Intervention de Nathalie Chiche

L'idée était de trouver un socle commun, comme celui du RGPD, et de proposer de l'utiliser comme cas d'usage de la blockchain. L'avantage est qu'il est d'emblée applicable à tous les organismes établis en Europe, et même au-delà, puisque le RGPD est d'application extraterritoriale. Il s'applique aux organismes établis sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l'Union, mais il s'applique aussi aux organismes qui traitent des données à caractère personnel des personnes qui sont situées sur le territoire de l'Union, même si l'organisme n'est pas établi sur ce territoire, dès lors que ses activités sont liées à une offre de biens ou de services ou au suivi du comportement de ces personnes au sein de l'Union. Le spectre est très large. Il couvre énormément d'organismes publics et privés.

Cette idée m'est venue car je me suis dit qu'à l'instar du dirigeant d'une entreprise quelconque, qui a l'obligation d'établir un bilan comptable pour avoir une vision globale de la situation de son entreprise, et qui doit déposer ses comptes auprès du greffe du tribunal de commerce dont il dépend, depuis la mise en application du RGPD, tout dirigeant d'un organisme public ou privé a l'obligation de tenir un registre de ses activités de traitement. C'est l'article 30 qui le mentionne. Il a aussi l'obligation de mettre ce registre à la disposition de l'autorité de contrôle. J'ai fait une analogie entre le bilan comptable et le registre des activités de traitement, car ce sont des obligations légales. Dans ma pratique, je constate que le registre des activités de traitement n'est pas souvent tenu.

Ce registre se présente sous forme écrite, mais également sous forme électronique. Il est important de le préciser par rapport à ce que j'ai dit tout à l'heure quant à la preuve. Dans ma pratique, j'observe qu'il n'y a pour l'instant aucune sanction de la CNIL pour la non-tenue du registre. Je rappelle que ce registre est par excellence un outil de conformité au RGPD. Avant l'application du RGPD, c'était la CNIL qui tenait le registre national des traitements qui étaient déclarés et mis en œuvre par les organismes publics et privés. Tout un chacun pouvait demander la liste de tous les traitements ayant été déclarés à la CNIL par un organisme, ainsi qu'une copie du registre, si l'organisme avait désigné un CIL (correspondant informatique et libertés). Depuis l'application du RGPD, personne n'a accès au registre national, dont je rappelle qu'il a été gelé pour une dizaine d'années. Seule la CNIL peut y avoir accès, sur demande.

À mon avis, l'application de la blockchain au registre des activités de traitement permettrait d'avoir l'ensemble des registres des activités de traitement et aussi à tout le monde d'avoir accès aux registres, comme avant l'application du RGPD. La tenue et l'ancrage du registre RGPD sur blockchain permettraient surtout aux organismes publics et privés de démontrer que la tenue du registre est faite en toute transparence. Elles permettraient une certification et un horodatage du registre, en ligne avec les pratiques de la CNIL avant l'application du RGPD. Nous avons parfois besoin de nous assurer qu'un sous-traitant est en conformité avec le RGPD. Le fait d'avoir copie du registre pourrait rassurer un responsable de traitement.

Je rappelle que les greffiers des tribunaux de commerce utilisent la blockchain pour faciliter les changements et les évolutions des sociétés entre greffes, sans avoir recours aux notifications par mail, par lettre recommandée, etc. L'utilisation de la blockchain au registre RGPD pourrait créer un cadre de régulation unique au monde. Comme nous l'avons vu, le spectre est très large. De nombreux organismes publics et privés sont soumis au RGPD et doivent tenir un registre. Appliquer la technologie blockchain au registre RGPD pourrait être un nouveau cadre de régulation, unique au monde, pour garantir la sécurité, la datation et l'intégrité de ce registre utilisé par tous les organismes français, européens, et même internationaux, dès lors que leurs activités sont liées à une offre de biens ou de services, ou au suivi du comportement de ces personnes.

Pourquoi est-ce important ? Parce que ce cadre de régulation permettrait d'avoir accès même au registre des GAFA, en toute transparence, les GAFA devant répondre aux exigences listées à l'article 30. On saurait le nom du responsable de traitement, ou le cas échéant d'un représentant, on connaîtrait toutes les finalités du traitement, les catégories de personnes concernées, les catégories des données à caractère personnel. On connaîtrait les destinataires ayant accès aux données. Nous saurions s'il y a des transferts de données à caractère personnel, et nous connaîtrions les durées de conservation des différentes catégories de données. Nous aurions également une description générale des mesures techniques et organisationnelles de ces acteurs privés.

Cette régulation pourrait même être un modèle de référence, car, d'emblée, elle peut être mise en place au niveau européen, puisque le RGPD s'applique, et même à l'international. Elle pourrait même – pourquoi ne pas en rêver – devenir un standard européen de la blockchain.