et bien du courage pour les contrôles de la CNIL en cas de recours: où se rendre et qui contrôler ?


Il reste donc à espérer que le développement des projets basés sur la technologie des blockchains dans les pays européens ne soit pas ralentit par l'application du RGPD.