L'EDPB finalise les lignes directrices sur la blockchain et le RGPD le 8 juillet 2026

Le Conseil européen de la protection des données (CEPD) a finalisé de nouvelles lignes directrices le 8 juillet 2026, clarifiant la manière dont le Règlement général sur la protection des données (RGPD) s'applique aux technologies blockchain. Ces orientations répondent à une incertitude réglementaire de longue date pour les organisations traitant des données personnelles de résidents de l'Union européenne. Le CEPD a confirmé que les opérateurs de blockchain ne peuvent pas échapper aux obligations du RGPD simplement parce que les enregistrements blockchain sont immuables ou parce que les données personnelles ont été cryptées ou hachées sur la chaîne, établissant que les organisations restent responsables de la protection des droits des personnes concernées, indépendamment de l'architecture technique. Les lignes directrices ont été publiées conjointement avec des normes de pseudonymisation mises à jour, redéfinissant collectivement les attentes en matière de conformité pour les opérateurs de blockchain dans le cadre de la réglementation européenne sur la vie privée en vigueur depuis 2018.

Le CEPD confirme que les obligations du RGPD s'appliquent malgré l'immuabilité de la blockchain

Le CEPD a confirmé que les opérateurs de blockchain ne peuvent pas éviter les obligations du RGPD simplement parce que les enregistrements blockchain sont immuables ou parce que les données personnelles ont été cryptées ou hachées sur la chaîne. Selon le régulateur, les organisations restent responsables de la protection des droits des personnes concernées, quel que soit l’architecture technique choisie. Le conseil a indiqué que les données personnelles cryptées ou hachées restent généralement soumises au RGPD, car elles peuvent potentiellement être reliées à une personne identifiable via des adresses de portefeuille, des bases de données externes, des clés de décryptage ou des avancées futures en cryptanalyse. L'orientation sur la pseudonymisation précise que les données peuvent uniquement être considérées comme anonymes si elles ne peuvent pas être isolées, reliées ou utilisées pour déduire l’identité d’une personne.

Le CEPD aborde trois modèles principaux de blockchain pour la conformité au RGPD

Les lignes directrices traitent de trois modèles principaux de blockchain : les réseaux publics sans permission, les blockchains privées avec permission, et les chaînes de consortium. Le CEPD a indiqué que les blockchains privées et de consortium sont généralement mieux adaptées pour la conformité au RGPD, car elles permettent à des organisations clairement identifiables d’agir en tant que responsables du traitement et sous-traitants. En revanche, le régulateur a souligné que l’attribution de ces responsabilités sur des réseaux publics sans permission reste extrêmement difficile en raison de la nature décentralisée de leurs participants.

Le CEPD affirme que le droit à l’effacement s’applique malgré les limitations techniques

Le conseil a insisté sur le fait que le droit à l’effacement du RGPD continue de s’appliquer, même lorsque la technologie blockchain rend la suppression des enregistrements techniquement difficile. Selon l’orientation, les limitations techniques n’exemptent pas les organisations de leurs obligations de conformité. Le CEPD a conseillé aux entreprises de déterminer si la technologie blockchain est nécessaire avant de la déployer et, dans la mesure du possible, d’éviter de stocker directement des données personnelles sur la chaîne. Le régulateur a reconnu les risques à long terme liés au cryptage, en notant que les avancées technologiques, y compris l’informatique quantique, pourraient éventuellement rendre lisibles les enregistrements blockchain actuellement cryptés. Les organisations doivent envisager les risques futurs de ré-identification lors de la conception de systèmes blockchain conservant définitivement des informations.

Le CEPD recommande le stockage hors-chaîne pour les données personnelles

Les orientations recommandent aux organisations de conserver les données personnelles hors-chaîne autant que possible, en utilisant la blockchain principalement pour stocker des références cryptographiques tout en maintenant des informations personnelles modifiables dans des bases de données classiques. Selon le CEPD, cette architecture offre la méthode la plus pratique pour satisfaire aux exigences d’effacement du RGPD tout en conservant la fonctionnalité de la blockchain. Lorsqu’il est impossible d’éviter de stocker des données personnelles sur la chaîne, le régulateur a présenté des alternatives limitées. Celles-ci incluent le cryptage des données blockchain avec des clés de cryptage gérées de manière sécurisée hors-chaîne, pouvant être détruites ultérieurement lors d’une demande d’effacement, ou l’utilisation de données hachées protégées par des sels confidentiels hors-chaîne, qui peuvent également être détruits. Le conseil a indiqué que, bien que ces méthodes puissent servir de substituts pratiques à la suppression, elles ne transforment pas les données personnelles en informations anonymes.

Le CEPD souligne les défis liés aux transferts internationaux et aux contrats intelligents

Les lignes directrices mettent en évidence les défis liés aux transferts internationaux de données sur les blockchains publiques. Étant donné que les transactions sont automatiquement répliquées sur des nœuds situés dans plusieurs pays, les organisations peuvent involontairement transférer des données personnelles en dehors de l’Union européenne sans les garanties requises par le RGPD. Le CEPD a averti que satisfaire aux exigences de transfert international sur des réseaux blockchain sans permission pourrait s’avérer particulièrement difficile en raison de l’incapacité à identifier ou contracter avec des opérateurs de nœuds anonymes. Le régulateur a également abordé les contrats intelligents, expliquant que la prise de décision automatisée basée sur la blockchain peut déclencher l’article 22 du RGPD lorsque les décisions produisent des effets juridiques ou d’une importance similaire pour les individus. Les organisations déployant des contrats intelligents pour des services financiers, la vérification d’identité, le prêt, l’assurance ou la gestion des accès doivent fournir une transparence concernant le traitement automatisé tout en offrant aux personnes concernées la possibilité de demander un examen humain.

L’orientation du CEPD concerne les institutions financières et les prestataires de soins de santé

Les orientations concernent un large éventail de secteurs utilisant la technologie blockchain, notamment les institutions financières, les prestataires de soins de santé, les plateformes de chaîne d’approvisionnement, les dépositaires d’actifs numériques, les marchés NFT et les fournisseurs d’actifs tokenisés. Les déploiements existants de blockchain contenant des données personnelles pourraient nécessiter des modifications techniques, une refonte architecturale ou une migration vers un stockage hors-chaîne pour améliorer la conformité. Le CEPD a insisté sur le fait que ces orientations n’introduisent pas de nouvelles obligations légales, mais clarifient les exigences du RGPD en vigueur depuis 2018, ce qui signifie que les organisations traitant des données personnelles sur des réseaux blockchain doivent examiner leurs systèmes existants sans délai. Bien que le régulateur ait intégré les retours des parties prenantes lors des consultations publiques, il a rejeté les demandes d’exemption des blockchains publiques des obligations de responsables du traitement ou de relâchement des normes de pseudonymisation, renforçant ainsi un cadre de conformité plus strict pour le traitement des données basé sur la blockchain dans toute l’Union européenne.

FAQ

Que a finalisé le CEPD le 8 juillet 2026 ?

Le CEPD a finalisé de nouvelles lignes directrices clarifiant la manière dont le Règlement général sur la protection des données (RGPD) s’applique aux technologies blockchain. Ces orientations ont été publiées conjointement avec des normes de pseudonymisation mises à jour et abordent la conformité des organisations traitant des données personnelles de résidents de l’Union européenne avec les règles européennes de confidentialité.

Pourquoi le CEPD affirme-t-il que l’immuabilité de la blockchain n’exonère pas du RGPD ?

Le CEPD a confirmé que les opérateurs de blockchain ne peuvent pas éviter les obligations du RGPD simplement parce que les enregistrements blockchain sont immuables ou parce que les données personnelles ont été cryptées ou hachées sur la chaîne. Selon le régulateur, les organisations restent responsables de la protection des droits des personnes concernées, quel que soit l’architecture technique choisie.

Comment le CEPD recommande-t-il aux organisations de gérer les données personnelles sur blockchain ?

Les orientations recommandent aux organisations de conserver les données personnelles hors-chaîne autant que possible, en utilisant la blockchain principalement pour stocker des références cryptographiques tout en maintenant des informations personnelles modifiables dans des bases de données classiques. Selon le CEPD, cette architecture offre la méthode la plus pratique pour satisfaire aux exigences d’effacement du RGPD.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire