La blockchain : une mesure technique appropriée pour la sécurité des traitements ?
La technologie de la blockchain est une technologie décentralisée et transparente permettant le stockage et la transmission d’informations sous forme de chaînes de blocs de transactions. Elle a été définie officiellement en 2017 comme un « mode d’enregistrement de données produites en continu, sous forme de blocs liés les uns aux autres dans l’ordre chronologique de leur validation, chacun des blocs et leur séquence étant protégés contre toute modification. »1
Différents objectifs peuvent motiver son utilisation, tels que le transfert d’actifs (bitcoins, etc…), la tenue de registres (traçabilité) ou encore le recours aux « smarts contrats 2 ».
1- Le cadre juridique de la blockchain.
La blockchain est apparue en droit français sous le terme de « dispositif d’enregistrement électronique partagé ». Ce terme fait référence à l’enregistrement des données (registre) et son accessibilité, sans restreindre davantage la définition et permettant ainsi l’évolution des procédés techniques liés aux blockchains.
Cette technologie a d’abord été reconnue par l’ordonnance du 28 avril 2016 3, qui a créé un article L223-12 du Code de Commerce4 afin d’autoriser l’inscription des émissions et cessions de minibons dans un tel dispositif.
C’est ensuite la loi dite Sapin 25 qui imposait au gouvernement de prendre des mesures afin d’ « adapter le droit applicable aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers ».
En conséquence, l’ordonnance du 8 décembre 20176 a été adoptée afin d’intégrer cette technologie de la blockchain dans la règlementation relative aux titres financiers, reprenant la notion de « dispositif d’enregistrement électronique partagé » malgré la définition apportée par le journal officiel de la « chaîne de blocs ». Cette ordonnance entrera en vigueur à la publication de son décret d’application, au plus tard le 1er juillet 2018.
Malgré l’apparition de cette technologie dans les textes juridiques, certaines caractéristiques de la blockchain restent difficilement conciliables avec d’autres textes, notamment la nouvelle règlementation applicable en matière de protection des données personnelles. En effet, la transparence (accessibilité publique) des données et leur caractère immuable (obstacle technique à tout droit à la rectification ou suppression des données) sont en contradiction avec les droits des personnes concernées prévus par le RGPD.
Il existe cependant des blockchains non publiques, telles que les blockchains administrées (existence d’un administrateur), en consortium (entente de plusieurs acteurs pour exercer un contrôle sur le réseau) ou privées (un seul acteur a autorité sur le réseau), pour lesquelles seraient nécessaires des permissions d’accès, de lecture et de vérification du registre.
Dans de telles hypothèses, les données ne sont plus accessibles de manière transparente, et on pourrait envisager des modifications de la blockchain, bien que cette opération reste lourde et coûteuse.
De manière générale, et même si ces difficultés ne sont pas les seules rencontrés au regard du RGPD7 , il est permis de penser que l’évolution de cette technologie pourrait déboucher sur la création d’une blockchain conciliable avec les exigences du règlement européen en termes de protection des données personnelles. Dans ce cas se poserait alors une question nouvelle : la blockchain pourrait-elle devenir un outil recommandé par le RGPD en tant que mesure technique de sécurité assurant la protection des données ?
2- La sécurité de la blockchain
La technologie de la blockchain, en ce qu’elle est décentralisée, rend techniquement plus difficile le piratage ou l’attaque des bases de données concernées, notamment l’attaque de l’homme du milieu8 , ou encore l’usurpation d’identité. Il est également beaucoup plus difficile d’altérer ou de supprimer des données9 .
Par ailleurs, la blockchain utilise des techniques cryptographiques afin de chiffrer les données, ce qui accentue la protection des informations contenues dans les blockchains.
Cette double protection (décentralisation et chiffrement) permet de penser que la blockchain assurerait une sécurité renforcée par rapport à d’autres systèmes de protection.
La blockchain permettrait de renforcer la sécurité dans le domaine de l’IoT10 , en permetant à des objets connectés de communiquer entre eux sans passer par une plateforme centrale, réduisant là encore les risques d’actions malfaisantes extérieures.
Cet outil présente toutefois des faiblesses, comme l’a prouvé l’attaque en juin 2016 de la plateforme DAO, lors de laquelle un attaquant aurait profité d’une faille dans le code d’un smart contract pour soutirer environ 50 millions de dollars.
En effet, comme tout outil informatique, l’efficacité d’une blockchain dépend de la conception de son code, qui devra être rigoureuse et s’accompagner d’une solide gestion des clés de chiffrement.
De même, le recours à une blockchain dépend de la capacité des appareils utilisés (notamment dans le cadre d’objets connectés), car cette technologie nécessite une puissance de calcul importante.
Sous réserve de la prise en compte de l’ensemble du droit des données personnelles, la blockchain peut être considérée comme offrant un niveau de sécurité susceptible de rassurer les responsables de traitement.
Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net
1. JORF n° 0121 du 23 mai 2017
2.Les « contrats intelligents » sont des programmes autonomes exécutant les termes et/ou conditions d’un contrat de manière automatique et sans intervention humaine.
3. Ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse
4. L223-12 du Code de Commerce : « Sans préjudice des dispositions de l’article L. 223-4, l’émission et la cession de minibons peuvent également être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d’Etat. »
5. Article 120 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
6.Ordonnance n°2017-1674 du 8 décembre 2017, relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers.
7.Voir article du mensuel Expertise des SI, « La blockchain est-elle compatible avec le Règlement Général sur la Protection des Données ? », Blandine Poidevin et Christine Vroman, juin 2017
8. Man-in-the-middle attack : attaque portant sur le canal de communication afin d’intercepter les communications de deux parties
9. « pour supprimer une donnée, il faudrait que plus de la moitié des nœuds du réseau travaillent ensemble pour reconstruire la chaîne de blocs depuis le moment où la donnée a été ajoutée » (cf. Etude de l’Open Data Institute (ODI) britannique de 2016)
10. Internet of Things : objets connectés