Chaque semaine, Assas Legal Innovation part à la rencontre de professionnels afin d’échanger sur le thème de l’innovation en droit.
Pour cette nouvelle édition, Mélanie Cras a rencontré Maître Jérôme Deroulez, avocat aux barreaux de Paris et de Bruxelles, spécialiste en données personnelles et blockchain.
La portabilité de ses données (personnelles et non-personnelles) est un droit de plus en plus consacré. (RGPD, code de la consommation, Proposition de règlement du Parlement européen et du Conseil visant à assurer la portabilité transfrontière des services de contenu en ligne dans le marché intérieur…) Pouvez-vous faire le point sur la situation actuelle ? Les acteurs sont-ils suffisamment préparés ?
La portabilité des données personnelles est l’une des dispositions clés du RGPD. Le G29 y a d’ailleurs consacré des lignes directrices en décembre 2016 et apporté des précisions pour mieux décliner cette notion novatrice qui consacre le concept d’empowerment, c’est-à-dire la maîtrise par les personnes concernées de leurs données personnelles, de leurs flux et de la façon dont elles sont traitées, stockées et conservées.
Le droit à la portabilité soulève des questions techniques (transfert des données dans un format interopérable, modalités de transferts, sécurisation du mécanisme de portabilité, éventuelle mise en place d’une API, format de récupération etc…) et juridiques (contenu des données à transférer, quelles données concernées, identification de la personne concernée…). Ce droit doit également être apprécié à l’échelle de chaque État membre de l’Union européenne, la France a ainsi mis en place un régime spécifique en droit de la Consommation.
Le droit à la portabilité soulèvera aussi à terme des enjeux importants au regard du droit de la concurrence, ce dernier s’intéressant de plus en plus à la prise en compte du niveau de protection des données personnelles et aux enjeux liés au Big Data.
Les différents acteurs concernés doivent donc se mettre en conformité sur ces deux aspects, sans pouvoir encore préjuger de l’importance que prendra ce droit ou non en pratique. Les discussions en cours sur le free flow of data témoignent aussi de la volonté européenne de faciliter la circulation des données, données personnelles ou non. La Commission européenne devrait en tous cas veiller attentivement à la mise en œuvre effective d’un tel droit et aux outils qui seront déployés par les opérateurs pour en faire une promotion active.
Quel est le fonctionnement de la Blockchain ? Quelles sont les conséquences de l’inscription de données ?
La blockchain est généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle (un grand livre public). Elle a ainsi l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne de blocs
Cette technologie reste liée à son application historique, le bitcoin, cette « monnaie » sans banque ni banque centrale, monnaie virtuelle décentralisée et anonyme dont la finalité est de parvenir à un système monétaire « sans confiance ». Son fonctionnement trouve son origine dans le livre blanc Bitcoin : A Peer-to-Peer Electronic Cash System, publié en 2008 sous le pseudonyme de Satochi Nakamoto. Ce dernier a proposé un nouveau système monétaire basé sur un serveur horodaté, une chaîne de bits et des fonctions de hashage (1), de cryptographie (2) et de probabilité. L’objectif était alors de participer à la création d’une monnaie sans intermédiaires à travers une architecture collaborative (registre de compte unique et transparent, identification par une clef publique, minage, vérification des paiements par résolution de calculs informatiques, concept de preuve de travail, intervention de mineurs…) et faisait suite aux tentatives précédentes pour créer des monnaies digitales sur la base de solutions cryptographiques. Liée aux développements de la cryptographie, la technologie blockchain a pour objectif d’assurer l’intégrité de la transmission de l’information dans un réseau distribué, sans tiers de confiance.
Une blockchain peut être publique (c’est le cas de la blockchain bitcoin) ou privée (avec une limitation de l’accès à cette dernière, un fonctionnement plus encadré et des usages spécifiques), ce dernier type de blockchain pouvant être partiellement décentralisée (blockchain de consortium) ou opérant avec une gouvernance centralisée (permissioned blockchain). Ces dernières blockchains ont ainsi régulièrement été présentées comme des formes dénaturées des blockchains publiques, organisées autour de projets spécifiques.
Le choix entre le recours à l’un ou l’autre de ces types de blockchains n’est pas anodin et impose de peser leur intérêt réciproque, en fonction du projet poursuivi et bien sûr de la plus-value que représente le recours à cette technologie. Il faut enfin signaler que les nombreux projets en cours liés de près ou de loin à la blockchain repoussent sans cesse les limites de définitions claires et abouties des différents types de blockchain.
La technologie blockchain (insérée dans de futures applications et services) est-elle conciliable avec l’ère de la portabilité de ses données et de la logique « d’empowerment » ?
La question de la conciliation entre la blockchain et les exigences de la protection des données personnelles (portabilité, empowerment) commence à peine à se poser et à être concrètement abordée. D’une part, cette technologie et les conditions de son utilisation ne cessent pas d’évoluer, au vu de la multiplication des cas d’usage (smart city, industrie, traçabilité, notariat, vote, IoT etc…) et d’un intérêt grandissant. D’autre part, le droit de la protection des données -et à fortiori le droit à la portabilité- reste un droit relativement récent dont la mise en œuvre juridique et technique est encore sujette à de nombreuses interrogations, pour les raisons évoquées plus haut.
La question du stockage de données personnelles dans une blockchain publique ou privée dépend également de multiples aspects selon la variété des formes sous lesquelles des données peuvent être stockées (dans leur forme ou au contraire sous une forme cryptée ou de hash), les conditions d’accès aux données en lien avec le type de blockchain, l’intérêt du stockage de données personnelles ou encore les garanties juridiques pouvant être apportées. Sans oublier toutes les hypothèses de stockage de données « illicites » sur une blockchain.
A plus forte raison, exercer son droit à la portabilité peut paraître antinomique avec l’utilisation de la technologie blockchain, dès lors que le « contrôle » sur les données (empowerment) est limité, pour ne pas parler de la confidentialité et que l’information stockée l’est sans limite de temps.
Cependant, cette technologie semble aussi pouvoir être adaptée pour porter des projets spécifiques protecteurs de la vie privée, à travers de nouvelles formes de management de l’identité (3) et de contrôle par les individus des informations liées à leurs données personnelles. C’est l’objectif de projets tels qu’ENIGMA ou TRUST, portés par le Massachusetts Institute of Technology pour répondre aux enjeux posés par l’explosion des données tout en en créant des cadres techniques et juridiques globaux. C’est aussi le cas du projet HAWK visant à renforcer la confidentialité de certaines données qui ne seraient pas accessibles par les autres utilisateurs d’une blockchain.
De façon générale, les caractéristiques de la blockchain sont régulièrement présentées comme des obstacles par rapport aux exigences de la protection des données personnelles, alors même que cette technologie se voulait un mode de défense de la vie privée et de l’anonymat. Ces difficultés ont été signalées à de nombreuses reprises notamment par la CNIL et parmi elles les questions de la détermination du responsable de traitement ou du sous-traitant sur un registre distribué (quel statut pour les mineurs ?), l’enjeu de la preuve du consentement, les conditions de conservation et d’archivage, les garanties apportées lors de transferts internationaux ou encore les enjeux technologiques liés à la suppression de données personnelles. Ces points restent problématiques et polémiques et doivent continuer à interpeller les juristes.
La blockchain privée peut-elle favoriser les abus de position dominante ?
Les conditions de mise en œuvre de blockchain privée restent en partie expérimentales et leur confrontation avec le droit de la concurrence est encore abstraite. Pour autant, il n’est pas exclu que certaines questions puissent se poser.
Pour qu’il y ait abus de position dominante au sens de l’article L. 420-2 du Code de Commerce, trois conditions doivent être réunies : l’existence d’une position dominante, une exploitation abusive de cette position et un objet ou un effet restrictif de concurrence sur un marché. A ce stade, la difficulté pourrait être d’identifier l’existence d’une position dominante et les acteurs participant de cette position comme de caractériser un effet restrictif sur un marché, alors que cette dernière notion pourra être amenée à évoluer avec le recours à des crypto-monnaies par exemple. La réflexion doit néanmoins se poursuivre.
Quel avenir pour les projets d’application Blockchain au vu de ce droit à la portabilité ?
Alors que la blockchain connaît une certaine forme de succès aujourd’hui au vu de la multiplicité des applications envisagées et ce, dans tous les domaines économiques ou politiques, l’intégration par cette technologie du droit de la protection des données personnelles est une question clé.
Cette problématique est déjà traitée à travers les programmes de recherche évoqués plus haut ou au titre du recours aux smart-contracts par exemple, ce qui rendra nécessaire à terme de transposer techniquement ou d’adapter les droits des personnes concernées. Elle fait aussi l’objet d’une prise de conscience de plus en plus forte de la part des développeurs ou des concepteurs de solutions faisant appel à la blockchain afin de construire des produits susceptibles de se conformer à la législation en vigueur et aux principes du privacy-by-design.
Il faut souligner par ailleurs que le RGPD a été pensé et construit par le législateur européen comme une règle technologiquement neutre et devant pouvoir être appliquée quelle que soit l’évolution technique. Dès lors, qu’il s’agisse du recours à l’IA ou à la blockchain, ce règlement devra s’appliquer dès lors que les traitements en question relèvent de son champ d’application. La blockchain pourrait ainsi constituer un champ d’expérimentation privilégié pour des projets de mise en œuvre du droit à la portabilité.
- Dans le cadre du fonctionnement du bitcoin, la validité des transactions est vérifiée avant leur inscription dans un fichier « public », accessible et infalsifiable. Pour ce faire, chaque nouveau bloc est élaboré par les mineurs, en collectant les transactions récentes et en ajoutant un en-tête du bloc permettant d’identifier ce bloc et qui contient notamment l’empreinte du bloc précédent (hash). Ensuite ce bloc est ajouté à la chaîne des blocs, après vérification de toutes ses transactions.
- La validité d’une transaction dépend de sa signature cryptographique.
- Michèle Finck, Blockchains and data protection in the European Union, Max Planck Institute, n°18-01.