Blockchain et données personnelles

Philippe Gilliéron

posted on

Blockchain et données personnelles: que signifie les lignes directrices de l’EDPB pour les sociétés?

Le 8 avril 2025, l’EDPB a publié ses lignes directrices 02/2025 sur le traitement des données personnelles par les technologies blockchain qui sont actuellement soumises à une consultation publique jusqu’au 9 juin 2025.

Dans ces lignes directrices, après avoir fourni une description de la technologie des blockchains (I), l’EDPB évalue le traitement basé sur la blockchain à la lumière des principales questions auxquelles on peut être confronté du point de vue de la protection des données (II). À la lumière de cette analyse, l’EDPB formule 16 recommandations quant à l’utilisation des technologies blockchain (III). Après les avoir résumées, nous en tirerons quelques meilleures pratiques pour les entreprises sous la forme de check-list (IV).

I. Technologie de la blockchain

L’EDPB souligne le fait que :

  • Différents types de blockchains : la nature de la technologie de la blockchain aura une incidence sur les difficultés rencontrées pour se conformer aux réglementations en matière de protection de la vie privée. Les blockchains sans permission (permissionless) poseront plus de problèmes en raison de leur nature décentralisée que les blockchains avec permission (permissioned), où seuls des nœuds (nodes) sélectionnés peuvent lire, écrire ou créer des blocs, et où le pouvoir de chaque participant dépend des règles de gouvernance.
  • Données à l’intérieur d’une blockchain : les blockchains stockent généralement les métadonnées des transactions qui comprennent à la fois les identifiants des utilisateurs (sous la forme d’une série de caractères alphanumériques qui constituent une clé publique dérivée d’une clé privée connue de l’utilisateur) et d’autres métadonnées. Ces identifiants sont considérés comme des données à caractère personnel lorsque les clés publiques peuvent être utilisées pour identifier les personnes par des moyens raisonnablement susceptibles d’être utilisés. Ces métadonnées sont combinées avec un « payload », soitle contenu de la transaction (comme un montant de crypto-monnaie, un lien vers un document, un article acheté, etc.), qui peut également inclure des données à caractère personnel. Si les données supplémentaires sont stockées sur la chaîne (on-chain), ce qu’il convient d’éviter, différentes approches doivent être utilisées pour atténuer les risques en matière de protection des données, telles que des algorithmes de cryptage pour garantir que seules les données utiles cryptées sont stockées sur la blockchain, ou d’autres mesures de sécurité (telles que les fonctions de dérivation de clé, les codes d’authentification des messages basés sur le hachage (HMAC), entre autres).
  • Rôles et responsabilités : le modèle de gouvernance décentralisé utilisé par la blockchain entraîne une multiplicité d’acteurs et de rôles impliqués dans le traitement, ce qui peut rendre difficile l’évaluation de qui est responsable du traitement et de qui est sous-traitant. Le mécanisme de gouvernance mis en place sera d’une importance capitale pour définir les rôles et les responsabilités. Les blockchains avec permission faciliteront la définition de ces rôles et responsabilités, en gardant à l’esprit que, dans une blockchain publique sans permission, les nœuds n’ont pas toujours le même poids, certains n’ayant qu’un pouvoir de décision limité tandis que d’autres n’accepteront aucune instruction des responsables du traitement et n’agiront dès lors pas en leur nom.

II. Les questions de protection des données liées à l’utilisation des technologies blockchain.

L’EDPB est d’avis que:

  • Les responsables de traitement doivent procéder à une évaluation appropriée de leur propre traitement avant de mettre en œuvre une blockchain, afin d’évaluer la nature et l’architecture de la blockchain qui répond le mieux à leurs besoins.
  • L’EDPB souligne que l’impossibilité technique (de supprimer ou de modifier ensuite les données stockées sur une blockchain) ne peut être invoquée pour justifier la non-conformité aux exigences du RGPD.
  • Éviter de stocker des données personnelles sur la chaîne est donc fortement recommandé par l’EDPB, d’autant plus que les principes habituels de protection des données devront être respectés. Or, un tel respect peut s’avérer difficile pour certains d’entre eux si les données sont stockées sur la chaîne, tels la minimisation des données ou la limitation du stockage. Le respect de la vie privée dès la conception (privacy by design) jouera donc un rôle clé dans la mise en œuvre des technologies de la blockchain en conformité avec le RGPD. Si les mécanismes de cryptage peuvent favoriser le respect de la vie privée, l’EDPB indique clairement qu’il faut tenir compte de leur obsolescence résultant des progrès techniques, tels l’informatique quantique.
  • Les transferts internationaux seront souvent impliqués, en particulier lorsque les informations sont partagées entre des nœuds basés en dehors de l’UE. Les responsables du traitement devront donc identifier les transferts et les mécanismes pertinents pour faciliter ces flux de données. L’EDPB recommande d’intégrer des clauses contractuelles standard dans tout contrat qui devrait être signé avant d’être accepté en tant que nœud. Cela pourrait toutefois s’avérer particulièrement difficile pour les responsables de traitement utilisant des blockchains publiques sans permission en raison du manque de contrôle sur les emplacements et les identités des nœuds.
  • La mise en œuvre des technologies blockchain peut nécessiter la réalisation d’une analyse d’impact sur la protection des données (AIPD). Celle-ci devrait couvrir (1) une description systématique des opérations de traitement de la blockchain, (2) une évaluation de la nécessité et de la proportionnalité des opérations de traitement à effectuer sur la blockchain, (3) une évaluation des risques pour les droits et libertés des personnes concernées, et (4) l’identification et l’évaluation des mesures spécifiques pour faire face aux risques qui en résultent.
  • Les droits des personnes concernées, tels que l’obligation d’informer les personnes concernées et leur droit à l’effacement, devront être respectés. La rectification ou la suppression de données peut être difficile si ces données sont stockées sur la chaîne, même si une transaction ultérieure peut avoir trait à l’annulation d’une transaction antérieure. Dans les contextes où des contrats intelligents (smart contracts) sont utilisés, les entreprises doivent évaluer si ceux-ci donnent lieu à des décisions uniquement automatisées relevant de l’article 22 RGPD ; dans ce cas, les personnes concernées doivent bénéficier d’une intervention humaine significative et de la possibilité de contester les décisions, même si elles sont déjà enregistrées sur la chaîne.

III. Les recommandations de l’EDPB

Sur la base de son analyse, l’EDPB formule les 16 recommandations suivantes:

(1) Architecture – Documentation

  • Les données de la blockchain contiendront-elles des données à caractère personnel ?
  • Dans l’affirmative, pourquoi la blockchain est-elle un moyen nécessaire et proportionné pour ce traitement ?
  • Quel type de blockchain utiliser ?
  • Quelles sont les mesures techniques et organisationnelles utilisées ?

(2) Architecture – Stockage hors chaîne

Les données personnelles supplémentaires (c’est-à-dire autres que les identifiants) doivent être stockées en dehors de la chaîne

(3) Informations

Obligation d’informer en termes clairs sur la raison d’être du traitement, leurs droits et la manière de les exercer, à fournir lorsqu’une personne concernée est sur le point d’enregistrer des données dans la blockchain et lors de la création de la blockchain elle-même.

(4) Minimisation

Minimisation de la quantité de données à caractère personnel stockées dans la chaîne et hors chaîne, de la durée de stockage et de leur accessibilité. Cette évaluation doit être documentée pour les métadonnées ainsi que pour le téléchargement des transactions.

(5) Confiance

Mécanismes permettant de garantir la confiance, y compris dans les logiciels et les identités des nœuds (par exemple par le biais de la certification).

(6) Dispositions légales si l’utilisation de la blockchain est imposée par la loi

Si l’utilisation de la blockchain est imposée par la loi, les législateurs devraient inclure des dispositions concernant le niveau de publicité acceptable et décourager toute violation de la confidentialité.

(7) Vulnérabilités des logiciels

Des mesures techniques et organisationnelles devraient être mises en place pour révéler les vulnérabilités à tous les participants (plan d’urgence pour changer d’algorithme, notification d’incident de sécurité et de violation de données personnelles, communication).

(8) Gouvernance

Documenter la gouvernance des changements apportés au logiciel utilisé pour créer les transactions et valider les blocs.

(9) Consentement

Le stockage sur la chaîne empêche généralement le retrait effectif du consentement et la suppression des données correspondantes, ce qui fait du consentement une base juridique risquée et souvent inadaptée. Par conséquent, le consentement, s’il existe, ne devrait être utilisé comme base juridique que si les données en question sont stockées en dehors de la chaîne, afin de garantir la suppression de ces données en cas de retrait du consentement.

(10) Protection des données dès la conception et par défaut

L’EDPB considère que, par défaut, les données personnelles ne devraient pas être rendues accessibles sur une blockchain publique sans l’intervention de la personne concernée.

(11) Conservation des données – durée

(12) Sécurité

Dans ses recommandations 12 à 15, l’EPDB souligne que

  • Les garanties de sécurité nécessaires pour assurer la sécurité de la blockchain devraient être évaluées ;
  • Des mesures doivent être prises pour limiter l’impact d’une éventuelle défaillance de l’algorithme ;
  • La gouvernance de l’évolution des logiciels et des protocoles doit être documentée ;

Si une blockchain publique doit être utilisée, des mesures visant à limiter l’accessibilité de la blockchain et à garantir sa confidentialité doivent être mises en œuvre, documentées et vérifiées.

(13) Droits de la personne concernée

Des mesures doivent être mises en œuvre pour garantir le respect des droits des personnes concernées, notamment le droit à l’effacement (ou faire en sorte que les données soient rendues anonymes et donc inaccessibles à quiconque).

IV. Principaux enseignements pour les entreprises

Quels sont les principaux enseignements résultant de ces lignes directrices 02/2025 pour les entreprises ayant identifié des cas d’usage métier et souhaitant mettre en œuvre les technologies blockchain d’un point de vue opérationnel ?

ObjetQuestionActionOutil
1Avez-vous clairement identifié les données à caractère personnel concernées (sur la chaîne et hors de la chaîne) ?Cartographier tous les types de données que votre système recueille ou auxquels il fait référence. Classez les données personnelles et leur emplacement.Tableau d’inventaire des données ou diagramme de flux de données avec des colonnes “sur la chaîne” et “hors chaîne”.
2Une blockchain autorisée (permissioned) est-elle utilisée (si des données personnelles sont concernées) ?Choisissez un modèle avec permission, à moins qu’il n’existe une justification solide pour l’utilisation d’une blockchain sans permission.Note interne ou liste de contrôle de justification comparant les deux modèles.
3Toutes les données identifiables sont-elles stockées en dehors de la chaîne ?Rediriger toutes les données telles que les noms, les courriels, les informations de santé vers un stockage sécurisé hors chaîne.Créer une “carte de division des données” entre les données sur la chaîne et celles hors chaîne.
4Les données sur la chaîne sont-elles pseudonymisées (par exemple, par hachage ou par clé publique) ?Appliquer des fonctions de hachage ou des clés avant l’écriture dans la blockchain.Utiliser un module de prétraitement qui hachent les données avant de les écrire sur la chaîne.
5Avez-vous réalisé une AIPD spécifique à la blockchain ?Réaliser une AIPD axée sur les données immuables, les transferts internationaux et les droits des personnes concernées.Utiliser un modèle de AIPD adapté aux scénarii de blockchain.
6Les droits des personnes concernées sont-ils respectés ?Permettre la suppression en dissociant les données hors chaîne de leur référence sur chaîne.Tenir un “registre de suppression” pour enregistrer et suivre l’exécution des demandes des personnes concernées.
7Avez-vous cartographié les emplacements des nœuds (nodes) internationaux et les risques de transfert ?Identifier l’emplacement de chaque nœud et évaluer les implications en matière de transfert de données.Tenir à jour un registre des emplacements des nœuds avec les CCS ou les mesures de protection associées.
8Une politique de confidentialité (privacy notice) spécifique à la blockchain est-il préparé et remis aux utilisateurs ?Créer et fournir un document d’une page expliquant comment la blockchain affecte leurs droits en matière de données.Utiliser un modèle de politique de confidentialité adapté aux cas d’utilisation de la blockchain.
9Les contrats intelligents (smart contracts) sont-ils évalués au regard de l’article 22 RGPD (décisions automatisées) ?Vérifier si les décisions des contrats intelligents affectent les individus et mettre en œuvre une annulation manuelle.Inclure une fonction “Pause et révision” dans la logique des contrats intelligents.
10Existe-t-il un processus de gouvernance pour les changements de logiciels et les vulnérabilités ?Mettre en place un protocole documenté pour l’application des correctifs, la divulgation et la réponse aux risques.Formulaire de signalement des vulnérabilités et plan d’urgence sécurisés.
11Les équipes ont-elles reçu une formation sur les implications de la blockchain RGPD ?Dispenser une courte session de formation interfonctionnelle sur la conformité à la blockchain.Utilisez des diapositives couvrant les principaux risques pour la vie privée avec la blockchain et les mesures d’atténuation.