Le Règlement général sur la protection des données (RGPD), entré en vigueur depuis le 25 mai, est un cadre juridique pour la protection des données personnelles. Il implique un changement radical dans les secteurs liés à l’activité numérique, notamment les blockchains.

Proposé pour la première fois par la Commission européenne en 2012 et adoptée en 2016, cette loi vient remplacer la directive 95/46/CE sur la protection des données personnelles, promulguée en 1995.

Droits et obligations

Ses objectifs sont de créer un cadre réglementaire uniforme au sein de l’Europe et de renforcer le contrôle des individus sur le stockage et l’utilisation de leurs données personnelles. Cela s’applique à toutes les entreprises qui hébergent, enregistrent, des données de résidents européens ou des organisations au sein de l’UE.

D’un coté, la loi permet aux citoyens de mieux contrôler l’utilisation de leurs données ; l’article 17 énumère les conditions dans lesquelles ils pourront demander l’effacement de leurs données des bases de données commerciales, ou le « droit d’effacement ».

D’un autre, elle introduit de nouvelles obligations procédurales et organisationnelles pour les secteurs touchant au numérique, qu’il s’agisse d’entreprises ou d’entités publiques. Les obligations issues du RGPD induisent un changement profond dans la manière de gérer les données personnelles et de les protéger; selon l’article 39, la collecte des données doit être « adéquate, pertinente et limitée au minimum nécessaire par rapport aux finalités pour lesquelles elles sont traitées. »

Blockchain incompatible avec RGPD?

Or, les données de la blockchain ne peuvent pas être supprimées. Ses applications seront-elles donc illégales ? Celle-ci s’appuie sur un système de registres distribués, décentralisé et immuable; il s’agit d’un dossier permanent et inviolable qui échappe au contrôle d’une autorité gouvernante. Et puisque les données stockées sur la blockchain, y compris les données personnelles, ne peuvent être effacées, il n’y a aucun moyen d’exercer le droit d’effacement qui est accordé aux personnes.

La loi précise également les lignes directrices organisationnelles que les responsables du traitement des données devront désormais adopter. Dans l’article 4 du règlement européen, le responsable du traitement désigne : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. »

Cependant, la blockchain est une technologie qui permet de stocker et transférer des données. Pour les blockchain privées mises en place par un tiers, le problème est simple à résoudre, car un seul acteur a autorité sur le réseau. Ce dernier doit donc en assumer la responsabilité juridique et respecter le règlement. Il en est autrement pour les blockchains publiques, celles-ci sont décentralisées et fonctionnent de manière horizontale. Qui est dans ce cas le responsable du traitement des données ?

C’est l’un des paradoxes des réglementations confrontées à une technologie qui évolue de plus en plus vite, il ne fait aucun doute qu’un débat juridique intense se profile à l’horizon.

 

Par la rédaction.

 

 

 

 

 

 

 

Share: