Blockchain : solutions de la CNIL pour un usage responsable

24 septembre 2018

Accueil | Actualités
CNIL

La Blockchain au regard des principes du RGPD

Qu’est-ce que la Blockchain ?

La Blockchain est une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles par l’ensemble des utilisateurs, depuis sa création.

La Blockchain n’est pas, par elle-même, un traitement de données ayant une finalité à part entière : il s’agit plutôt d’une technologie, qui peut servir de support à des traitements variés.

Cette technologie suscite de nombreuses questions, dont parfois celle de sa conformité avec le RGPD. C’est pourquoi la CNIL a proposé des solutions concrètes aux acteurs souhaitant l’utiliser dans le contexte d’un traitement de données à caractère personnel.

La minimisation des risques pour les personnes

La Blockchain est une technologie dont il faut très concrètement apprécier l’intérêt réel au regard des objectifs et des caractéristiques de chaque traitement.

Dans ce cadre, la CNIL a appelé les acteurs à s’interroger très tôt, en application du principe de protection de la vie privée dès la conception des produits et des services (Privacy by design prévu par l’article 25 du RGPD), sur l’opportunité de recourir, pour la mise en œuvre de leurs traitements, à la technologie Blockchain plutôt qu’à une technologie alternative. Le responsable de traitement doit aussi s’interroger sur le type de Blockchain à privilégier.

L’exercice effectif des droits des personnes concernées

S’agissant de l’exercice des droits, l’autorité de contrôle française a expliqué que certains droits peuvent être exercés de manière effective (par exemple, le droit d’accès et le droit à la portabilité). Cependant, les droits à l’effacement, de rectification et d’opposition au traitement méritent d’être évalués.

Par ailleurs, de manière plus générale, il convient de ne pas avoir recours à un stockage en clair d’une donnée à caractère personnel sur la Blockchain.

Les exigences en matière de sécurité 

La CNIL a aussi précisé que les principes en matière de sécurité demeurent entièrement applicables dans la Blockchain.

En tout état de cause, la réalisation d’une étude d’impact relative à la protection des données (AIPD) permet d’analyser la nécessité et la proportionnalité du dispositif et d’identifier, le cas échéant, les cas pour lesquels d’autres solutions sembleraient plus adaptées.

Lien vers l’article > 
Les lignes directrices de la CNPD sur la vidéosurveillance
CNIL : premier bilan chiffré