library_books Articles menu_book Ouvrages event Événements collections_bookmark Collections info A propos search login
tune Recherche avancée
article Articles book Ouvrages event Événements collections_bookmark Collections info À propos favorite Nous soutenir
tune Recherche avancée login
Les enjeux de l'articulation entre Blockchain et Privacy
18 Jul 2025
Par Damien Franchi
Collections liées
folder Les applications de la blockchain et le droit folder Blockchain et Privacy
Non catégorisé
Lors du webinaire du 23 juin 2025 sur le thème Blockchain et Protection de la Privacy, Damien Franchi, Doctorant, Université de Rennes, IODE, a présenté les enjeux de l'articulation entre Blockchain et Privacy

Damien Franchi est Doctorant (Université de Rennes, IODE)

Tout d'abord, je tiens à remercier les organisateurs et organisatrices pour ce webinaire ainsi que pour l'invitation à participer à cette première table ronde. Je remercie notamment l'université de Rennes, l'Institut de l'Ouest, Droit et Europe et le CominLabs, les institutions auxquelles je suis rattaché et également l'Institut Présaje, l'école de formation professionnelle des barreaux du ressort de la Cour d'appel de Paris et l'école nationale de la Magistrature. Enfin, je remercie bien évidemment Madame Brunessen Bertrand et Madame Sandrine Turgis qui dirigent toutes deux ma thèse sur Blockchain et Privacy, et j’en profite pour les féliciter pour la publication de l’ouvrage “Blockchain et protection de la Privacy”.

La plupart des éléments que j'aborderai aujourd’hui sur le thème de Blockchain et Privacy, si ce n'est la la totalité, sont des réflexions que je développe dans ma thèse. Mais apporter des réponses aux différents enjeux dans les 20 minutes accordées me paraît cependant difficilement réalisable.

De plus, si certains enjeux sont effectivement juridiques, comme l'application d'un droit, il y en a d’autres qui relèvent de la technique, comme le fonctionnement de la technologie abordé dans l’intervention précédente. Et encore d'autres enjeux plus sociaux, comme la réception pratique de cette technologie par les personnes physiques et morales.

Je vais vous inviter à la réflexion sur certains des enjeux que j'identifie dans mon travail de recherche.

L'enjeu sémantique

Et au titre des propos introductifs, un des premiers enjeux de l'articulation entre blockchain et privacy est sans doute l'enjeu sémantique. Cet enjeu influe grandement sur la qualification juridique à donner à la technologie blockchain, mais aussi à la privacy. Et c'est en définissant ces termes que les enjeux de leur articulation pourront prendre forme.

S'agissant du cadre juridique mobilisé, en raison de la dimension potentiellement transfrontière de la blockchain, j'ai fait le choix d'aborder le sujet sous l’angle du droit de l'Union européenne et du droit du Conseil de l'Europe. Mais, ponctuellement, je ferai aussi référence au droit onusien.

D'abord la privacy: est-ce un droit? Est-ce un principe juridique? En tout cas, elle renvoie à plusieurs droits : droit à la protection des données à caractère personnel, droit à la vie privée, droit au respect de la vie privée, mais aussi à certains qui ne sont pas pleinement consacrés, comme l'autodétermination informationnelle qui ne bénéficie d'aucune effectivité. Peuvent être aussi concernés, quoique dans une mesure moindre, le droit à la liberté d'expression et le droit à la liberté d'entreprendre.

L'analyse des versions anglaises de nombreux textes juridiques, que ce soit au niveau de l'Union ou du Conseil de l'Europe en particulier, ainsi que de la jurisprudence (CJUE et CEDH) révèle une certaine ambiguïté terminologique. En anglais, les expressions utilisées sont "privacy", "right to privacy", "private life" et parfois "confidentiality". En français, les traductions officielles des textes et des décisions utilisent sans grande cohérence les expressions droit à la vie privée, droit au respect de la vie privée et confidentialité.

La difficulté réside alors dans un manque de cohérence d'ensemble dans la correspondance entre ces expressions dans les différentes versions des textes et décisions. Ainsi, bien que le terme "privacy" soit anglais et que certains soient attachés à l'utilisation exclusive de la langue française, la privacy demeure néanmoins à mon sens le terme le plus adéquat et le plus exhaustif.

Ces difficultés terminologiques se retrouvent aussi avec la blockchain. Pour la blockchain, quelques précisions sont à faire sur la blockchain, les blockchains, mais aussi sur les technologies de registre distribué, les DLT(1). Pourquoi c'est important ? Parce que l'Union européenne, la doctrine et même certaines organisations internationales ont du mal à qualifier et définir cette technologie.

Dans le droit matériel de l'Union, ce sont notamment les règlements MiCA et celui sur les DLT qui consacrent plus ou moins la blockchain. Dans ces textes, il n'y a cependant aucune mention explicite de cette dernière.Ils parlent surtout de registre distribué. Le règlement eIDAS 2.0, quant à lui, parle de registre électronique, au titre des services de confiance potentiels.

Au niveau de l'ONU, Madame Turgis a déjà eu l'occasion de présenter à plusieurs reprises dans ses recherches, les travaux du Haut Commissariat aux Réfugiés (HCR) et du Programme Alimentaire Mondial (PAM) qui ont utilisé la blockchain pour venir en aide aux réfugiés. Il en résulte notamment qu'en raison de l'opacité technique et technologique qui entoure ces projets, il peut être difficile d'identifier avec précision si la technologie utilisée est effectivement une blockchain, nonobstant les affirmations qui peuvent être faites par ces institutions.

Au titre également des projets envisagés et lancés, l'Union européenne a mis en place un bac à sable réglementaire pour la blockchain avec le projet EBSI, European Blockchain Services Infrastructure. Ce dernier fonctionne grâce à des nœuds de confiance identifiés et répartis dans la plupart des États membres. Or, ce fonctionnement s'oppose en quelque sorte à la conception initiale de la blockchain, entièrement publique, non permissionnée.

C'est dans ce contexte que je tâcherai de répondre à la question suivante : quels sont les enjeux juridiques et techniques de l'articulation entre la blockchain et la privacy qui permettent de qualifier juridiquement la blockchain, mais aussi la privacy ?

Pour répondre à cette question, j'analyserai sous le prisme de la privacy, d'abord les enjeux juridiques qui entourent le fonctionnement technique de la blockchain et ensuite, j'analyserai différents enjeux juridiques liés aux utilisations possibles de la blockchain.

Les enjeux juridiques autour des caractéristiques techniques

Concernant donc les enjeux juridiques pour la privacy qui entourent le fonctionnement technique de la blockchain, il est souvent fait référence aux blockchains publiques et privées, voire même dans certains cas hybrides. Pour ma part, je considère que juridiquement il vaut mieux parler de la blockchain et qualifier ce terme. Néanmoins, lorsque cela est nécessaire et si distinction il devait y avoir, la plus appropriée pourrait être celle entre les blockchains non permissionnées comme Bitcoin ou Ethereum et les blockchains permissionnées.

Ce choix permet notamment d'éviter certaines ambiguïtés présentes par exemple dans les lignes directrices concernant les traitements de données à caractère personnel réalisées sur blockchain qui ont été publiées par le Comité européen de protection des données (CEPD) en avril 2025.

La plupart des recommandations émises ne peuvent se mettre en place que dans des blockchains permissionnées, alors que ce sont surtout les blockchains non permissionnées qui sont abordées par les lignes directrices.

Pour définir la blockchain, le CEPD se fonde sur les droits d'écriture, de lecture et de création des blocs. Or ces droits ne sont pas suffisants pour définir la blockchain, car ils se heurtent à certaines évolutions récentes.

Le CEPD considère que les protocoles Bitcoin et Ethereum sont, entre guillemets, publics non permissionnés. Or, cette même affirmation, qui fut vraie au début, est maintenant à relativiser. En effet, la création et la validation d'un bloc par ces protocoles demandent tellement de ressources techniques et financières qu'une forme de permission indirecte ou plutôt implicite s'est installée et que l'aspect ouvert à tous, public est conditionné à de fortes connaissances techniques et à de forts moyens financiers. Pour Bitcoin, ça concerne l'investissement dans les ressources matérielles et énergétiques du minage ; pour Ethereum, il faut posséder 32 ethers à staker, ce qui, avec un cours de l'Ether autour de 2 000 euros, représente plus de 60 000 euros.

Par ailleurs, remarque sémantique sur la position un petit peu confuse du CEPD, ce qui est non permissionné est nécessairement public, tandis que ce qui est permissionné est nécessairement privé.

Pour qualifier la blockchain, je fais donc le choix de me rapporter surtout à ses fonctions en tant qu'objet de droit et à son fonctionnement technique en procédant par analogie conformément au principe d'équivalence fonctionnelle, de neutralité technologique et conformément aussi à la théorie du fonctionnalisme juridique.

Petite précision enfin pour ce qui est des DLT : leur existence résulte de la création de la blockchain en 2008 malgré certains écrits informatiques antérieurs à cette date, mais ces derniers étaient surtout très théoriques. Dès lors, ce terme n'apparaît pas non plus comme étant le plus approprié et, par ailleurs, il n'existe pas actuellement, en tout cas, de DLTs qui ne soient pas des blockchains, c'est-à-dire une succession de blocs liés au précédent et et horodatés.

On peut citer les graphes orientés acycliques, les DAG (direct acyclic graph), mais leur particularité technique, qui repose sur une absence de circuit dans l'enchaînement des blocs, contrairement à la blockchain qui est linéaire, n'est pas juridiquement significative.

Après analyse, pour qualifier la blockchain, j'ai fait le choix de lui conférer trois caractéristiques, présentes systématiquement, quel que soit son type et quel que soit le DLT, même s'il s'agit d'un DAG, auquel s'attachent plusieurs enjeux juridiques.

  • Première caractéristique, la présence de mécanismes de chiffrement
  • Deuxième, l'existence d'un réseau pair-à-pair
  • troisièmement, l'existence d'un mécanisme de consensus.

Chacun fait l'objet de d'un certain nombre d'enjeux que je vais un peu développer.

Le chiffrement

Pour le chiffrement, il soulève notamment des enjeux en matière de cybersécurité. Le chiffrement concerne donc aussi bien la résistance des systèmes d'information à des attaques externes et internes, que le chiffrement de bout en bout pour ce qui est des communications interpersonnelles non fondées sur la numérotation.

Dans le RGPD, le chiffrement fait partie des mesures techniques et organisationnelles de protection d'un traitement de données. Et plus généralement, le chiffrement est tantôt considéré comme nécessaire et encouragé (là, je fais référence à la directive NIS 2), et tantôt considéré comme un vecteur d'infraction (là, je fais plutôt référence à une déclaration conjointe des chefs de police européennes qui a, dans le sillage de la proposition de règlement CSAR, appelé à interdire le chiffrement de de bout en bout).

Poursuivant l'ambivalence autour du chiffrement, la CEDH a rappelé en 2024, dans une décision contre la Russie, une des dernières avant qu'elle ne soit plus membre du Conseil de l'Europe, que le chiffrement des communications était particulièrement important.

Le pair-à-pair

Il fait référence aux échanges de données, aux transactions réalisées entre pairs, c'est-à-dire des supports informatiques, des nœuds communiquant sans intermédiaire. Le pair-à-pair existe depuis longtemps et a souvent présenté des enjeux juridiques majeurs, notamment en matière de partage de contenu piraté.

Le pair-à-pair a donc déjà été encadré sous le prisme de la propriété intellectuelle avec la directive de 2001 sur les droits d'auteur et les droits voisins et avec celle de 2019 qui est venue la modifier, ainsi qu'avec la jurisprudence de la CJUE en la matière. Je fais référence ici à la jurisprudence Pirate Bay.

Comme le pair-à-pair repose sur des interactions entre les personnes physiques ou morales, il se pose alors la question relativement ancienne de l'existence d'un potentiel effet direct horizontal des droits fondamentaux, c'est-à-dire de l'applicabilité directe des droits fondamentaux aux relations entre personnes privées, alors en l'espèce de la privacy, en tout cas.

Les mécanismes de consensus

La blockchain est souvent comparée aux bases de données. Or, l'introduction des mécanismes de consensus fait cesser toute analogie juridiquement pertinente. Le droit des bases de données s'est certes particulièrement bien développé, mais il est difficile de rendre conforme un réseau dans lequel certains nœuds se mettent d'accord pour inscrire une transaction et créer un nouveau bloc. C'est ça le consensus.

En tout cas, avec la preuve de travail ou la preuve d'enjeux, cela n'est pas possible. C'est cependant envisageable avec la preuve d'autorité, puisqu'elle repose sur l'identité des nœuds ou l'identité des participants.


Une fois présentés les enjeux juridiques autour des caractéristiques techniques, je vais passer en revue quelques enjeux autour de ce que je nomme les attributs techniques de la blockchain. Ces derniers sont attachés à la blockchain, mais ils ne le sont pas systématiquement. Leur présence va dépendre du type de blockchain ou de DLT, selon les termes qu'on utilise, et ils présentent tous des enjeux pour la privacy.

Ils sont fréquemment abordés, que ce soit dans la doctrine juridique ou informatique, en tant qu'élément le plus souvent de définition de la blockchain. Je les ai rassemblés en deux catégories.

  • D'abord, les attributs fonctionnels avec notamment l'interopérabilité, les dimensions répliquées, distribuées et décentralisées, en les prenant ensemble, et aussi la scalabilité, c'est-à-dire la capacité à se mettre à l'échelle.
  • Et ensuite, deuxième catégorie, les attributs sécuritaires parmi lesquels se trouvent le niveau de sécurité disponible, c'est-à-dire les algorithmes et les protocoles de chiffrement, l'anonymat, l'immutabilité et l'inaltérabilité prises ensemble, et enfin la traçabilité.

Je manque de temps pour développer tous les enjeux qui entourent ces attributs, mais il est néanmoins possible de constater l'existence d'incompatibilités, au premier abord, avec le RGPD, le DSA, le DMA, les règlements eIDAS et eIDAS 2.0, etc.

Les enjeux juridiques pour la privacy autour des applications potentielles de la blockchain.

Les caractéristiques et attributs cités ci-dessus correspondaient aux enjeux pour la privacy qui étaient intrinsèques à la blockchain, et je vais maintenant aborder les enjeux plutôt extrinsèques à la blockchain. Il y en aura quatre, mais ce n'est pas du tout exhaustif.

Les enjeux juridiques pour la privacy autour de l'identité numérique

L'identité numérique fait l'objet de nombreuses réflexions depuis longtemps. Le droit de l'Union européenne encadre l'identification électronique depuis le règlement eIDAS de 2014 et l'identité numérique depuis le règlement eIDAS 2.0 de 2024, qui a introduit notamment le portefeuille européen d'identité numérique. Ce dernier règlement prévoit des dispositions pour les registres électroniques, référence assez subtile à la blockchain.

Au niveau international, la loi type de la Commission des Nations Unies pour le droit commercial international (CNUDCI) sur l'utilisation et la reconnaissance internationale de la gestion de l'identité et des services de confiance de 2022 reprend pour partie des éléments de la réglementation européenne eIDAS dans ce domaine.

Dans ce contexte, la blockchain a permis un essor assez significatif des réflexions autour d'un concept, celui de la Self-Sovereign Identity (SSI), dont un des articles les plus emblématiques est celui de Christopher Allen en 2016, "The Path to Self-Sovereign Identity".

Christopher Allen présente 10 principes clés que la SSI doit respecter et, pour la plupart, ils font référence volontairement ou non au RGPD, tel que l'accès, le contrôle, la transparence, la portabilité, l'interopérabilité ou encore la minimisation.

En outre, la SSI se combine très bien avec des techniques de preuve à divulgation nulle de connaissance, les zk-SNARK(2), zero knowledge proof, qui permettent de prouver une information sans avoir à la révéler. On peut par exemple prouver la détention d’un diplôme sans fournir le diplôme en question directement, ou prouver la majorité sans fournir la date de naissance et l'âge exact.

L'articulation de la SSI avec la privacy réside alors dans les moyens de garantir ce principe dans un environnement technique où la personne maîtrise ses données, alors même que le droit applicable repose surtout sur une responsabilisation des grands acteurs du numérique.

Les enjeux juridiques sur l'effectivité des droits qui entourent la privacy

La blockchain offre des potentialités en matière d'exercice des droits, comme ceux issus du RGPD : accès, portabilité, rectification, etc. Dans l'Union, la protection des données est en effet tournée vers une approche qualifiable de descendante, c'est-à-dire une approche où les acteurs qu'on considère comme forts, les responsables du traitement, sont les garants de la privacy.

La blockchain invite à repenser cette approche en mettant la personne concernée, physique ou morale, au cœur de sa propre protection. Repenser cette approche, c'est envisager un renouvellement potentiel de l'effectivité des droits en question.

Mais cette idée est cependant à mettre en balance avec une étude américaine sur le "digital privacy paradox", selon laquelle les personnes ont conscience de l'importance de leurs données personnelles, mais elles restent particulièrement enclines à toutes les fournir si cela leur permet d'accéder aux services auxquels elles souhaitent se connecter.

Et ces services en ligne en particulier se développent de plus en plus, au point qu'un nouveau concept a vu le jour, pas directement construit sur la blockchain mais que la blockchain a fortement influencé, qui est l'internet des objets, Internet of Things ou IoT. Ce concept est venu illustrer la numérisation et l'interconnexion de tout objet numérique entre eux et sur internet.

Les enjeux de l'interconnexion des objets numériques

Dans l'Union européenne, le règlement sur les données encadre notamment l'IoT et cherche à faciliter l'accès aux données et à leur utilisation. Il se concentre surtout sur les données à caractère non personnel, alors que l'IoT fait appel à un nombre de plus en plus important de données à caractère personnel.

Or, indépendamment de la blockchain, le droit de l'Union repose sur la libre circulation des données et donc sur une économie numérique tournée vers la donnée. Dans le même temps, l'Union cherche aussi à favoriser l'innovation technologique.

Pour la privacy, cela se traduit par la recherche constante d'un équilibre entre ces différents objectifs et enjeux. En plus du règlement sur les données, le règlement sur la cyber-résilience de 2024 pose des exigences de cybersécurité pour les objets numériques, dont le nombre multiplie les atteintes potentielles à la privacy.

En matière de blockchain, plusieurs rapports ont indiqué qu'elle faisait partie des technologies qui peuvent interagir avec l'IoT, notamment pour, entre guillemets, assurer la confidentialité et la traçabilité des données échangées. C'est notamment dans un rapport de France Stratégie.

Dans cet environnement, la blockchain facilite le développement de l'IoT, notamment grâce aux smart contracts, qui permettent, comme on l'a vu, une automatisation des transactions et assurent dans une certaine mesure la confiance dans ces dernières ainsi que leur intégrité.

Il reste néanmoins que le point de friction principal avec la privacy réside dans l'opposition entre la logique actuelle de protection de ce principe dans l'Union et le rôle particulièrement important joué par la personne dans des solutions blockchain, qui tendent de plus en plus vers la création, à mon sens, d'une forme d'autodétermination informationnelle.

Au titre de l'IoT, il est aussi possible d'aborder l'essor des smart cities, mais je n'aurai pas le temps de développer ce sujet aujourd’hui.

Lié à l'IoT et à la multiplication des services en ligne, la blockchain a aussi une dimension transfrontière particulièrement importante, qui a conduit à l'adoption d'un certain nombre de normes de droit souple.

Et ces enjeux sont aussi accentués par les possibilités d'interconnexion de la blockchain avec des technologies comme l'intelligence artificielle, et ça sera le dernier enjeu de cette partie.

Les enjeux de l'articulation de la blockchain avec d'autres technologies

Au niveau de la normalisation internationale et européenne, la blockchain est de plus en plus prise en considération. Elle fait l'objet de définitions, de normes fournissant des méthodes de sécurité, de confidentialité et d'utilisation facilitée pour un développement au niveau international.

Et il y a également une norme qui prévoit des recommandations pour une gouvernance efficace de cette technologie. Les normes en question sont ISO 22739, ISO TC 307 et ISO TS 23635. Quant à la norme ISO 27001, elle reste la référence en matière de sécurité, de protection de la vie privée et elle est applicable.

Les réflexions sur le sujet de l'articulation de la blockchain avec d'autres technologies telles que l'IA, envisagent d'utiliser la blockchain et les NFTs, les jetons non fongibles, comme moyen de créer une forme d'unicité en ligne, capable d'encadrer les données collectées et exploitées par les IA, et donc quelque part de certifier les données utilisées par l'intelligence artificielle.

Conclusion

Pour conclure, l'articulation entre la blockchain et la privacy repose aussi, et plus généralement, sur des enjeux de conformité.

La blockchain est tantôt considérée comme totalement incompatible avec la privacy, tantôt envisagée comme une solution, un outil au service de cette dernière. C'est le cas avec les réflexions autour du concept de SSI, très lié à l'autodétermination informationnelle.

La blockchain peut également modifier les rôles des acteurs du numérique en faisant évoluer l'approche actuelle de la protection de la privacy pour offrir aux personnes un véritable contrôle effectif sur leurs données, au moins en ligne.

Mais mal utilisée, le fait que la blockchain puisse être décentralisée, répliquée et qu'elle offre une traçabilité importante des transactions, entraîne aussi des risques non négligeables pour la privacy. En ce sens, pour le droit de l'Union européenne en matière de numérique, incarné par le RGPD qui fait office de fer de lance de la protection de la privacy, les défis de l'application de ce texte à la blockchain sont particulièrement nombreux et importants.

Je vous remercie et je laisse maintenant la parole à Margaux Redon-Magloire pour les défis de l'application du RGPD à la blockchain.

(1) DLT signifie Distributed Ledger Technology ou "Technologie de Registre Distribué" en français
(2) Acronyme de zero-knowledge succinct non-interactive argument of knowledge,