Retour au blog
Actualites

Lignes directrices du CEPD sur la blockchain et le RGPD : ce que ça change pour vos preuves numériques

Le 8 juillet 2026, le Comité européen de la protection des données a adopté la version finale de ses lignes directrices sur la blockchain et le RGPD. On décrypte les recommandations et ce qu'elles impliquent pour l'horodatage et la preuve numérique.

8 min de lecture
Lignes directrices du CEPD sur la blockchain et le RGPD : ce que ça change pour vos preuves numériques

Le 8 juillet 2026, le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices sur le traitement de données personnelles au moyen des technologies blockchain. Le texte était attendu : depuis l'essor des registres distribués, une question revenait sans réponse claire : comment concilier une base de données conçue pour être immuable avec un règlement qui consacre le droit à l'effacement ?

Pour toute personne qui utilise la blockchain à des fins de preuve (horodatage, ancrage d'antériorité, archivage vérifiable), ces lignes directrices méritent une lecture attentive. Elles ne condamnent pas la technologie. Elles tracent une ligne nette entre un usage risqué et un usage maîtrisé. Et cette ligne recoupe précisément la manière dont un horodatage bien conçu fonctionne.

Ce que le CEPD a réellement adopté

Le CEPD (EDPB en anglais) est l'organe qui réunit les autorités de protection des données de l'Union, dont la CNIL. Ses lignes directrices ne sont pas un règlement, mais elles font autorité : les régulateurs nationaux s'y réfèrent pour apprécier la conformité d'un traitement.

Le document, intitulé Guidelines 02/2025 on processing of personal data through blockchain technologies, explique d'abord le fonctionnement des différentes architectures (publiques, privées, avec ou sans permission), puis en tire les conséquences au regard du Règlement général sur la protection des données.

Trois messages structurent le texte.

Message 1 : ne mettez pas de données personnelles sur la chaîne

C'est la recommandation la plus directe. Le CEPD écrit qu'« en général, il n'est pas conseillé de stocker des données personnelles sur la blockchain, et elles ne devraient pas figurer dans le contenu des transactions ».

La raison est technique autant que juridique. Une blockchain est append-only : on ajoute, on n'efface pas. Cette propriété, qui fait sa force pour la preuve, entre frontalement en conflit avec deux droits garantis par le RGPD :

  • le droit à l'effacement (article 17),
  • le droit à la rectification (article 16).

Comme le note le CEPD, « la nature append-only et en croissance continue d'une blockchain met à l'épreuve le principe de minimisation des données », d'autant que la donnée est répliquée sur de nombreux nœuds. On ne peut pas promettre à une personne l'effacement de ses données si celles-ci sont inscrites sur des milliers de copies immuables.

Message 2 : n'ancrez qu'un engagement cryptographique

Puisque la donnée elle-même ne doit pas figurer sur la chaîne, que peut-on y publier ? Le CEPD répond : un engagement cryptographique (cryptographic commitment), c'est-à-dire une empreinte qui représente la donnée sans la révéler.

Le texte est explicite. Il recommande de « protéger la confidentialité des données d'origine en ne plaçant que l'engagement sur la chaîne, tout en conservant les données d'origine hors chaîne (off-chain). Cela permet d'utiliser la blockchain pour prouver l'intégrité de l'engagement. »

Concrètement, cela décrit exactement le mécanisme d'un horodatage par empreinte : on calcule le hash SHA-256 d'un fichier, on ancre ce hash, et le fichier reste chez son propriétaire. La chaîne sert à prouver qu'une empreinte existait à une date donnée, pas à stocker un contenu.

i
Empreinte, engagement, hash : de quoi parle-t-on ?

Un hash SHA-256 est une fonction à sens unique : à partir d'un fichier, elle produit une empreinte de taille fixe, impossible à inverser pour reconstituer le fichier. Le CEPD mentionne aussi les fonctions de dérivation de clé et les HMAC comme autres moyens de protéger la confidentialité de la donnée d'origine. Le point commun : la chaîne ne voit jamais le contenu réel.

Message 3 : justifiez le recours à la blockchain, et documentez-le

Le troisième axe est une exigence de méthode. Le CEPD rappelle que « le choix de cette technologie parmi d'autres doit respecter le principe de nécessité inscrit dans le RGPD » et qu'« il est donc important de documenter pourquoi elle a été choisie ».

Cette évaluation doit, le cas échéant, figurer dans une analyse d'impact relative à la protection des données (DPIA, article 35 du RGPD). Le responsable de traitement doit pouvoir répondre à des questions simples : la donnée inscrite contient-elle des informations personnelles ? Le niveau de publicité de la chaîne est-il justifié ? Les risques pour les personnes ont-ils été traités ?

Ce que ça prouve, ce que ça ne prouve pas

Il faut se garder d'une lecture trop enthousiaste. Ces lignes directrices ne déclarent pas que « la blockchain est conforme au RGPD ». Elles disent l'inverse : la blockchain crée des risques spécifiques, qu'il faut neutraliser par une architecture prudente.

Deux nuances méritent d'être rappelées.

!
Une empreinte peut rester une donnée personnelle

Selon le contexte, l'empreinte d'un contenu à caractère personnel peut elle-même être qualifiée de donnée personnelle. Le hash d'un fichier anodin présente un risque très faible ; celui d'un document nominatif sensible mérite une analyse dédiée. L'ancrage d'une empreinte réduit fortement l'exposition, il ne l'annule pas mécaniquement dans tous les cas.

Par ailleurs, se conformer à la logique du CEPD sur l'ancrage ne suffit pas à couvrir l'ensemble des obligations RGPD (information des personnes, base légale, durée de conservation des données off-chain, sécurité). L'horodatage traite le maillon « intégrité et antériorité » ; il ne dispense pas d'une conformité globale.

Et LegalStamp dans tout ça ?

L'architecture de LegalStamp correspond point par point à ce que le CEPD recommande.

  • Le hash SHA-256 est calculé localement dans votre navigateur : le fichier ne quitte jamais votre machine, seul le hash est transmis. Les données d'origine restent off-chain, par conception.
  • Seule cette empreinte est ancrée sur la blockchain Bitcoin, via OpenTimestamps. La chaîne ne reçoit ni le contenu, ni un identifiant nominatif, uniquement un engagement cryptographique, exactement l'usage décrit par le CEPD.
  • Le reçu produit sert à prouver l'intégrité et l'antériorité de l'empreinte, pas à conserver une donnée personnelle.

Autrement dit, la privacy by design que nous appliquons depuis le début n'était pas un argument marketing : c'est la manière dont un ancrage blockchain doit être construit pour rester compatible avec le RGPD. Vous pouvez vérifier ce fonctionnement sur notre page comment ça marche et lire notre politique de confidentialité.

Il reste une honnêteté à maintenir : LegalStamp est un service d'horodatage non qualifié au sens d'eIDAS. L'article 41(1) du règlement eIDAS interdit d'écarter un horodatage au seul motif qu'il n'est pas qualifié, mais la fiabilité du procédé s'apprécie au cas par cas par le juge.

Un horodatage pensé pour ne rien exposer

Le fichier reste sur votre machine, seule l'empreinte est ancrée. Testez la mécanique sans carte bancaire, 3 horodatages par mois. Essayer gratuitement →

Conclusion

Les lignes directrices du CEPD du 8 juillet 2026 clarifient un débat qui traînait : la blockchain n'est pas incompatible avec le RGPD, à condition de ne jamais y inscrire de données personnelles et de se contenter d'ancrer une empreinte, les données restant hors chaîne. C'est la définition même d'un horodatage par hash.

Pour les responsables de traitement, le message pratique est simple : distinguez la preuve d'intégrité (une empreinte suffit) de la conservation d'un contenu (qui n'a rien à faire sur une chaîne publique). Bien menée, cette distinction transforme une source de risque en outil de conformité.

FAQ

Adoptées le 8 juillet 2026, elles rappellent qu'il n'est en général pas conseillé de stocker des données personnelles sur une blockchain, et qu'elles ne devraient pas figurer dans le contenu des transactions. Le CEPD recommande de ne placer sur la chaîne qu'un engagement cryptographique (commitment) ou une empreinte, en conservant les données d'origine hors chaîne (off-chain).
Il peut l'être, à condition de ne jamais inscrire de données personnelles sur la chaîne. Un service qui n'ancre qu'une empreinte SHA-256 calculée localement, sans transmettre le fichier ni son contenu, s'inscrit dans la logique recommandée par le CEPD : seul un engagement cryptographique est publié, la donnée reste off-chain.
Selon le contexte, l'empreinte d'un contenu personnel peut elle-même être considérée comme une donnée à caractère personnel. C'est pourquoi le CEPD insiste sur l'analyse au cas par cas. Un hash SHA-256 d'un fichier non nominatif présente un risque très faible, mais l'horodatage ne dispense jamais d'une analyse de conformité globale.
C'est la principale tension identifiée par le CEPD : le caractère append-only d'une blockchain se heurte au droit à l'effacement et à la rectification. La réponse recommandée est de ne pas mettre de donnée personnelle sur la chaîne en premier lieu, mais seulement une empreinte, et de conserver les données modifiables ou effaçables hors chaîne.
Le CEPD demande d'évaluer la nécessité même de recourir à une blockchain et d'intégrer cette évaluation dans une analyse d'impact relative à la protection des données (DPIA) lorsqu'elle est requise. Le responsable de traitement doit documenter pourquoi la technologie a été choisie et comment les risques sont maîtrisés.
Oui pour le volet blockchain : la consultation publique est close et la version finale a été adoptée le 8 juillet 2026. En revanche, les lignes directrices publiées le même jour sur l'anonymisation et le moissonnage de données pour l'IA générative restent, elles, ouvertes à consultation.

Disclaimer : cet article est fourni à titre informatif et pédagogique. Il ne constitue pas un avis juridique. Pour évaluer la conformité RGPD d'un traitement recourant à la blockchain, faites valider votre analyse par un professionnel du droit ou votre délégué à la protection des données.

Jeremy

Jeremy

Fondateur de LegalStamp, passionne par la blockchain et la protection des creations.

Partager :

Articlés similaires

Prêt a protéger vos créations ?

Créez votre première preuve d'antériorité gratuitement en moins de 30 secondes.