Archives par mot-clé : Blockchain

Saisie de crypto-actifs et autres actifs numériques : plus de réactivité pour contrecarrer leur volatilité

Publié le par

La France est à l’avant-garde de la saisie de crypto-actifs, comme celle réalisée il y a dix ans maintenant, à l’occasion de la célèbre affaire « Silk Road » (achat-vente de drogues sur le darweb). Le législateur français a étendu la procédure « rapide et efficace » à tous les actifs numériques.

Par Richard Willemant*, avocat associé, cabinet Féral

La France fait figure de pays précurseur en matière de régulation des crypto-actifs, alors que le futur règlement européen MiCA (1) sur les marchés de crypto-actifs est encore un projet qui pourrait être adopté par le Parlement européen au mois d’avril 2023, sur une proposition de la Commission européenne datant de 2020. La loi française de 2019 sur la croissance et la transformation des entreprises, loi dite « Pacte » (2), a directement inspiré l’Union européenne (UE). Elle a instauré une réglementation des actifs numériques et une régulation de la profession de prestataires de services sur actifs numériques (PSAN).

Nécessité d’avoir recours à un PSAN
En France, les PSAN sont soumis à un régime d’enregistrement auprès de l’Autorité des marchés financiers (AMF). Ce dispositif vient en outre d’être renforcé par la loi « DDADUE » du 9 mars 2023 (3). La loi PACTE, elle, a introduit dans le code monétaire et financier (article L. 54-10-1) une définition des actifs numériques dont il existe deux catégories :
Les jetons (tokens) sont des biens incorporels représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien (4) ;
Les crypto-actifs utilisés à des fins de paiement sont définis comme « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n’est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d’une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement ».
Concrètement, les actifs numériques – dont les cryptomonnaies les plus connues bitcoin, ethereum et autres altcoins, ainsi que les jetons non fongibles NFT (Non-Fungible Token) – sont émis, stockés et échangés en utilisant la technologie blockchain (chaîne de blocs) et un réseau de communications électroniques, sans intermédiation par un tiers de confiance étatique ou institutionnel, sachant qu’il est quand même nécessaire d’avoir recours à un PSAN. Pour autant, les actifs numériques sont des biens incorporels saisissables et ils sont saisis ! La France s’est placée à l’avantgarde de ce type de saisie réalisée, dès l’année 2013, à l’occasion de la célèbre affaire d’achat-vente de drogues « Silk Road ». Les autorités françaises avaient alors saisi plus de 24.000 bitcoins, qui ont ensuite été vendus aux enchères, tandis que la justice américaine avait saisi 144.000 autres bitcoins, qui valaient environ 28 millions de dollars à l’époque et plus de 1 milliard de dollars aujourd’hui (5). En France, en une dizaine d’années, ce type de saisie en matière pénale s’est banalisé et leur occurrence a ainsi été multipliée de manière exponentielle, puisque l’Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC) procède désormais à plusieurs saisies pénales par semaine (6) La saisie des avoirs numériques criminels est devenue un outil essentiel de lutte et de sanction des infractions de droit commun et de cybercriminalité, relevant notamment de la criminalité astucieuse, en matière d’escroquerie, de blanchiment et de fraude fiscale, mais également de la grande criminalité en matière de trafic de stupéfiants et de financement du terrorisme.
Les exemples de saisie sont innombrables. En septembre 2020, les autorités françaises ont ainsi saisi près de 27 millions d’euros en crypto-actifs dans le cadre d’une enquête sur un réseau de financement du terrorisme (7). En janvier 2021, la justice française a procédé à la saisie de 600 bitcoins pour une valeur d’environ 25 millions d’euros dans le cadre d’une enquête sur un réseau de blanchiment (8). A l’étranger, les saisies se comptent souvent en centaines de millions, voire en milliards de dollars. La plus grande saisie de crypto-actifs de l’histoire à ce jour a certainement été réalisée par la justice américaine qui a annoncé en février 2022 être parvenue à saisir l’équivalent de 3,6 milliards de dollars dans le cadre de l’affaire « Bitfinex » relative à des détournements d’avoirs en cryptomonnaies (9).

Contrecarrer la volatilité des actifs numériques
Tous les actifs numériques présentent une même caractéristique : ils peuvent être dissipés, par un transfert, aussi rapidement, mais plus discrètement qu’une somme d’argent détenue sur un compte bancaire. Cette grande volatilité les rend plus difficile à appréhender, et ce d’autant que leur existence n’est pas toujours connue au début de l’enquête pénale. Leur découverte intervient plus souvent au cours des investigations (garde à vue, audition, perquisition, exploitation de matériels informatiques et téléphoniques saisis). Il existe alors un risque élevé de dissipation de ces avoirs criminels, car souvent les actifs numériques sont contrôlés par plusieurs personnes, ce qui permet à un tiers non mis en cause, mais connaissant l’existence de l’enquête de transférer ces actifs ou de procéder à des modifications de mots de passe des wallets (portes-monnaies numériques).

Maintien ou mainlevée : délai de dix jours
L’intervention des enquêteurs sur ces portefeuilles électroniques peut même déclencher des alertes et mécanismes automatiques de dissipation des actifs numériques. Le législateur français a pris conscience de l’urgence à agir dans une telle situation et a adapté le dispositif pénal français. Et ce, afin de rendre la saisie des actifs numériques aussi rapide et efficace, d’un point de vue juridique, que celles des fonds détenus sur un compte bancaire. Avant toute condamnation en manière pénale, le code de procédure pénale (articles 142 et suivants) autorisent le procureur de la République, le juge d’instruction ou, avec leur autorisation, l’officier de police judiciaire (OPJ) à faire procéder à la saisie d’un bien afin de garantir que la peine complémentaire de confiscation puisse être mise à exécution. Classiquement, celle saisie pénale peut porter sur des biens immobiliers ou des biens mobiliers, incluant des biens incorporels sur autorisation du juge de la liberté et de la détention (JLD) en cours d’enquête ou du juge d’instruction en cours d’information judiciaire – selon l’article 706-153 du code de procédure pénale.
Une procédure dérogatoire et allégée avait été introduite à l’article 706-154 du même code concernant la saisie de sommes d’argent en permettant à un OPJ de procéder à une telle saisie, sur autorisation du procureur ou du juge d’instruction, en instance un contrôle seulement a posteriori du JLD, à des fins de plus grande rapidité et efficacité, compte tenu de la volatilité des créances de sommes d’argent. Le JLD doit se prononcer dans les 10 jours de la saisie, sur son maintien ou sa mainlevée. Ce dispositif dérogatoire a été validé par le Conseil constitutionnel qui l’estime nécessaire et proportionné (10).
Le législateur français a récemment décidé d’étendre ce dispositif à la saisie des actifs numériques, afin de contrecarrer leur grande volatilité et donc la facilité pour les autres infractions de transférer ces crypto-actifs dans le but de les faire échapper à toute appréhension. En effet, l’article 3 de la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 24 janvier 2023 (n° 2023-22) a modifié l’article 706-154 du code de procédure pénale qui dispose désormais : « Par dérogation à l’article 706-153, l’officier de police judiciaire peut être autorisé, par tout moyen, par le procureur de la République ou par le juge d’instruction à procéder, aux frais avancés du Trésor, à la saisie d’une somme d’argent versée sur un compte ouvert auprès d’un établissement habilité par la loi à tenir des comptes de dépôts ou d’actifs numériques mentionnés à l’article L. 54-10-1 du code monétaire et financier. Le juge des libertés et de la détention, saisi par le procureur de la République, ou le juge d’instruction se prononce par ordonnance motivée sur le maintien ou la mainlevée de la saisie dans un délai de dix jours à compter de sa réalisation ».
Ce nouveau fondement juridique a été très positivement accueilli par les autorités d’enquête et de poursuite en France. S’il facilite la saisie des actifs numériques sur le plan procédural, ce nouveau texte n’apporte cependant pas de solution à la plus grande complexité de ce type de saisie en pratique. Les opérations de saisie de crypto-actifs doivent en effet être réalisées sur des portefeuilles que l’AGRASC a ouverts auprès de PSAN pour chacune des cryptomonnaies correspondantes.
Lorsque la saisie porte sur des actifs numériques détenus à l’étranger, les opérations supposent d’avoir recours au dispositif d’entraide judiciaire international, ce qui entraîne de longs délais et ne permet pas réellement d’atteindre l’objectif d’efficacité. Ceci n’empêche pas l’AGRASC de réaliser de plus en plus de saisie de crypto-actifs en matière pénale, étant précisé qu’une telle saisie est également possible en matière civile sur le fondement des articles R. 231-1 et suivants du code de procédure civile d’exécution.
L’ensemble de ces dispositifs est tout à fait conforme aux droits fondamentaux. En effet, s’agissant de la procédure de saisie spéciale précitée, la Cour de cassation a, par un arrêt du 3 février 2021, refusé de soumettre à l’appréciation du Conseil constitutionnel une question prioritaire de constitutionnalité (QPC).

Respect de la présomption d’innocence
La Cour de cassation considère en effet que ce type de saisie spéciale et urgente n’entraîne « aucune dépossession des fonds qu’elle a pour seul effet de rendre indisponibles et doit être maintenue ou levée dans les dix jours » par un juge. La haute juridiction juge que « les dispositions législatives contestées concilient, avant toute déclaration de culpabilité, l’efficacité de la lutte contre la fraude, objectif à valeur constitutionnelle, avec le droit de propriété, la présomption d’innocence et les droits de la défense constitutionnellement garantis » (11). @

* Richard Willemant, avocat associé directeur
du cabinet Féral, est avocat aux barreaux de Paris
et du Québec (agent de marques – mandataire
d’artistes et d’auteurs), délégué à la protection des
données (DPO), médiateur accrédité par le barreau
du Québec, responsable du Japan Desk de Féral,
et cofondateur de la Compliance League.

La blockchain se voit comme le futur proche du Web

Publié le par

En fait. Du 22 au 24 mars a eu lieu la 4e Paris Blockchain Week (PBW) au Carrousel du Louvre à Paris et au Westin Paris Vendôme, organisé par la société Chain Of Events, présidée par Michael Amar. Cet événement est devenu le rendez-vous international de l’industrie de la blockchain. Du Web2 au Web3.

En clair. C’est comme si se déroulait un passage de relais entre le Web2 et le Web3. Google, Amazon, Meta, Microsoft ou encore Orange venus de l’« ancien monde » y ont côtoyé Ripple, The Sandbox, Binance, Coinbase, Solana, Ledger, Sorare ou encore Circle issus, eux, du « nouveau monde ». La 4e Paris Blockchain Week (avec ses Blockchain Summit, Web3XP, Talent Fair et Investors Day) a mobilisé plus de 400 intervenants, dont le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot, et attiré plus de 10.000 participants.
Alors que les IA génératives (ChatGPT/Dall-E 2 d’Open AI, Bard de Google, Stability AI de Stable Diffusion, …) défraient la chronique depuis décembre dernier, balayant au passage la hype des métavers (1), le Web3, la blockchain et ses crypto-actifs (lire aussi p. 8 et 9) tentent de reprendre le dessus. Et de redonner confiance avec une régulation en construction. Ce qui est loin d’être évident pour ce nouvel écosystème en formation qui a été confronté au second semestre 2022 à un « hiver crypto » (2), anxiogène et décrédibilisant. Certes, depuis le début de l’année, la cryptosphère est à nouveau en croissance. Après avoir atteint le 22 novembre 2022 son point le plus bas durant le dernier cryptokrach, à 15.782 dollars l’unité, le bitcoin mène la danse d’une remontada et a atteint le 22 mars dernier 28.184 dollars – soit une hausse plus de 70 % depuis le 1er janvier où le bitcoin était à 16.547 dollars (3). Selon CoinMarketCap, la capitalisation boursière mondiale du marché des crypto-actifs – incluant cryptomonnaies, « stablecoin » (cryptos dites stables car indexées sur une devise comme le dollar ou l’euro soumise à une autorité monétaire) ou encore NFT (tokens ou jetons non fongibles) – s’élève au 22 mars à 1.18 trillion de dollars (1.180 milliards de dollars). Cela fait une remondata de 48 % depuis le 1er janvier où la capitalisation était de 794 milliards de dollars (4).
Mais la volatilité de ces actifs numériques est telle que la moindre faillite financière – comme celle de la banque américaine Silvergate, réputée « crypto-addicte » – tire à la baisse les crypto-actifs. La banqueroute en novembre 2022 de FTX, l’une des principales crypto-bourses, suivie par celle de BlockFi, puis de Genesis en janvier 2023 ont été des coups de semonce, sans parler de l’effondrement en mars 2023 de la Silicon Valley Bank (SVB). @

Partouche fête ses 50 ans de « casinotier » en se diversifiant dans les NFT, le Web3 et la blockchain

Publié le par

Le groupe familial Partouche – connu en France pour ses casinos – fête cette année son demi-siècle d’existence, depuis que le patriarche Isidore Partouche l’a fondé en mai 1973. Ce jubilé marque aussi son entrée dans de nouvelles dimensions technologiques : actifs numériques et réalité virtuelle.

« Cinquante années se sont écoulées depuis la reprise du Casino de Saint-Amand-lesEaux en 1973 [dans le nord de la France, ndlr]. Cinquante années de travail acharné mais aussi de beaucoup de joie et de satisfaction. Et cinquante ans, c’est encore très jeune, il nous reste beaucoup à accomplir ! », écrit le fondateur du groupe Partouche, Isidore Partouche, bientôt 92 ans, dans son dernier rapport annuel publié le 17 février. Il est né le 21 avril 1931 en Algérie, d’où il est rapatrié en 1962. Il y fut radioélectricien.

Innovation dans le « divertissement 3.0 »
Ainsi est né le groupe Partouche qui a réalité au cours de son exercice 2021/2022 (clos le 30 octobre) un chiffre d’affaires de 388,8 millions d’euros, dont 90,4 % pour son activité de « casinotier » (exploitation de jeux, restauration et spectacles), 6,4 % dans l’hôtellerie et les 32,1 % restants dans thermes, l’immobilier et les jeux sur Internet. Ce chiffre d’affaires (1) sur un an a fait un bond de 52 % en raison notamment de la sortie de crise covid-19 (marquée par la fermeture des casinos), ce qui a permis au groupe Partouche de redevenir rentable (37,1 millions d’euros de bénéfice net). Cotée à la Bourse de Paris depuis 1995 et valorisée plus de 208 millions d’euros (au 10 mars), l’entreprise toujours familiale possède une quarantaine de casinos physiques, la plupart en France, mais aussi en Belgique, en Suisse et en Tunisie.
Après avoir frôlé le dépôt de bilan il y a dix ans – procédure de sauvegarde ouverte en septembre 2013 puis refermée un an après –, l’entreprise s’en est sortie. Mais le casinotier a été rattrapé par la pandémie de mars 2020 à mars 2022, durant laquelle il a été contraint de fermer deux fois ses établissements. Depuis, l’activité de Partouche a fortement repris. Sa dépendance aux casinos physiques, qu’il doit rénover à grand renfort d’investissements, l’incite de plus en plus à se diversifier – dans le numérique notamment. Dernière innovation en date : le déploiement ce mois-ci du « Joker Club », la première collection NFT de Partouche. Il s’agit de 8.888 jokers sous forme de jetons non-fongibles (2), qui offrent des avantages exclusifs dans les établissements Partouche. La nouvelle filiale Partouche Verse, créée en mars 2022 et dédiée au Web3 et aux actifs numériques, s’appuie sur la blockchain Ethereum. « Partouche Multiverse est le nom commercial de la société Partouche Verse, précise à Edition Multimédi@ Maurice Schulmann, délégué général du groupe. Après la soirée de lancement le 10 mars au casino de Forges-les-Eaux [en Normandie], des préventes exclusives dans une vingtaine de casinos auront lieu du 11 au 19 mars. Et à partir du 20 mars, ce sera l’ouverture du “mint” (3) d’abord pour nos membres les plus actifs puis à partir du 23 mars sur jokerclub.io » (4). Chacun des 8.888 NFT représente une image unique, le « jokers » pouvant être revendu par son propriétaire-joueur (le « holder »). En 2022, Partouche Verse a acquis des NFT pour un total d’un demi-million d’euros. « Le groupe qui fête ses 50 ans a toujours eu comme verticale forte l’innovation. Saisir les opportunités technologiques de la blockchain était donc une évidence, tant elles offrent un terrain de jeu inédit pour vivre le divertissement et se connecter avec de nouveaux publics », est-il expliqué dans le dernier rapport annuel. Le casinotier veut « bâtir un écosystème de divertissement 3.0 de premier plan ».
C’est Patrick Partouche (photo), fils unique du fondateur et lui aussi né en Algérie, qui oriente le groupe Partouche – dont il est président du conseil de surveillance (son père étant vice-président) – vers les nouvelles technologies. Il est en outre président du directoire de Financière Partouche (5), la holding familiale qui détient encore 66,8 % du capital du groupe. La filiale Partouche Interactive que préside aussi Patrick Partouche, dédiée au développement de jeux sur de nouvelles plateformes telles que la télévision, la téléphonie mobile et Internet, a été créée en avril 2006. Elle obtiendra une licence du gouvernement de Gibraltar pour l’exploitation de jeux en ligne. En 2010, elle obtient une licence pour le poker en ligne lors de l’ouverture en France du marché des jeux d’argent et de hasard en ligne – lequel est néanmoins limité au poker et aux paris sportifs sur Internet (6).

France : casinos en ligne toujours interdits
Mais Partouche cessera sur l’Hexagone son activité de poker en ligne en 2013. « La légalisation des jeux en ligne en 2010 n’a pas eu d’impact majeur sur le marché des casinos physiques. (…) En France, les jeux de casinos sont interdits en ligne, à l’exception du poker », souligne le groupe Partouche. Le casinotier s’est aussi lancé dans la réalité virtuelle en 2015 avec des jeux en VR. « L’activité de Partouche Lab (7) est désormais intégrée à sa maison mère Partouche Technologies », nous indique Maurice Schulmann. Faites vos jeux ! @

Charles de Laubier

The Sandbox, pionnier français du Web3, reprend son souffle et étoffe son écosystème

Publié le par

Après le crypto-krach de 2022 (l’ « hiver crypto »), qui fut une descente aux enfers pour les écosystèmes du Web3, les acteurs reprennent des couleurs comme le monde virtuel décentralisé The Sandbox, cofondé par deux Français. Son écosystème compte plus de 730 partenaires.

The Sandbox n’a pas attendu le métavers pour rencontrer le succès avec sa plateforme décentralisée, qui permet aux joueurs et aux créateurs de créer des mondes 3D immersifs, leurs avatars, des jeux en ligne, des NFT (1) et tout actif numérique original, de les stocker, les échanger et les monétiser en toute sécurité. Cet écosystème propose aussi sa propre cryptomonnaie : « Sand », construite sur la blockchain Ethereum. Aujourd’hui, cette plateforme de mondes virtuels décentralisés du Web3 dépasse les 730 partenaires qui contribuent à son écosystème créatif – soit un doublement en un an. Et ce, malgré le crypto-krach de l’an dernier et le faux départ des métavers.rme de mondes virtuels décentralisés du Web3 dépasse les 730 partenaires qui contribuent à son écosystème créatif – soit un doublement en un an. Et ce, malgré le crypto-krach de l’an dernier et le faux départ des métavers.

La culture Web3 attire les marques
Ce monde virtuel The Sandbox est né à partir d’un jeu mobile en 2D du même nom, de type « bac à sable » (comme Minecraft), créé il y a plus de dix ans par deux Français cofondateurs de la société Pixowl, basée à San Francisco : Arthur Madrid (photo) et Sébastien Borget. Avant qu’il ne devienne un métavers, The Sandbox fut développé en tant que jeu mobile et téléchargé plus de 40 millions de fois dans le monde, jusqu’à ce qu’il soit racheté par la société hongkongaise Animoca Brands en août 2018. Elle en fit une plateforme de monde virtuel en 3D, en gardant le nom et les deux cofondateurs, aujourd’hui respectivement directeur général (CEO) et directeur opérationnel (COO) de The Sandbox. Preuve que les mondes immersifs suscitent toujours un grand intérêt après le « bear market » de l’an dernier : Arthur Madrid et Sébastien Borget sont intervenus le 18 janvier dans le cadre du Forum économique mondial de Davos pour parler de The Sandbox au « Web3 Day@Davos » (2), une cession organisée par le groupe hongkongais AMTD et L’Officiel sur les thèmes de la création de valeur des actifs numériques et de la réinvention de la propriété intellectuelle par le Web3.
Y intervenaient aussi Yat Siu, le cofondateur et président d’Animoca Brands – maison mère de The Sandbox depuis 2018 – ou encore le Français Pascal Gauthier, PDG de The Ledger, lequel propose de sécuriser hors ligne les actifs numériques sur un portefeuille matériel crypté de la taille d’une clé USB et à l’abris des cybermenaces (3). Au sein de l’écosystème The Sandbox, l’on compte plus de 400 marques et ayants droits, plus de 300 agences et studios de création et de marketing, plus de 100 studios indépendants de développement de jeux, plus de 20 partenaires dans la formation, et plus de 10 plateformes technologiques (4). «De Ubisoft ou Atari à Warner Music ou SnoopDog, en passant par Adidas ou Tony Hawk, ou encore à Gucci ou Balenciaga, les marques adoptent les codes du Web3, à savoir une approche communautaire avec une communication bidirectionnelle plus authentique et directe, encourageant la cocréation d’actifs et d’expériences, par exemple avec des Game Jams [hackathon avec pour thème principal les jeux vidéo, ndlr] », a expliqué le 10 janvier Mathieu Cervety, directeur des partenariats de The Sandbox.
Les marques peuvent acquérir des terrains virtuels (des « land »), créer leurs magasins, vendre des produits, et interagir avec les avatars, clients potentiels. Il y a un an, Carrefour achetait pour 300.000 euros de parcelle de terrain virtuel dans ce monde en 3D. Le PDG du groupe d’hypermarchés, Alexandre Bompard, s’en était même félicité (5). Le groupe Casino l’avait devancé. La banque britannique HSBC (fondée à Hong Kong) s’est elle aussi offert des terrains virtuels, comme l’a confirmé en mars 2022 The Sandbox. Pour l’établissement financier, il s’agit d’« interagir et se connecter avec les amateurs de sports, d’e-sports et de jeux » (6). Autre exemple : l’assureur Axa s’est lui-aussi « sandboxisé » en février 2022. Pour aider marques et entreprises à s’installer dans The Sandbox, plus de 300 agences et studios dans plus de 20 pays les aident à adopter une stratégie Web3, à créer des actifs digitaux et marketing. C’est le cas de l’agence créative Wunderman Thompson du géant de la publicité WPP. Coinhouse va aussi aider des marques à y aller. The Sandbox a revendiqué un chiffre d’affaires de 180 millions de dollars en 2021 issus des ventes de « land » ou de NFT, ainsi que des reventes où il ne perçoit plus la totalité mais 5 % des transactions. Si son écosystème a doublé en 2022, les revenus ont dû suivre.

Un « hub » agences-studios en 2023
Les plus de 100 studios indépendants de développement de jeux vidéo peuvent candidater au « Game Maker Fund » doté de 300 millions de « Sand » pour financer leurs projets. Ils ont aussi à leur disposition les logiciels de création Voxedit et Game Maker – dont la V0.8 va améliorer les créations ludiques, sociales et immersives. En 2023, The Sandbox a aussi annoncé (7) un hub de « ressources partenaires » pour aider à informer les agences et les studios, et à les mettre en relation. @

Charles de Laubier

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.