Archives par mot-clé : Etats-Unis

La division fintech de Meta porte le nom de Meta Financial Technologies depuis un an, et après ?

Publié le par

Il y a un, le Français Stéphane Kasriel annonçait sur son compte Twitter que la division fintech qu’il dirige au sein de l’ex-groupe Facebook abandonnait son nom provisoire Novi pour s’appeler Meta Financial Technologies. Malgré l’échec de Diem, une monnaie virtuelle reste à l’étude.

Stéphane Kasriel (photo) est entré dans le groupe Facebook en Californie en août 2020, à l’époque où la division des technologies financières (fintech) de la firme de Menlo Park s’appelait encore Facebook Financial (F2) que dirigeait alors le Suisse franco-américain David Marcus (ancien président de PayPal). Le Français Stéphane Kasriel est recruté pour diriger une équipe d’ingénieurs au sein de cette entité F2 qui gère tous les services financiers du géant des réseaux sociaux, notamment le portefeuille numérique Novi, les systèmes de e-paiement WhatsApp Pay ou Facebook Pay, ainsi que les transferts d’argent transfrontaliers via NoviTransferts.

Après l’échec de Diem, des tokens pour payer
Jusqu’au jour où David Marcus annonce sur Twitter, le 28octobre 2021 et juste après le changement de nom du groupe Facebook en Meta Platforms, que la branche F2 prend le nouveau nom de Novi (1), lequel nom est déjà celui du portefeuille virtuel (anciennement Calibra) qui devait être lancé avant fin 2021 pour permettre à leurs détenteurs de pouvoir y mettre des cryptomonnaies – y compris ce qui devait être la future monnaie numérique Diem indexée sur le dollars et initiée par la firme de Mark Zuckerberg au sein de l’association également dénommée Diem (ex-Libra). Mais confrontés à des obstacles réglementaires et politiques aux Etats-Unis (où tout ce qui pourrait déstabiliser le sacro-saint dollars est exclu), le projet Novi et la crypto Diem (bien que cette dernière soit «stablecoin» et arrimée à l’US dollar) se retrouvent au point mort au grand dam de David Marcus. Celui-ci annonce le 30 novembre 2021 son départ de Meta. « Je demeure toujours aussi passionné par la nécessité de changer nos systèmes de paiement et nos systèmes financiers », dira-t-il dans son tweet (2).
En janvier 2022, Le Wall Street Journal et le Washington Post révèlent l’abandon par Meta de Diem, dont les actifs ont été cédés à la banque californienne Silvergate, celle-là même – ironie de l’histoire – qui a fait faillite en mars dernier après le crypto-krach du second semestre 2022 et surtout la banqueroute retentissante de la plateforme de cryto-exchange FTX. David Marcus était aussi membre du bureau de l’association Diem, ex-Libra, laquelle avait embarqué dans son projet plusieurs entreprises parmi lesquelles la maison mère de Free, Iliad, Spotify ou encore Uber. Le « frenchie » Stéphane Kasriel succède en novembre 2021 à David Marcus à la tête de Novi, dont il annoncera le 8 mars 2022 le changement de nom pour, cette fois, Meta Financial Technologies. « Nous avons changé le nom de notre groupe de produits [Novi] en Meta Financial Technologies. Lorsque [le groupe Facebook] s’est rebaptisé, il ne s’agissait pas seulement d’adopter un nouveau nom. Il s’agissait d’embrasser notre vision de l’avenir. Il est donc normal que nous adoptions un nouveau nom pour notre activité fintech au moment où nous construisons le métavers », avait tweeté, il y a donc un peu plus d’un an maintenant (3), le nouveau directeur de Meta Financial Technologies – appelé aussi Meta FT.
C’est aussi il y a un an, le 8 avril 2022, que le Financial Times révèle le projet d’une cryptomonnaie appelée en interne « Zuck Buck » (composé du surnom de Mark Zuckerberg et de l’appellation du dollar en argot) pour être utilisée dans Facebook, Instagram et le métavers Horizon Worlds. Les « Zuck Bucks » désignaient dix ans auparavant les « Facebook Credits » utilisés comme monnaie virtuelle dans des jeux en ligne. Mais depuis, le métavers Horizon Worlds s’est transformé l’an dernier en « métaflop » (4) malgré les milliards de dollars investis par Meta. La crypto ZBUX (5) n’est pas sortie des limbes. Contactés par Edition Multimédi@, ni Stéphane Kasriel, le patron de Meta FT, ni Edward Bowles, son directeur des affaires publiques, ne nous ont répondu sur une éventuelle « metacrypto » post-Diem. Pour l’heure, Meta FT continue de travailler sur des tokens, des jetons sur le modèle des V-Bucks dans Fortnite (6) ou des Robux dans Roblox. « Pour l’instant, nous réduisons progressivement les collectibles numériques (NFT) afin de nous concentrer sur d’autres façons de soutenir les créateurs, les gens et les entreprises, a twitté Stéphane Kasriel le 13 mars dernier.

Monétiser les fans des créateurs et entreprises
« Cela reste une priorité de connecter les créateurs et les entreprises avec leurs fans et de les monétiser, afin d’avoir un impact à grande échelle, comme les messages et les opportunités de monétisation pour Reels [fonction de vidéos courtes lancée sur Instagram en 2020 pour concurrencer TikTok, ndlr] ». Mais le patron de Meta FT d’ajouter : « Nous continuerons d’investir dans les outils de fintech dont les gens et les entreprises auront besoin pour l’avenir. Nous simplifions les paiements avec Meta Pay, pour rendre les paiements et les versements plus faciles, tout en investissant dans les paiements par messagerie à travers Meta » (7) @

Charles de Laubier

Taxe GAFA (OCDE) : convention multilatérale en vue

Publié le par

En fait. Les 24 et 25 février, s’est tenue la première réunion des ministres des Finances et des gouverneurs des banques centrales du G20, lequel avait lieu en Inde à Bangalore. Il a été question de la future taxe « GAFA » de l’OCDE qui s’appliquera une fois la « convention multilatérale » signée par 138 pays. Fin 2023 ?

En clair. L’« accord historique » du 8 octobre 2021, arraché à 136 pays (aujourd’hui 138) par l’Organisation de coopération et de développement économiques (OCDE) sur les 140 qui se sont engagés auprès d’elle à lutter contre l’évasion fiscale et les paradis fiscaux (1), n’a pas encore produit tous ses effets. Le « pilier 2 » de cet accord – à savoir un taux d’imposition de 15 % minimum sur le bénéfice des multinationales (GAFAM compris) réalisant au moins 750 millions d’euros de chiffre d’affaires annuel – a été transposé par la plupart des pays, y compris par l’Union européenne avec la directive du 14 décembre 2022 et applicable « au plus tard le 31 décembre 2023 » (2). Pour des pays comme la France et les Etats-Unis, où l’impôt sur les sociétés est respectivement de 25 % (15 % pour les PME) et 21 %, cela ne change rien.
En revanche, le « pilier 1 » de l’accord « OCDE » piétine. Il vise particulièrement les GAFAM, lesquels seront taxés à hauteur de 25 % de leur bénéfice taxable (au-delà d’un seuil des 10 % de profits, pour que ces sommes soient réattribuées aux pays concernés selon une clé de répartition en fonction des revenus générés dans chacun de ces pays (3). Mais cette réaffectation de l’impôt collecté auprès de ces « grands champions » de la mondialisation et de la dématérialisation nécessite une « convention multilatérale » (CML) que doivent signer chacun des 138 pays ayant à ce jour accepté la déclaration du 8 octobre 2021 (4). Aux Etats-Unis, ce texte devra être ratifié par les deux tiers des sénateurs américains – ce qui n’est pas gagné au pays des GAFAM ! L’Inde, qui reçoit cette année le G20 à Bangalore, bloque tant que les pays en développement ne seront pas aidés financièrement dans la mise en œuvre. Tandis que l’Arabie saoudite veut des exceptions.
C’est au sein de l’instance appelée « Cadre inclusif OCDE/G20 sur le BEPS » (5), chargée de remédier à l’évasion fiscale et aux paradis fiscaux, que se joue l’avenir de la fiscalité numérique des géants du Net. La CML, soumise à signature jusqu’au 31 décembre 2023, obligera dès son entrée en vigueur la sup- pression des « taxes GAFA » instaurées dans leur coin par certains pays comme la France, l’Espagne ou le Royaume-Uni. La France, qui fait « cavalier seul » depuis 2019 (3 % du chiffre d’affaires publicitaire des GAFA réalisé en France), compte récupérer 670 millions d’euros en 2023, contre 591 millions en 2022. @

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Accord avec la presse : Microsoft traîne des pieds

Publié le par

En fait. Le 6 février, Marc Feuillée, directeur général du groupe Le Figaro, s’est exprimé dans Mind Media en reprochant notamment à Microsoft de ne toujours pas rémunérer les éditeurs au titre des droits de la presse – contrairement à Google et Facebook, et malgré ses engagements de février 2021.

En clair. « Microsoft avait (…) annoncé publiquement en janvier et février 2021 vouloir discuter et rémunérer les éditeurs, et faire mieux que Facebook et Google, or je n’en vois pour l’instant pas le résultat », a déploré Marc Feuillée, directeur général du groupe Le Figaro (1), dans une interview accordée à Mind Media et publiée le 6 février. La firme de Redmond (Etats-Unis) s’était en effet engagée – il y a aura deux ans le 22 février prochain – à « travailler ensemble sur une solution pour faire en sorte que les éditeurs de presse européens soient payés pour l’utilisation de leur contenu par des gatekeepers [comme Microsoft avec son moteur de recherche Bing, son portail d’actualités MSN, ou son application Microsoft Start, ndlr] qui ont une puissance dominante sur le marché ».
Un communiqué (2) avait même été signé par Casper Klynge, alors vice-président de Microsoft en charge des affaires publiques européennes et basé en Belgique, et quatre organisations européennes d’éditeurs de presse : European Publishers Council, News Media Europe, Newspaper Publishers’ Association/ENPA et European Magazine Media Association/EMMA. Ensemble, ils appelaient en outre à « un mécanisme d’arbitrage de type australien en Europe pour garantir que les gatekeepers rémunèrent équitablement les éditeurs de presse pour l’utilisation du contenu ». Microsoft entendait ainsi se distinguer de Google et de Facebook qui, à l’époque, étaient très réticents à rémunérer les médias pour l’utilisateur de leurs contenus sur respectivement le moteur de recherche et le réseau social. Depuis, Google et Facebook ont finalement trouvé un accord avec la presse en Europe – notamment en France, soit à la suite d’un contentieux (Google), soit dans un rapport de force (Facebook).
Mais toujours rien à ce jour du côté de la firme dirigée par Tim Cook. Casper Klynge, qui a quitté Microsoft fin 2022, avait indiqué que l’application Microsoft News (ex-MSN News et Bing News) – rebaptisé depuis Microsoft Start alias MSN (3) – permettait à Microsoft de partager « une grande partie » des revenus avec les éditeurs de presse. Et que le paiement de droits voisins était « une prochaine étape logique ». Pas de résultat depuis. « Toutes les autres plateformes refusent de discuter sérieusement, a regretté Marc Feuillée. Ma conclusion c’est que la loi française n’est pas assez précise et doit être amendée par le législateur ». @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.