Chapitre 1. Une compatibilité voire même atout

Nous allons analyser si la technologie blockchain est compatible avec le règlement européen relatif à la protection des données personnelles (Section I). Mais également avec les différentes législations touchant à la sécurité telles que celles relatives au blanchiment et la lutte contre le terrorisme ainsi que la cybersécurité (Section II).

Section I. Le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

Pour la plupart des auteurs, la technologie blockchain, puisqu'elle a pour fonction d'enregistrer et conserver des données, est concernée par l'application du Règlement Européen 2016/679 du 27 avril 2016 (§1).

Le règlement a été élaboré pour des architectures centralisées avec une distribution claire des rôles et des activités. Or comme nous l'avons vu, la blockchain est un système de pair à pair avec une architecture décentralisée. Dès lors l'essence même du fonctionnement de la blockchain pose problème concernant l'application du règlement. D'autant que les opérations enregistrées dans une chaîne de blocs ont vocation à être inaltérables et donc ineffaçables, on peut ainsi annuler une opération mais pas l'effacer. Or le règlement général pour la protection des données prévoit un droit à l'effacement, il convient dès lors de s'interroger sur l'application éventuelle de ce règlement à la blockchain, et si il y a application, aux modalités de celle-ci (§2).

§1. L'application du règlement

Dans un premier temps analysons si le règlement peut s'appliquer aux DLT. Il s'applique au traitement des données personnelles, ce traitement étant défini comme «toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel¹⁴². » La notion de donnée personnelle est, elle, définie comme toute information « se rapportant à une personne physique identifiée ou identifiable, [...] notamment par référence à un identifiant¹⁴³ ». Lorsque les données sont anonymes ou anonymisées, le règlement ne s'applique pas. Cependant, les données pseudonymes qui ne sont pas nominatives mais qui permettent une identification indirecte d'un individu, sont soumises au règlement. La pseudonymisation est définie par le règlement au point n°5 et les clefs publiques de la blockchain puisqu'elles correspondent à cette définition, soumettent la chaîne de blocs au RGPD.

142RGPD, art. 4 143RGPD, art. 2

38

Son caractère international n'est également pas problématique car concernant l'application dans l'espace du règlement, le RGDP a une portée extraterritoriale et s'applique à toutes les entreprises possédant ou traitant des données de résidents de l'UE¹⁴⁴.

Le règlement fonde quatre grands principes clefs concernant l'utilisation des données. Premièrement, le traitement des données doit être licite et légitime. Ensuite, les utilisateurs doivent bénéficier d'une information préalable au traitement et avoir des droits d'accès, de rectification et d'opposition sur leurs données. Egalement les données doivent être conservées pour une durée adéquate et proportionnée au traitement pour lequel elles ont été collectées. Enfin, les données doivent être protégées et la confidentialité assurée.

Dès lors que le RGPD s'applique, des formalités déclaratives doivent être remplies auprès de la CNIL par le responsable de traitement. Pour les blockchains privées, cela n'est pas problématique, puisqu'au moins un acteur est responsable sur le réseau. Cet acteur doit donc respecter le règlement et en assurer la responsabilité juridique. Le problème se pose en cas de blockchain publique. Les principaux acteurs sont : les mineurs qui n'ont qu'un rôle technique, un rôle de calcul pour certifier les transactions, les développeurs qui agissent le plus souvent de manière anonyme dans le cadre d'une licence libre, et les utilisateurs. Aucun ne peut dès lors être considéré comme responsable. Or comme nous l'avons vu, la blockchain étant décentralisée et ayant un fonctionnement horizontal, personne n'en est à la tête ou n'en contrôle la totalité. Qui va donc assurer cette responsabilité ? On en revient à la question de gouvernance étudiée ci dessus. Créer une personne morale responsable de la blockchain, peut être une solution envisageable.

Le RGPD prévoit également un droit à l'oubli, déjà consacré par la CJUE dans l'affaire « Google Spain¹⁴⁵ ». C'est un droit à l'effacement de ses données lorsque les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque la personne concernée retire son consentement au traitement et celui-ci et qu'il ne peut être fondé sur une autre base juridique, ou lorsque la personne concernée s'oppose au traitement sans qu'il n'existe de motif légitime impérieux pour justifier ce traitement¹⁴⁶. Le RGPD prévoit des exceptions or elles ne semblent pas applicable à la blockchain. De plus selon l'article 5.1.e du règlement les données doivent être conservées "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".

§2. Comment concilier la blockchain et le règlement ?

Dès lors si le RGPD n'est pas modifié quelles sont les solutions envisageables ? Le livre blanc de la Place de Paris envisage deux approches afin de réconcilier la blockchain avec les impératifs légaux du règlement.

La première repose sur l'idée d'informer l'utilisateur qu'en cas de participation à une blockchain, ses données ne pourront être effacées. Dès lors l'utilisateur renoncerait à son droit à l'effacement par sa participation à la chaîne de blocs. Ainsi selon la Place de Paris une fois la renonciation acceptée l'indisponibilité du droit à l'effacement serait légitime.

La seconde approche repose sur l'idée que s'il n'est pas possible d'effacer une opération, il est possible de la masquer ou de rendre les données inaccessibles de manière irréversible. Une blockchain peut en effet être modifiée par le consensus de sa communauté. Il serait donc envisageable que les communautés organisent ce droit à l'effacement. Cette approche reprend la finalité du droit à l'effacement, qui est de rendre une donnée personnelle inaccessible. Ainsi en masquant l'opération ou en rendant les données inaccessibles, l'objectif du règlement est atteint.

144RGPD, art. 3

145CJUE, 13 mai 2014, aff. C-131/12 146 PARIS EUROPLACE, p°83

39

La blockchain peut même apporter des solutions techniques pour faciliter la mise en oeuvre du règlement¹⁴⁷. La technologie blockchain s'est créée sur une volonté de protéger la vie privée. Cette technologie n'est donc pas antinomique avec la protection des données personnelles, au contraire. Les clefs publiques permettent de ne pas divulguer le lien entre une transaction et les données personnelles d'un individu. Sur de nombreux aspects la technologie blockchain peut donc même être un atout pour la protection des données.

Des projets utilisant la blockchain visent d'ailleurs à renforcer cette protection comme le projet ENIGMA dont l'objectif est de faciliter l'échange de données, grâce à blockchain en garantissant à ses utilisateurs un contrôle de leurs données¹⁴⁸. Les créateurs de ce projet ont utilisé la blockchain pour sécuriser les données car elle représente selon eux, l'outil le plus efficace pour garantir le respect de la vie privée des utilisateurs. Ou encore le projet hawk45 qui invite à recourir à la preuve par divulgation nulle de connaissance afin d'éviter que certaines informations touchant à la vie privée ne puissent être visibles par les autres utilisateurs.

Section II. Les règlementations relatives à la sécurité

De par son caractère anonyme la blockchain peut être utilisée à des fins frauduleuses, ainsi il convient d'analyser si les différentes obligations pour lutter contre le blanchiment d'argent et le financement du terrorisme peuvent s'appliquer (§1). Egalement, de par son caractère même, les questions relatives à la cybersécurité doivent être abordées (§2).

§1. Lutte contre le blanchiment et le financement terrorisme

Les marchés réglementés sont soumis aux obligations de lutte contre le blanchiment et de financement du terrorisme¹⁴⁹. Ils ont une obligation de vigilance. Pur la respecter ils doivent mettre en place des dispositifs d'identification et d'évaluation des risques auxquels ils sont exposés ainsi qu'une politique pour les contrer¹⁵⁰. Avant d'entrer en relation d'affaire, le prestataire doit identifier le bénéficiaire effectif de l'opération¹⁵¹, et la vigilance doit se poursuivre également tout au long de la relation¹⁵². Si l'identification est effectuée par un tiers, elle n'exonère pas le prestataire d'une éventuelle responsabilité¹⁵³. Précisons qu'en vertu de l'article R.561-15 du Code monétaire et financier, n'est pas soumise aux obligations de vigilance, sauf en cas de soupçon « une société cotée dont les titres sont admis à la négociation sur au moins un marché réglementé (...)». Pour certains prestataires c'est le règlement général de l'AMF qui précise les obligations devant être respectées, sont ainsi concernés les dépositaires centraux et les gestionnaires de règlement-livraison¹⁵⁴.

Concernant les ICOs, les émetteurs pourraient être soumis aux exigences de lutte anti-blanchiment par l'article 4 de la 4ème directive anti-blanchiment qui permet d'étendre le champ de l'application de cette directive aux entités qui exercent des activités particulièrement susceptibles d'être utilisées à des fins de blanchiment de capitaux ou de financement du terrorisme. Or cette directive parle «de fournir ou de réunir des fonds». Le problème étant que les crypto-monnaies ne peuvent être caractérisées comme des fonds.

Pour l'Autorité Bancaire Européenne, les plates-formes d'échange doivent toutefois être soumises à la directive anti-blanchiment. La Commission européenne a d'ailleurs proposé le 2

147J. DEROULEZ , « Blockchain et données personnelles- Quelle protection de la vie privée ? », La Semaine Juridique

EG n° 38, 18 Sept 2017, 973

148 G. ZYSKIND, O. NATHAN, « Decentralizing Privacy: Using Blockchain to Protect Personal Data »

149C. mon. fin., art. L.561-2 et L.421-2

150C. mon. fin., art. L.561-4-1

151C. mon. fin., art. L.561-5

152C. mon. fin., art. L.561-6

153C. mon. fin., art. L.561-7

154 T. BONNEAU, P. PAILLER, Droit financier

40

février 2016¹⁵⁵ de les y soumettre, elle envisage également une application de la directive concernant les services de paiement¹⁵⁶. Le 15 décembre 2017, un accord en ce sens a été trouvé au niveau de l'Union Européenne et doit encore être approuvé par les États membres.

La technologie blockchain peut même simplifier les obligations des prestataires de services d'investissements qui se doivent de remplir les exigences d'information (PSI) sur leur client, ces exigences sont notamment formalisés par le Know Your Customer (KYC) et Anti-Money-Laudering (AML). Les PSI doivent en effet acquérir, agréger et vérifier chaque information obligatoire sur leurs clients. Cette procédure est contraignante car chaque PSI va requérir les mêmes informations, alors même qu'un client peut l'avoir déjà fait pour un autre PSI. Ainsi un registre partagé peut être utilisé afin de partager les informations clients entre les différentes institutions financières. Cela permet de réduire les efforts reproduits par chaque institution pour collecter les informations, de codifier les comptes clients afin d'accroitre la transparence de la surveillance des transactions et de garder l'historique de toutes les transactions dans un seul registre afin de simplifier la surveillance et l'audit¹⁵⁷. Les PSI se sont déjà saisis de cette opportunité et de nombreuses solutions utilisant la blockchain au service du KYC ont déjà vues le jour.

§2. La réglementation relative à la cybersécurité

Les marchés financiers donnent lieu à un échange d'informations sensibles et la sécurité doit y être garantie. Qu'en est-il lorsque la blockchain est utilisée ? Le droit actuel protège t-il, du point de vue informatique, les marchés qui utiliseraient cette technologie ou des normes doivent-elles être crées afin de prendre en considération des facteurs nouveaux que la blockchain pourrait introduire et qui ne seraient pas encore régulés par le droit ? Deux choix se posent donc, l'application d'un régime déjà existant ou la création d'un régime spécifique afin d'établir des critères de robustesse suffisants aux DLT.

L'agence nationale de la sécurité des systèmes d'information a définit la cybersécurité comme :

L'état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace susceptible de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles¹⁵⁸.

Les risques sur la blockchain sont liés aux informations qu'elle contient. Le code pénal prévoit des dispositions consacrées aux atteintes aux systèmes de traitement automatisé de données (STAD)¹⁵⁹. Si la loi ne les a pas définis, les travaux parlementaires l'ont fait. C'est « un ensemble composé d'une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d'organes d'entrées-sorties et de liaisons qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité »¹⁶⁰. Ainsi, les registres distribués entrent dans cette définition et sont donc protégés par les règles relatives aux STAD qui répriment tout type d'intrusions ou modifications non autorisés dans ces systèmes.

Ainsi, la réglementation en vigueur permet déjà de réprimer les atteintes portées à une blockchain ou à son contenu. Donc un régime spécifique ne semble pas nécessaire car le régime général englobe déjà la technologie blockchain.

1552.2.2016 COM (2016) 50 final, p.6 156Dir. (UE) 2015/2366, 25 nov 2015 157 IOSCO, « IOSCO Research Report on Financial Technologies (Fintech) », p.56 158Définition issue du site officiel de l'ANSSI : https://www.ssi.gouv.fr/entreprise/glossaire/c/ 159 C. pén. art. 323-1 à 323-8

160SENAT, « Rapport n°214 », 22 décembre 1987, page 13

41