[data] RGPD-GDPR synthèse et audit pour service applicatif de blockchain (Règlement UE 2016/679)

[mis à jour le 21 septembre 2017] Je vous aucune raison qui me conduirait à refuser d’évoquer avec Tilkal l’impact prévisible de la GDPR et de « e-Privacy » sur le service applicatif qui est rendu à ses clients… Et pas n’importe quel service : un service de certification des échanges dans une supply chain… Un service basé sur la technologie blockchain… Mais… service applicatif de blockchain et GDPR font-ils bon ménage ?

service applicatif de blockchain et GDPR

Ce n’est pas sur l’aspect blockchain que nous avons le plus échangé. D’abord, parce que cette « technologie », ce « protocole » fait l’objet d’une étude technique spécifique sur ce blog, et nécessite la compréhension d’un certain nombre de points techniques véritablement… spécifiques.

Non, les questions venaient de plus loin :

  • les « end-users » (consommateurs) dont des données (forcément personnelles) seraient intégrées dans une blockchain pourront-ils exercer leurs « droits GDPR » ?
  • quel fondement juridique pour un traitement de données de consommateurs dans un blockchain : « l’intérêt légitime de l’entreprise » ? un traitement « nécessaire à l’exécution d’un contrat » ? un « consentement » modèle 2018 en OPT-IN ?
  • la création d’une adresse dans le système de registre distribué vaut-elle pseudonymisation au sens de la GDPR ?

service applicatif de blockchain et GDPR

Service applicatif de blockchain et GDPR : quelle conformité ?

Pour ce qui est des « mesures de sécurité appropriées » (art.32 GDPR), évidemment un service applicatif opéré avec un protocole blockchain offre par nature des garanties particulièrement adaptées au e-commerce. De la même manière, le caractère « distribué » de la base de données (le « registre ») offre plus que des garanties pour l’obligation de résilience du service proposé. Mais bien entendu, ce sont les notions de chiffrement (consubstantiel à la technologie blockchain) et de pseudonymisation qui ont tenues le haut du pavé.

service applicatif de blockchain et GDPR

Service applicatif de blockchain et GDPR : qui est « responsable du traitement » et qui est « sous-traitant » ?

Le plus gros problème est de déterminer le statut de l’opérateur de la blockchain : qui est « responsable du traitement » et qui est « sous-traitant » ? Selon la nature de l’intervention du prestataire et le timing du contrat de service proposé par l’éditeur de la solution blockchain, il parait nécessaire de prévoir contractuellement que le fait d’opérer la blockchain « pour compte » d’un industriel (lors par exemple d’une première période d’infogérance de la chaine de blocs par l’éditeur de la « solution » – en mode SaaS ?) ne change pas le poids des responsabilités des parties en présence.

service applicatif de blockchain et GDPR

Privacy « by design » ?

Ben oui… toute application « nouvelle » mise en production après l’entrée en vigueur de la GDPR doit être « GDPR compliant by design« . Le respect des règles de la GDPR-RGPD doit être pris en compte dès la conception du service / logiciel…

service applicatif de blockchain et GDPR

Suspension des flux de données et blockchain ?

Evidemment, cette technologie (presque) neuve est un défi à venir pour les autorités de contrôle en charge de la protection des données personnelles. Le problème des transferts de données HORS UE. La menace d’une suspension des flux de données vers les pays hors UE parait bien illusoire dans un système de registre décentralisé dont la base de données est répliquée à l’identique par tous les opérateurs d’une chaine privée…  


Un merci tout particulier à Mathieu, Joseph et Sébastien pour leurs questions (nombreuses) et leurs remarques (pointues) à l’occasion de cette matinée. Oui, la technologie blockchain (dans une chaine privée) offre toutes les possibilités de répondre aux impératifs de sécurité d’une part, et de transparence d’autre part que la GDPR et « e-Privacy » (qui arrive à grand pas) imposeront le 25 mai prochain. Il suffit d’être un peu imaginatif…


service applicatif de blockchain et GDPR