Comme tous les nouveaux usages du numérique, la Blockchain est à la fois source d’espoirs et de perspectives mais également de craintes, notamment au niveau de la sécurisation des échanges. La Blockchain fait actuellement l’objet de nombreux rapports (1) et analyses mais il est tout d’abord essentiel de cerner ce concept aux différentes facettes avant de présenter les enjeux juridiques.
Il convient ensuite d’évaluer en quoi celle-ci bouleverse ou non les concepts juridiques traditionnels et, selon le cas, la nécessité ou non de réformer en profondeur certaines branches du droit afin de l’adapter à cette technologie. La question doit être examinée tant sur les domaines transversaux du droit comme la propriété intellectuelle, la protection des données, la signature électronique ou encore la cybersécurité, que dans le droit plus spécifique qui régit les activités de post-marché.
PAR MYRIAM QUÉMÉNER, AVOCAT GÉNÉRAL AUPRÈS DE LA COUR D’APPEL DE PARIS, DOCTEUR EN DROIT
La blockchain : quelles définitions ?
On peut définir la blockchain comme une technologie de stockage et de transmission d’informations. Son principal atout réside dans le fait qu’elle n’utilise pas d’intermédiaire (2). À cet égard, elle est beaucoup plus sécurisée que la plupart des systèmes actuels qui recourent à des « tiers de confiance », c’est-à-dire des banques, assureurs, etc. Selon la CNIL, la Blockchain est « une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d’ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l’ensemble des utilisateurs, depuis sa création ». Il existe trois types de « chaîne de blocs », à savoir les Blockchains « publiques » accessibles à toute personne voulant effectuer une transaction, participer au processus de validation des blocs ou obtenir une copie de la Blockchain ; les Blockchains « à permission » ayant des règles définissant quelles personnes peuvent participer au processus d’approbation ou même effectuer des transactions ; et enfin les Blockchains « privées » où le contrôle de la participation et de la validation est placé sous l’autorité d’un seul acteur.
La Blockchain permet au niveau des transactions la transparence, la décentralisation, l’irréversibilité et la désintermédiation. Elle permet à des participants de créer une transaction qu’ils vont ensuite soumettre à la validation des « mineurs », créant des blocs conformes aux règles de la Blockchain afin qu’ils soient acceptés par la communauté.
Blockchain & RGPD
La Blockchain permet de réaliser des traitements d’une très grande diversité. Le RGPD est également applicable au traitement réalisé par le biais de la Blockchain.
Les acteurs de la blockchain
La décentralisation liée à la Blockchain a conduit la CNIL à considérer que chaque participant, qui a la possibilité de créer une écriture, doit être considéré comme étant responsable de traitement dès lors qu’il est une personne physique et que le traitement est en lien avec son activité professionnelle ou commerciale ; ou une personne morale.
Les « mineurs », personnes habilitées à valider une transaction et à créer les blocs, pourraient selon la CNIL, être considérés comme des sous-traitants dans la mesure où ils ne font que « valider » des transactions, donc ils exécutent les instructions des participants, responsables de traitement. Lorsqu’un groupe de participants décide de mettre en œuvre un traitement, tous sont susceptibles d’être qualifiés de responsables conjoints. La CNIL recommande d’identifier préalablement le responsable de traitement : un participant désigné par les autres ou une personne morale créée à cet effet (GIE, association, etc.).
La Blockchain est réputée infalsifiable car elle se fonde sur un système transparent. Ainsi, pour être violé, le système devrait être piraté par plus de la moitié des utilisateurs se regroupant pour décider de tricher. En se fondant sur le postulat que tous les utilisateurs sont honnêtes, la Blockchain montre là un de ses points faibles même si les risques d’intrusion dans le système sont minimes.
Blockchain & données personnelles
La Blockchain étant définie comme un registre d’opérations infalsifiable, distribué, vérifiable par tous et reposant sur un consensus, il en résulte que les opérations enregistrées dans une blockchain ont vocation à être inaltérables et donc ineffaçables. S’il est possible d’annuler une opération en passant une opération opposée, il n’est pas possible d’effacer une opération. Les identifiants utilisés par ces technologies sont pseudonymes et non nominatifs, mais permettent cependant l’identification indirecte d’un individu. Plusieurs États disposent de règles relatives à la protection des don-nées personnelles et de la vie privée, et dont la définition de « données personnelles » peut recouvrir les données pseudonymes.
En outre, ces législations mettent en place un véritable « droit à l’oubli », comme dans l’Union européenne. Lorsque ces législations ont été mises en place avant l’introduction de la technologie blockchain ou DLT, elles n’ont pas pu intégrer les spécificités de celles-ci. D’où parfois de véritables difficultés, comme au sein de l’UE avec le RGPD. La CNIL a reçu de nombreuses demandes relatives à la mise en œuvre de traitement utilisant la Blockchain. Elle a pu constater que majoritairement deux catégories de données à caractère personnel étaient concernées : l’identifiant des participants et des « mineurs », élément indispensable pour permettre l’authentification des acteurs, et les données diverses inscrites dans une transaction qui dépendent de l’usage de la Blockchain (diplôme, titre de propriété).
Lorsque la Blockchain concerne des données personnelles, le RGPD (3) s’applique et la CNIL rappelle qu’il convient de prendre des mesures appropriées (4) pour tenir compte de la protection des données dans les projets impliquant la Blockchain depuis leur origine.
En ce qui concerne les droits à l’effacement, de rectification et d’opposition au traitement, la CNIL indique que certaines solutions technologiques permettraient de se rapprocher des exigences de conformité du RGPD, mais que leur conformité mérite d’être évaluée.
Blockchain & cybersécurité
En France, les autorités de régulation, la Banque de France, l’AMF, l’ACPR5 tentent de trouver l’équilibre entre l’innovation et la prévention des risques potentiels. Une règlementation est émergente avec l’ordonnance n° 2017-1674 du 8 décembre 2017 relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers.
Ces autorités préconisent l’examen au cas par cas des pro-jets proposés pour qu’ils répondent aux exigences réglementaires. Les dispositifs proposés doivent se conformer à la sécurité des transactions, la protection du consommateur, la lutte contre le blanchiment des capitaux et le financement du terrorisme.
Le projet de loi PACTE6 crée un cadre juridique pour les émissions de jetons numériques. Les levées de fonds en cryptoactifs, dites ICO (initial coin offerings), qui consistent pour une entreprise à émettre des « jetons » (tokens) numériques, fondés comme le bitcoin sur la « chaîne de blocs » (Blockchain), pourront bénéficier d’une certification optionnelle par l’Autorité des marchés financiers (AMF) si elles respectent certaines règles.
1. France Stratégie : les enjeux de la blockchain, (2018) : http://www.strategie.gouv.fr/publications/enjeux-blockchains.
2. Blockchain et tiers de confiance : incompatibilité ou complémentarité ? – Thibault Douville – Thibault Verbiest – D. 2018. 1144
3. Régl. UE n° 2016/679, 27 avr. 2016, JO 4 mai 2016, dit RGPD
4. Privacy by design
5. https://acpr.banque-france.fr/sites/default/files/medias/documents/ri-aout-2017-article-beaudemoulin-warzee-bedoin.pdf
6. Article 26 d projet de loi Pacte (Plan d’action pour la croissance et la transformation des entreprises)