La Blockchain connaît un engouement impressionnant : transactions financières, règlement des sinistres, smart contrats, sécurisation des diplômes, enregistrement de cadastre… La Blockchain est la solution miracle que l’on attendait sans le savoir, et passer à côté est la faute de goût absolue.

Un colloque intitulé « Blockchain : disruption et opportunités » s’est tenu au Sénat à la fin du mois de mars, où il a été beaucoup question de régulation. Mais réguler n’a de sens que lorsque les enjeux juridiques et les risques du domaine dont on envisage la régulation sont identifiés. Or, pour l’instant, il n’existe aucune vision globale des enjeux juridiques de la Blockchain, pour des raisons assez faciles à comprendre. La première est qu’il faut se plonger dans son fonctionnement technique pour en comprendre les ressorts juridiques, et ce fonctionnement est passablement complexe. La seconde est qu’il n’y a pas d’enjeux qui soient liés de façon générale à la Blockchain. Il y a en revanche des enjeux sectoriels, qui devront être détourés en fonction des domaines dans lesquels vont émerger les applications Blockchain pérennes.

Notons l’introduction dans le code monétaire et financier de dispositions[2] présentées comme permettant d’utiliser une application Blockchain pour l’enregistrement des minibons[3]. Ce dispositif, qui sera régulé via un décret en Conseil d’Etat, n’est pas une véritable Blockchain publique. Mais l’initiative montre bien l’engouement généré par ce nouveau concept, au niveau le plus élevé.

Dans ce qui suit, nous avons poursuivi deux objectifs : le premier est de décoder le fonctionnement de la Blockchain en mettant l’accent sur ses caractéristiques signifiantes au plan juridique. Le second est d’en déduire, de façon non exhaustive et avec toute l’humilité nécessaire lorsqu’on aborde un sujet aussi nouveau, les enjeux qui en découlent, et qui doivent être croisés au cas par cas avec l’application Blockchain envisagée.

LA BLOCKCHAIN : DECODAGE

La Blockchain permet d’établir de façon répartie sur internet un registre infalsifiable et horodaté de transactions.

Le terme de « transaction » doit être largement entendu : dans le cas du bitcoin, première application de la Blockchain, la transaction est un transfert d’argent. Mais ce peut être également un document à sécuriser, comme un diplôme, un cadastre, ou une émission de titres ; ou encore l’exécution d’un contrat dit « smart contrat » lorsque les conditions de production d’un résultat sont remplies : par exemple le règlement d’un sinistre simple en matière d’assurance, ou le fonctionnement d’un objet connecté.

Au bout du compte le résultat est toujours le même : la Blockchain permet de faire des choses qui sont tout à fait réalisables sans la Blockchain, mais de façon différente. Là où le système classique repose sur un acteur central garant de la sécurité, de la datation et de l’intégrité des transactions (un opérateur financier, un état, un assureur, une université…), la Blockchain permet de transférer la tenue du registre vers des acteurs répartis sur le web, sans qu’aucun d’entre eux n’ait la possibilité de falsifier les transactions du registre.

Nous le verrons ci-après, il y a deux sortes de Blockchain : la Blockchain publique, dont l’exemple emblématique est le bitcoin. Et différents types de Blockchain privées, qui ne reprennent que partiellement les caractéristiques de la Blockchain publique. C’est la bonne compréhension des ressorts de ces différentes typologies qui permet d’éclairer leurs enjeux juridiques respectifs.

Les acteurs de la Blockchain

Il y a dans la Blockchain, comme dans tout système encadrant des transactions, deux types d’acteurs : les utilisateurs du système d’une part  ; et ceux qui l’organisent et mettent en place l’infrastructure d’autre part.

• Les utilisateurs

Les utilisateurs sont les mêmes que dans un système classique. D’un côté il y a l’initiateur de la transaction : le débiteur qui paye une somme d’argent, l’université qui enregistre un diplôme, ou l’assureur qui poste un smart contrat pour une couverture de sinistre donnée. Et de l’autre il y a le bénéficiaire de la transaction qui, corrélativement, est le créancier qui reçoit une somme d’argent, l’employeur qui vérifie l’authenticité d’un diplôme, ou l’assuré, qui va percevoir automatiquement un dédommagement en cas de sinistre si les conditions prévues par le smart contrat sont réunies.

• Les organisateurs

Ce sont les organisateurs qui diffèrent fondamentalement du système classique, du moins dans la Blockchain publique.

Dans un système transactionnel classique, le registre des transactions est sous la responsabilité d’un ou de plusieurs acteur(s) identifié(s), de nature publique ou privée, soumis ou non à une réglementation. Ces acteurs « officiels » se portent garants de l’authenticité des transactions en termes de véracité, date et contenu, et l’application qui sous-tend le fonctionnement du système est la plupart du temps composée de systèmes propriétaires.

Dans une Blockchain publique, l’application est diffusée en open source, gage de transparence et d’interopérabilité^[4]. Il s’agit là néanmoins plus d’un choix culturel que d’une nécessité, car une Blockchain pourrait aussi fonctionner sur la base d’une application propriétaire.

C’est du côté de l’infrastructure informatique que se révèle l’originalité fondamentale de la Blockchain publique. Elle se compose de serveurs gérés par des « mineurs », répartis sur des noeuds internet, qui chacun mettent à disposition du système une certaine puissance de calcul pour faire tourner l’application et conserver tout ou partie des registres sécurisés. Les mineurs sont indépendants – mais rémunérés pour leur travail, et n’ont en commun que le fait de participer à une même Blockchain. Il faut en effet rappeler que l’algorithme mis en œuvre par la Blockchain consiste à résoudre le problème de la trahison d’un petit nombre au sein d’un groupe d’individus. La Blockchain est une version très aboutie d’un système à tolérance de faute dans une architecture distribuée^[5] : elle part du principe que chaque nœud ne peut faire confiance à ce qu’il reçoit sur le réseau et doit déterminer lui-même de façon indépendante les informations qu’il reçoit avant de les utiliser et les intégrer dans le registre.

Le fonctionnement d’une application Blockchain^[6]

Chaque nœud du réseau (un nœud étant entendu comme une unité de calcul gérée par un ou plusieurs mineurs) reçoit en permanence des messages, dont certains proposent de nouvelles transactions à ajouter à la Blockchain.

Dès lors qu’une transaction est initialisée, elle est transmise via internet aux mineurs, sous la forme d’une requête signée avec la clé privée^[7] de l’émetteur de la transaction.

A réception d’une transaction, l’application Blockchain installée sur le serveur d’un mineur en vérifie tout d’abord la validité : vérification de la clé privée et, par exemple s’il s’agit du paiement d’une somme d’argent, vérification que l’initiateur du paiement dispose de suffisamment d’argent sur son compte.

L’application réalise ensuite une empreinte mathématique comprenant la transaction, le numéro du bloc précédent dans la Blockchain, et un petit fichier appelé « proof of work » qui mesure la quantité de travail utilisée par le mineur pour réaliser l’opération. Cette empreinte correspond de façon unique à la transaction^[8].

Sachant que tous les nœuds du réseau effectuent ce même travail en parallèle, il va falloir choisir le « meilleur » résultat aux fins de l’intégrer dans la Blockchain retenue au final. Nous ne rentrerons pas dans le détail technique de ce processus complexe qui vise à éliminer de manière itérative les blocs ou les résultats défectueux, de façon à ne retenir au final qu’un seul registre Blockchain validé, qui est diffusé à tous les nœuds du réseau pour servir de base à l’intégration de la prochaine transaction.

Les mineurs sont rémunérés, par exemple en bitcoins (qui peuvent être changés en monnaie officielle sur des plateformes d’échanges).

Tant la technique de sécurisation des blocs par cryptage successif que celle de l’exploitation d’un réseau distribué pour réaliser les calculs sont connues. Ce qui est nouveau et inventif est la façon dont ces deux techniques sont agencées, sachant que le concept est libre : nul ne sait qui se cache derrière le mystérieux Dorian Satoshi Nakamoto, à l’origine du bitcoin en 2008, et le code de l’application a été diffusé en libre et ne peut être l’objet d’aucune appropriation privative.

Le paradoxe des limites de la Blockchain

La Blockchain connaît deux limites.

• La lenteur

Sur des applications de type financier, la Blockchain est trop lente pour concurrencer valablement les systèmes monétaires actuels. Là où la Blockchain bitcoin gère moins de 10 transactions par seconde, les marchés financiers attendent des cadences de dizaines de milliers d’opérations dans le même temps. Pour autant, des banques ont lancé des expérimentations de  Blockchain privées, qui pourraient contourner cet écueil et servir certaines applications de façon plus efficace qu’un système centralisé.

• Le risque de fraude

Une application de Blockchain est d’autant plus sécurisée que les mineurs indépendants sont nombreux, créant dans le réseau un mécanisme d’autocontrôle difficile à contourner par quelques individus qui tenteraient d’y introduire des transactions frauduleuses. Dans l’état actuel de la technique, et cela s’est vérifié lors d’une tentative de fraude au bitcoin il y a quelques années, une application Blockchain comportant un nombre élevé de mineurs est quasi infalsifiable. Une application Blockchain reposant sur un réseau peu important de mineurs serait en revanche assez facilement corruptible, ce qui constitue la faiblesse intrinsèque des Blockchain privées où le système de minage fonctionne sur peu de serveurs.

• Le paradoxe

Ces deux limites s’équilibrent en un paradoxe étonnant : plus une blockchain est ouverte et comporte un grand nombre de mineurs indépendants, plus elle est lente et plus elle est sécure. Au contraire, une Blockchain privée pourra être plus rapide, mais l’argument de la confiance par l’autocontrôle y sera sujet à caution.

Ce rapide tour d’horizon de la technique de la Blockchain nous permet maintenant d’aborder les enjeux qui s’y dessinent.

LA BLOCKCHAIN NE COMPORTE PAS NATIVEMENT DE FONCTION D’AUTHENTIFICATION

De nombreuses applications envisagées pour la Blockchain supposent que l’identité de l’initiateur de la transaction soit connue : l’Université qui poste un diplôme, le propriétaire qui sécurise un cadastre, les parties à un smart contrat, ou l’émetteur d’un minibon doivent être dûment identifiés pour conférer une valeur juridique à l’opération considérée.

Mais nativement, la Blockchain ne comporte aucune fonction d’authentification, même si la transaction est signée avec la clé privée de l’émetteur : une clé privée n’a en effet un rôle identifiant que si elle a été distribuée par un service de confiance ayant préalablement vérifié l’identité réelle de son possesseur.

e-IDENTIFICATION ET BLOCKCHAIN PUBLIQUE

Dans les applications actuelles de transaction à distance, l’e-identification résulte d’un faisceau d’indices collectés par internet : titre d’identité, justificatif de domicile, bulletin de salaire, etc.  C’est au fournisseur du e-service (banque, assurance, administration, etc.) d’assurer la confidentialité et la sécurité des données personnelles collectées pour s’assurer de l’identité des utilisateurs, dans le cadre d’une réglementation très stricte : aujourd’hui en France la loi Informatique et libertés[9], demain en Europe la GDPR[10].

La GDPR impose à tout acteur qui traite de la donnée personnelle, qu’il soit responsable ou sous-traitant technique, d’être en mesure garantir la sécurité des données personnelles au travers d’analyses d’impact dès lors qu’un volume important de données est traité[11]. Et il est interdit de transférer des données personnelles en dehors de l’Union européenne, sauf si certaines conditions sont remplies.

On voit tout de suite que dans une Blockchain publique, où les mineurs sont indépendants et répartis de façon aléatoire sur le globe, il est impossible de fournir de telles garanties. Il s’en infère que dans une Blockchain publique, la gestion de l’identification des utilisateurs doit résulter d’un processus indépendant de la Blockchain elle-même. Cela ne pose pas de difficulté insurmontable, sachant qu’on voit apparaître sur le marché un certain nombre de fournisseurs d’e-identité qui, par des moyens divers, proposent des processus d’identification relativement fiables aux entreprises publiques ou privées qui ont besoin d’e-identifier leurs utilisateurs sans que la donnée d’identification soit gérée par les entreprises en question, ce qui répondrait assez bien à la question[12].

Il en va différemment dans une Blockchain privée, où l’on peut contraindre chaque acteur au respect de la réglementation dans un cadre contractuel préétabli.

LA CONFIDENTIALITE DES DONNEES CONTENUES DANS LES TRANSACTIONS

Se pose également la question de la confidentialité des données personnelles contenues dans le registre Blockchain : diplôme, données financières, indications d’ordre personnel diverses. Une Blockchain publique, où le registre est ouvert et consultable, paraît peu compatible avec la majeure partie des applications actuellement envisagées.

Il peut en être autrement dans une Blockchain privée, où la garantie de confidentialité devra être abordée au cas par cas avec des moyens adaptés qui sont par ailleurs tout à fait classiques : contrôle d’accès et cryptage par exemple.

A cet égard, on retrouvera en partie la problématique connue de la localisation et du contrôle des applications cloud qui, avec la maturité du marché, a fini par trouver des solutions relativement claires.

LE CONTRÔLE DE L’APPLICATION

La question du contrôle de l’application n’est pas anodine, car pour pouvoir faire confiance au système, encore faut-il être certain que l’application ne comporte pas de back doors permettant d’en prendre le contrôle à un moment donné, ou de détourner le système à des fins frauduleuses.

Cette question est correctement adressée dès lors que le code de l’application est en open source, permettant de facto son contrôle par la communauté des développeurs. IBM l’a bien compris avec son projet Open Ledger, qui est une librairie de développement en open source qui permet de développer sa propre Blockchain, dans un cadre qui serait semi propriétaire et semi ouvert.

Il est par ailleurs intéressant de noter que la Blockchain a d’ores et déjà fait l’objet d’une proposition du comité australien de l’ISO pour normaliser un nouveau domaine d’activité intitulé « Technologies de blockchain et technologies distribuées de traces et d’enregistrement des transactions associées », en vue d’assurer l’interopérabilité des futures applications Blockchain.

BLOCKCHAIN PUBLIQUE ET BLOCKCLAIN(S) PRIVEE(S)

Derrière le concept vendeur de « Blockchain » se cachent des réalités qui peuvent être substantiellement éloignées de la Blockchain  publique, libre et universelle, conçue par le créateur du bitcoin.

Il y a des Blockchain qui n’en sont tout simplement pas, parce qu’il n’y a pas de mineurs, ou plus exactement il n’y en a qu’un, qui contrôle l’application et gère un registre sécurisé en utilisant la technique de chaînage cryptographique décrite plus haut. Il s’agit là d’un procédé connu depuis longtemps, utilisé dans certains systèmes d’archivage électronique pour sécuriser les enregistrements, et parler de Blockchain dans cette situation relève de l’artifice marketing le plus complet.

Parmi les Blockchain privées, il y a plusieurs déclinaisons en fonction de la façon dont le contrôle du système est réparti entre ses utilisateurs, les mineurs, et l’organisateur de la Blockchain. Dans certaines Blockchain, quelques utilisateurs peuvent être également mineurs, utilisant leurs propres ressources informatiques, créant une sorte de collectif autogéré mais privé. Dans d’autres les mineurs seront sous le seul contrôle de l’organisateur et utiliseront ses moyens, se rapprochant beaucoup d’un système centralisé. Et il y aura entre les deux de nombreuses variantes positionnant le curseur du contrôle de l’organisateur du plus faible au plus fort.

On le voit, bien, le contrôle et la régulation de la Blockchain publique sont non seulement difficiles, mais incompatibles avec la nature même du concept. Au contraire dans les Blockchain privées, il sera possible d’imposer aux acteurs des obligations juridiques au travers des conditions générales d’utilisation de l’application. Ce sera le cas de l’application minibons que nous mentionnions au début de cette note, qui n’est pas une Blockchain publique puisque c’est entre les seuls acteurs du financement (sociétés emprunteuses et prêteurs) que se répartira la tenue du registre, selon des modalités qui seront définies par décret.

Cela pose évidemment des questions : y aura-t-il assez de mineurs pour que le dispositif soit infalsifiable ? et quel intérêt réel ce système de Blockchain privée présente-t-il par rapport à la tenue du registre par un tiers de confiance ?

Il est trop tôt pour y répondre.

La Blockchain, qu’elle soit publique ou privée, présente des potentialités importantes. Une fois l’effet de mode apaisé, la loi du marché fera elle-même le tri entre ce qui marche et ce qui ne marche pas, une régulation se mettra en place sur les secteurs qui ne pourront pas y échapper, et un marché parallèle et obscur se créera, exactement comme pour l’internet. Exactement comme pour toute activité humaine, à vrai dire.