Tantôt encensée, tantôt décriée, une chose est sûre, la blockchain ne laisse personne indifférent, pas même la CNIL. Cette dernière considère que cette technologie peut venir au soutien du principe de responsabilisation des organismes (« Accountability ») opérant des traitements de données à caractère personnel. Plus précisément, selon l’autorité de contrôle « l’immuabilité des actions effectuées sur la Blockchain permet [notamment] de répondre aux obligations de traçabilité du consentement » [1]. En effet, le RGPD prévoit que lorsqu’un « traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant »[2], sans plus de précision sur la manière dont la preuve doit être apportée[3].
La CNIL nous donne quelques pistes de réflexion pour obtenir la preuve du consentement : les responsables du traitement doivent documenter les conditions de recueil du consentement. Cette documentation doit permettre de démontrer que le consentement est bien donné de manière :
Les responsables du traitement interne ou DPO externe peuvent notamment tenir un registre des consentements[4] permettant de démontrer qu’un consentement valable a été donné (libre, spécifique, éclairé et univoque). Ce registre devra contenir la date et l’heure d’obtention du consentement, l’identifiant de la personne concernée[5], la finalité précise pour laquelle le consentement a été donné et , la date d’un éventuel retrait du consentement (pour rappel le RGPD, prévoit également que la personne concernée a le droit de retirer son consentement à tout moment[6]).
Concrètement voici ce que peut contenir le registre des consentements :
La blockchain est une liste croissante d’enregistrements, appelés blocs, qui sont liés par cryptographie. Chaque bloc contient un hachage cryptographique du bloc précédent, un horodatage et des données à stocker (transactions, registre des consentements, etc.). Ces écritures d’opérations numériques sont partagées entre de multiples acteurs à la manière d’un réseau décentralisé semblable à certains dispositifs de peer-to-peer. Elle ne peut être mise à jour que par consensus entre une majorité de participants au système. Une fois inscrite une information ne peut jamais être écrasée ou altérée. Ce système contient donc un enregistrement certain et vérifiable de l’information qu’elle contient.
La technologie blockchain est basée sur deux principes simples et bien plus anciens de cryptographie : le hachage cryptographique et la cryptographie asymétrique. La technologie blockchain combine ces deux principes pour assurer l’immuabilité des actions effectuées sur la blockchain.
La blockchain est donc une piste intéressante pour les organismes effectuant des traitements de données à caractère personnel basés sur le recueil du consentement. La réalisation du registre des consentements peut être constitutive d’un traitement de données à caractère personnel en elle-même. A ce titre, il faudra veiller à respecter les exigences du RGPD. Par ailleurs, la CNIL a émis à certains nombres de recommandations au sujet de l’utilisation de la blockchain qu’il faudra aussi respecter[8].
Dans le même thème : Le sort des Cryptomonnaies dans le cas du décès du détenteur de la clé
Suivez-nous sur Linkedin, Twitter et Facebook
[1] https://www.cnil.fr/en/node/24807
[2] Art. 7(1) RGPD
[3] Lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28/11/2017, version révisée et adoptée le 10 avril 2018, G29/EDPB, point 5.1 §4, p23 (https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf )
[4] https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes
[5] La tenu du registre des consentements est donc également un traitement de données personnelles au sens du RGPD qu’il faudra entre autre documenter dans le registre des traitements. Pour plus d’information à ce sujet : https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf
[6] Art. 7(3) RGPD
[7] Lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28/11/2017, version révisée et adoptée le 10 avril 2018, G29/EDPB, point 5.2 §3, p25 (https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf ) : « lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, les personnes concernées doivent, en pratique, pouvoir retirer ce consentement par le même biais. Lorsque le consentement est obtenu au moyen d’une interface utilisateur spécifique au service (par exemple moyennant un site Internet, une application, un compte avec identifiant, l’interface d’un dispositif IdO ou par courrier électronique), il est évident qu’une personne concernée doit pouvoir retirer son consentement moyennant la même interface électronique, dès lors que changer d’interface à la seule fin de retirer son consentement nécessiterait des efforts inutiles.»
[8] https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf
– Arthur Bouvard