En résumé, il suffit de me croire et de comprendre que la Data Privacy reste le raccourcit bien aisé de ceux qui n'ont pas à coeur de se vouloir puristes rhétoriques de notre expertise. Pourtant, je vous mets au DeFI de cadrer les choses sans distinguer cela de la Data Protection, et encore plus dans un contexte Web3. (- Pour lequel je reçois beaucoup DAO).
- Toujours optimiser avec fougue singlante deux phrases d'accroche d'un blog réservé aux vrais "experts". Humour dès le chapeau introductif, à bas le vôtre. Sur ce premier article de l'année écrit en insomnies : j'article 16C en concentrant mes pouvoirs pour vous régaler, régaliens comme régulateurs.
Vous cherchez ma problématique juridique comme à la faculté de droit ? D'accord. Partons sur : L'oeuf des problèmes (non acronyme d'EDPB) est-il né avant le P00L ?
Nombreux juristes s'y accordent éthymologiquement, comme les plus capés (i.e. le CAPA des avocats, elle est trop bien et accessible pour ne pas l'expliquer) d'entre eux, a l'instar des Associés de l'association N.Y.O.B. de notre Max Schrems II-nternational qui le rappellent à chaque Printemps des DPO, ou au moins celui de 2022 :
"La Data Privacy n'est pas la Data Protection."
Tout est dit. J'aimerais m'arrêter là mais je crains de devoir appeler à la plus grande prudence lorsqu'est souhaitée la conformité (ou compliance puisqu'on est tous bilingues au point d'intégrer tous les anglicismes au Larousse) en protection des données (i.e Data Protection) pour les sujets Web3.
Le loup est dans la bergerie. Oui, le terme est lâché en plein contexte introductif. On parle de conformité en protection des données, pas de conformité en vie privée, en français. Accordons-nous. Faisons pareil, en anglais : Appelons un chat, a cat ; un tigre, a tiger. Jusqu'ici encore, la confusion pouvait ravir mettant en avant le caractère louable de la nôble cause - mais louer, c'est toujours moins bien qu'acheter, malgré des taux à 3%. La vie privée, c'est nos données, nous devons les protéger. D'accord, on s'y accordait. Jusqu'au Web3.
En effet, la résistance est de mise sur les technologies minées selon des chaînes de blocs (là, par contre, je ne sais pas s'il faut vraiment mettre tout en français). Ce petit lieu où la filouterie (i.e. blanchiment d'argent, etc) était parfois possible a été fortement régulé en Europe à coup de procédures KYC (i.e. Know Your Customer) et KYT (i.e. Know Your Transaction) obligatoires ou non selon les pays ; et va continuer de l'être avec le Règlement européen MiCA (en fond sonore). La vie privée est alors invoquée également par les défendeurs du Web3 pour ne pas répondre à toutes les obligations légales en protection des données liées à certaines régulations, comme le RGPD.
C'est devenu complexe et sérieux d'un coup : la data privacy est-elle une partie de la data protection, la data protection est-elle une partie de la data privacy et/ou est-ce que la data privacy lorsqu'elle n'est pas complémentaire à la data protection, ne pourrait-elle pas lui devenir antagoniste ? Quoi prévaudra sur quoi et dans quel système ? Allons-nous ressortir le bloc de consitutionnalité et réviser nos cours de droits et libertés fondamentales ? Si vous avez envie, je vous en prie. Envoyez-moi un email à ce sujet. Nous pourrons en débattre doctrinalement, comme Aubry & Rau face aux théories jusnaturalistes du patrimoine allemandes.
Ce qui est certain, c'est que la data privacy va conditionner la poursuite de l'émergence d'Oracles dans le Web3, ces tiers de confiance, faisant écran lors d'une acquisition potentielle d'un crypto-asset (disons un NFT) entre la marque et la société le commercialisant, ne souhaitant pas s'inscrire dans des activités illégales à l'occasion d'un marché primaire et/ou secondaire, et ses potentiels acquéreurs. En pratique, les procédures KYC/KYT s'ajoutent aux autorisations d'un ou plusieurs wallets, après vérification de la provenance traçable des fonds, en amont d'une ouverture de vente, par ce type de tiers de confiance qui n'est pas censé communiquer l'identité des personnes acquéreures. La data privacy pourrait-elle alors faire obstacle aux obligations de la marque vendeuse ayant par exemple la qualité de responsable de traitement RGPD, et des sous-traitants potentiels ? De qui devra être sous-traitant RGPD l'entité oracle ? De la société initiatrice de la vente, d'une plateforme d'exchange ou de l'acquéreur ? Comment cadrer un contrat afférent sur des données de personnes physiques et organiser l'exercice des demandes de droits RGPD entre ces différents acteurs, si la data privacy se veut au premier plan ?
[Suite de l'article réservée aux abonnés]