Grain de sable ou grain de sel de Bruxelles
Une consultation publique jette un pavé dans la mare : et si les technologies de blockchain ne pouvaient s’accommoder du règlement européen sur la protection des données personnelles ?
La communauté crypto est en émoi : Bruxelles voudrait interdire les blockchains. Enfin, c’est ce qu’on pourrait croire à en lire certains thuriféraires de la technologie des registres distribués. La réalité est plus nuancée : une consultation publique est en cours, lancée par le Comité Européen de la Protection des Données (CEPD, ou EDPB en anglais), sur le traitement des données personnelles dans les chaînes de blocs. Et là, panique à bord : le texte proposé à la consultation impliquerait des restrictions très fortes sur l’usage de cette technologie !
Un petit rappel historique
La technologie de type blockchain a été popularisée par la création du Bitcoin en 2008 - 2009. Satoshi Nakamoto a publié son livre blanc en octobre 2008 et la première transaction a été inscrite sur la chaîne en janvier 2009. Pour la petite histoire, le block 0 (ou Genesis Block, le premier bloc d’une chaîne) du Bitcoin contient un titre du journal The Times du 3 janvier 2009 : Chancellor on brink of second bailout for banks.
L’allusion permet de penser qu’un des objectifs de la cryptomonnaie est d’offrir une alternative au système monétaire classique qu’on pensait en danger d’effondrement à la suite de la crise des subprimes en 2008. L’hypothèse est tout à fait crédible, car fonctionnellement les registres distribués sous forme de chaînes de blocs répondent au besoin de décentralisation des contrôles et des validations, sans tiers de confiance, intermédiaire financier ou autorité de régulation.
Le RGPD, quant à lui, a été promulgué en 2016 avec un délai d’application de deux ans, ce qui l’a fait entrer en vigueur officiellement le 25 mai 2018. Il est donc postérieur à la mise en place du Bitcoin, ce qui permet à certains de soutenir qu’il était difficile d’en anticiper les exigences en 2009. Pourtant, à cette époque, de nombreuses lois et règlementations protégeant les données personnelles existaient déjà à travers le monde, mais de façon fragmentée et manquant grandement d’harmonisation, ce qu’a justement cherché à résoudre le RGPD.
En France, la loi du 6 janvier 1978 posait déjà un cadre solide, fondé davantage sur des principes que sur des technologies, et s’appliquant à tout système de traitement automatisé des données (STAD), quelle que soit la technologie utilisée. S’ajoutaient la loi Godfrain (1988) et, à l’échelle européenne, la directive 95/46/CE de 1995, transposée plus ou moins rapidement dans la plupart des États membres (en 2004 pour la France).
Aux États-Unis, l’approche était plus sectorielle, avec des textes comme le GLBA (Gramm-Leach-Bliley Act, 1999) applicable aux institutions financières, ce qui vise des plateformes comme Coinbase, Kraken ou Binance, mais non les cryptomonnaies elles-mêmes. Il n’en reste pas moins qu’à l’époque, l’Europe comme d’autres pays (Japon, Canada, Australie, etc.) affichaient déjà une forte préoccupation pour la protection des données.
Même si le RGPD n’existait pas encore, la question de la protection des données personnelles suscitait déjà une attention croissante, et un développeur soucieux de ses responsabilités ne pouvait l’ignorer. Cela dit, il ne faut pas non plus perdre de vue l’état d’esprit dans lequel cette technologie a émergé : celui d’un risque d’effondrement du système de confiance traditionnel. Il n’est donc pas absurde de penser que ses concepteurs anticipaient aussi un affaiblissement (voire une disparition) des cadres juridiques existants, la question des données personnelles ne figurant clairement pas en tête de leurs priorités. [NDLA : Certains grands experts avaient pointé ce risque il y a 9 ans 
]
Une blockchain, c’est quoi ?
Le texte proposé à la consultation apporte une clarification utile en identifiant sept composantes essentielles d’une blockchain, sur lesquelles on peut agir juridiquement ou techniquement :
- La description de la structure des données de la chaîne et de l’ensemble des données qui y sont stockées ;
- Le rôle et la responsabilité de chacune des parties (concepteurs, mineurs, utilisateurs, etc.) ;
- Le processus de consensus (souvent un algorithme) décrivant les conditions de vérification et d’ajout d’un bloc ;
- Le mécanisme de gouvernance de la chaîne (qui décide de quoi et comment) ;
- Les réseaux techniques de communication et d’échange à disposition des utilisateurs ;
- L’écosystème interagissant avec la chaîne, tels que les portefeuilles, les exchanges, les outils de consultation de la chaîne, les protocoles d’identification, les modes de stockage locaux (bases de données ou fichiers) ;
- Et enfin, les stockages hors chaîne.
Il est clair que les stockages locaux ou hors chaîne seront au cœur des solutions à envisager pour éviter que les blockchains ne se dissolvent dans le RGPD.
Encore la faute à l’Europe
Un rapide tour sur les réseaux sociaux suffit pour trouver des contestataires vent debout contre le projet de l’EDPB sur les données personnelles dans les chaînes de blocs. En y regardant de plus près, on y retrouve surtout des entrepreneurs du secteur et quelques idéalistes : les uns s’indignent qu’en Europe on légifère dès qu’une activité émerge, les autres fustigent la bureaucratie ou dénoncent des initiatives liberticides, et tous crient à l’étouffement de l’innovation (surtout quand elle commence à rapporter gros). Mais ces cris d’orfraie ne masquent pas une réalité plus simple : les premières blockchains ont clairement manqué le virage de la protection des données.
Maintenant, posons les choses : que contient réellement le projet du CEPD ? Pourquoi les blockchains posent-elles problème ? Quelles sont les pistes pour concilier les deux ?