Publications

Blockchain des consentements RGPD

Publié le 5 avril 2019
Blockchain des consentements RGPD

Tantôt encensée, tantôt décriée, une chose est sûre, la blockchain ne laisse personne indifférent, pas même la CNIL. Cette dernière considère que cette technologie peut venir au soutien du principe de responsabilisation des organismes (« Accountability ») opérant des traitements de données à caractère personnel. Plus précisément, selon l’autorité de contrôle « l’immuabilité des actions effectuées sur la Blockchain permet [notamment] de répondre aux obligations de traçabilité du consentement » [1]. En effet, le RGPD prévoit que lorsqu’un « traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant »[2], sans plus de précision sur la manière dont la preuve doit être apportée[3].

La blockchain serait-elle donc LA solution miracle pour répondre à cette obligation de traçabilité du consentement ?

1) Le principe du registre des consentements

La CNIL nous donne quelques pistes de réflexion pour obtenir la preuve du consentement : les responsables du traitement doivent documenter les conditions de recueil du consentement. Cette documentation doit permettre de démontrer que le consentement est bien donné de manière :

  • Libre, c’est-à-dire que le mécanisme de recueil du consentement ne doit pas être lié à la réalisation d’un contrat par exemple ;
  • Spécifique, c’est-à-dire qu’il faut une séparation claire et intelligible des différentes finalités de traitement (une case à cocher par finalité par exemple)
  • Eclairé, c’est-à-dire avec la bonne information des personnes concernées ; et
  • Univoque, c’est-à-dire avec le caractère positif de l’expression du choix de la personne.

Les responsables du traitement interne ou DPO externe peuvent notamment tenir un registre des consentements[4] permettant de démontrer qu’un consentement valable a été donné (libre, spécifique, éclairé et univoque). Ce registre devra contenir la date et l’heure d’obtention du consentement, l’identifiant de la personne concernée[5], la finalité précise pour laquelle le consentement a été donné et , la date d’un éventuel retrait du consentement (pour rappel le RGPD, prévoit également que la personne concernée a le droit de retirer son consentement à tout moment[6]).

Concrètement voici ce que peut contenir le registre des consentements :

  • La date ;
  • L’identifiant de la personne ;
  • L’obtention ou non du consentement (Oui/Non, case cochée ou non, etc.) ;
  • L’ensemble des informations communiquées à la personne concernée préalablement à sa décision de donner ou non son consentement ;
  • Le moyen par lequel la personne a donné sa réponse (voie électronique, etc.)[7];
  • La finalité du traitement ; et
  • La date éventuelle du retrait du consentement.

2) La blockchain des consentements

La blockchain est une liste croissante d’enregistrements, appelés blocs, qui sont liés par cryptographie. Chaque bloc contient un hachage cryptographique du bloc précédent, un horodatage et des données à stocker (transactions, registre des consentements, etc.). Ces écritures d’opérations numériques sont partagées entre de multiples acteurs à la manière d’un réseau décentralisé semblable à certains dispositifs de peer-to-peer. Elle ne peut être mise à jour que par consensus entre une majorité de participants au système. Une fois inscrite une information ne peut jamais être écrasée ou altérée. Ce système contient donc un enregistrement certain et vérifiable de l’information qu’elle contient.

La technologie blockchain est basée sur deux principes simples et bien plus anciens de cryptographie : le hachage cryptographique et la cryptographie asymétrique. La technologie blockchain combine ces deux principes pour assurer l’immuabilité des actions effectuées sur la blockchain.

La blockchain est donc une piste intéressante pour les organismes effectuant des traitements de données à caractère personnel basés sur le recueil du consentement. La réalisation du registre des consentements peut être constitutive d’un traitement de données à caractère personnel en elle-même. A ce titre, il faudra veiller à respecter les exigences du RGPD. Par ailleurs, la CNIL a émis à certains nombres de recommandations au sujet de l’utilisation de la blockchain qu’il faudra aussi respecter[8].

Dans le même thème : Le sort des Cryptomonnaies dans le cas du décès du détenteur de la clé

Suivez-nous sur Linkedin, Twitter et Facebook

Sources

[1] https://www.cnil.fr/en/node/24807

[2] Art. 7(1) RGPD

[3] Lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28/11/2017, version révisée et adoptée le 10 avril 2018, G29/EDPB, point 5.1 §4, p23 (https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf )

[4] https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

[5] La tenu du registre des consentements est donc également un traitement de données personnelles au sens du RGPD qu’il faudra entre autre documenter dans le registre des traitements. Pour plus d’information à ce sujet : https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf

[6] Art. 7(3) RGPD

[7] Lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28/11/2017, version révisée et adoptée le 10 avril 2018, G29/EDPB, point 5.2 §3, p25 (https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf ) : « lorsque  le  consentement  est  obtenu  par  voie  électronique  uniquement  par  un  clic,  une frappe  ou  en  balayant l’écran, les personnes concernées doivent, en pratique, pouvoir retirer ce consentement par le même biais. Lorsque le consentement est obtenu au moyen d’une interface utilisateur  spécifique  au  service  (par  exemple  moyennant  un  site  Internet,  une  application,  un compte avec identifiant, l’interface d’un dispositif IdO ou par courrier électronique), il est évident qu’une personne concernée doit pouvoir retirer son consentement moyennant la même interface électronique, dès lors que changer d’interface à la seule fin de retirer son consentement nécessiterait des  efforts  inutiles.»

[8] https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf

 

– Arthur Bouvard