La blockchain au service du droit pénal

« Colloque Blockchain et droit » Université de Brasilia, avril 2019

 

 

A priori. Le droit en général, et le droit pénal en particulier, semblent pour le moins rétifs à la nouveauté. Art de la tradition, de la normalisation et du raisonnement formel, le droit goûte peu les innovations qu’il n’initie pas. La régulation a posteriori ne manque de révéler que les juristes n’ont pas vu survenir la nouveauté ; ils n’ont su que réagir… et encore, souvent trop tard.

A cet égard, il est parfois gênant, bien que tentant, de simuler selon le bon mot de Cocteau : « Puisque ces mystères nous dépassent, feignons d’en être l’organisateur ». L’innovation, la nouveauté comportent des risques et nous avions pu écrire il y a quelques années que «  l’aversion du droit pénal au risque semble évidente ». La technique de la blockchain pourrait participer d’un mouvement similaire si ce n’est identique. Cette architecture informatique de haut vol est en effet entrée dans le quotidien des mortels à travers un de ses plus effrayants totems : la cryptomonnaie dénommée Bitcoin. Il n’en fallait sans doute pas plus pour que mythes et légendes[1] se mettent à circuler. Du darknet où s’échangent armes et drogues, au financement du terrorisme, le Bitcoin devenait le mot valise permettant de fédérer toutes les peurs ou presque. Peu important que certains pays envisagent de systématiser la blockchain peu important encore que cette technologie de l’information permette d’assurer une traçabilité quasi parfaite des transactions. Si la Russie a de facto criminalisé son usage, c’est bien la preuve que le bitcoin est le suppôt du mal ou à tout le moins un avatar mal dégrossi. Une étude sud-coréeene démontrait en octobre 2016, que le bitcoin absorbait 80% de la recherche portant sur la blockchain[2]. Qu’en est-il plus de deux après cette étude ?

A posteriori. Il faut se féliciter que, derrière les discours, les réalités voire les pratiques juridiques témoignent d’une approche plus sereine de la blockchain. Les juristes ont en effet rapidement vite perçu les enjeux. Intérêts et dangers sont relativement faciles à cerner une fois la technique dévoilée. Sans être codeur, sans être diplômé en mathématiques ou en informatique, une blockchain est une construction susceptible d’être comprise[3].

De quoi s’agit-il techniquement ? On appelle blockchain un système décentralisé d’informations distribuées. Ou plus précisément, une base de données distribuée, les informations étant stockées à intervalles réguliers en blocs. L’ensemble forme une chaîne (de blocs) horodatée et sécurisée au moyen de procédés de cryptographie. Or, une information n’a de valeur que si chacun peut s’assurer de sa véracité. Pour ce faire, habituellement les procédés de stockage de données passent par un tiers de confiance habilité à certifier l’information. Cet organe au centre du réseau distribue les informations et, a pour mission de les authentifier. Ceci permet aux membres du réseau d’avoir confiance en l’information.

La blockchain a pour idée d’effacer le tiers de confiance puisque l’architecture ne comporte pas de centre. La confiance est donc localisée ailleurs. En réalité elle repose sur deux idées simples à comprendre. Chaque membre du réseau conserve par devers lui une copie de la chaine de blocs – chacun est donc à même de voir ce qui se passe sur le réseau partagé. En outre chaque opération est codée et cryptée afin de résoudre une épreuve de consensus. Il faut s’assurer en effet que l’opération enregistrée n’est pas une information erronée ou malveillante. La confiance en la chaine suppose qu’elle ne conserve que des infirmations de qualité. La cryptographie algorithmique permet de résoudre ce que l’on appelle le problème des généraux byzantins[4] : comment traiter une information dont la fiabilité peut être remise en question ? La vérification de l’information stockée ne repose donc pas sur un organe central en qui l’on a confiance, mais sur l’architecture informatique, la chaine de blocs. Plus elle est informatiquement sécurisée, moins donc elle s’expose à des bugs ou des hacks, plus la confiance est grande.

On s’aperçoit immédiatement que les vecteurs de la confiance ne sont pas ceux que le structures habituelles mobilisent. La confiance en un système dématérialisé bancaire tient au fait que les établissements bancaires sont anciens et contrôlés par des organismes de régulation. Le spectre du contrôle étatique rassure au-delà même de l’historicité de l’établissement. Dans une blockchain, la technique fait la force. Mais cette technique n’est pas aisée à percevoir, et encore moins à comprendre. La hash cryptographique faisant consensus par preuve de travail ou de participation n’est pas à la portée de tous. La confiance peut donc ici être aussi volatile que le cours d’une cryptomonnaie construite sur une chaine de blocs distribués.

Crédulité, monnaie, transactions, cryptographie et secret… la combinaison de ces facteurs n’est pas à même de rassurer… un pénaliste. Et pourtant…

Évidemment, une chaine de blocs peut en premier lieu faire l’objet d’attaques et les incriminations protégeant les STAD peuvent évidemment constituer le premier rempart répressif. Pareillement, les blockchains peuvent, en raison de leur structure même, être le champ d’une délinquance nouvelle ou presque.

Il faut néanmoins dépasser le cliché, « l’hypothèse répressive » dirait Foucault. La blockchain peut être aisément investie par un pouvoir qui norme et qui désire acquérir du savoir. On sait en effet depuis longtemps, que l’exercice du pouvoir comporte toujours une volonté de savoir. Le droit pénal n’est pas que répressif. Il agit également positivement. Il oriente, vectorise, priorise, et cherche à collecter un savoir sur la population normée : « les mesures punitives ne sont pas simplement des mécanismes « négatifs » qui permettent de réprimer, d’empêcher, d’exclure, de supprimer; mais (…) sont liées à toute une série d’effets positifs et utiles qu’elles ont pour charge de soutenir » (Surveiller et Punir, S&P, Gallimard, 1993 p. 29)[5].

Ce savoir peut être collecté puis traité dans un but plus ou moins orienté. Si l’idée consiste à punir pour savoir et/ou à savoir pour prévenir, la réalité invite davantage à voir en l’information, et son traitement, un moyen de faciliter le contrôle du respect de la norme. Plus précisément, une donnée bien traitée permet d’identifier plus facilement un comportement délinquant et son auteur. La blockchain, par sa distribution et sa sécurité, peut ainsi constituer une réponse au traitement de certaines données permettant de renseigner sur le crime ou le criminel.

Bref si le droit pénal peut être au service de la blockchain en incriminant et en permettant la poursuite d’infractions commises à l’encontre ou au moyen de chaines de blocs, cette technique peut également servir à la diffusion d’informations sur le crime ou les criminels.

Le droit en général, et le droit pénal en particulier, aime assez peu les innovations qu’il n’initie pas, ne serait-ce que parce que le principe de légalité des délits et des peines, principe cardinal en droit pénal, s’accommode mal de ces évolutions qui lui échappe.

Pourtant, le droit pénal ne pouvait rester sans réagir face à la technique de la blockchain.

On sait que cette architecture informatique de haut vol est entrée dans le quotidien à travers l’un de ses plus totems les plus connus : la cryptomonnaie dénommée Bitcoin.

Face à la nouveauté, mythes et légendes se mettent à circuler. De l’achat d’armes et de drogues sur darkn, au financement du terrorisme, le Bitcoin fédère les peurs et les techno-scepticismes.

De plus, le développement de l’utilisation de la blockchain, dans des secteurs de plus en plus nombreux et de plus en plus diversifiés, a conduit à faire de ces différents outils des cibles potentielles et intéressantes pour les cybercriminels, mais aussi des outils.

Une chaine de blocs peut faire l’objet de cyber-attaques et les incriminations protégeant les systèmes de traitement automatisés des données constituent alors un premier rempart répressif.

Pareillement, les blockchains peuvent, en raison de leur structure même, être le champ d’une cyberdélinquance nouvelle ou presque et l’on voit ici à nouveau l’enjeu pour le droit pénal.

faudra néanmoins dépasser le cliché selon lequel le droit pénal ne ferait que réprimer des comportements déviants ; il faut aller au-delà de « l’hypothèse répressive » dirait Foucault.

La blockchain peut être également investie par un pouvoir qui désire acquérir du savoir. Le droit peut en d’autres termes agir positivement en tentant de mobiliser les possibilités offertes par la blockchain.

Ce savoir peut être collecté puis traité dans un but plus ou moins orienté. .

 

La blockchain au service du droit pénal

 

« A côté de la grande technologie des lunettes, des lentilles,

des faisceaux lumineux qui a fait corps avec la fondation de la physique

et de la cosmologie nouvelles, il y a eu les petites techniques des surveillances multiples

et entrecroisées,  des regards qui doivent voir sans être vus ;

un art obscur de la lumière et du visible a préparé en sourdine

un savoir nouveau sur l’homme » (S&P, p. 173).

 

Un art obscur de la lumière et du visible. Il s’agit ici de se détacher de « l’hypothèse répressive » pure : le droit ici n’est pas seulement celui qui censure, qui empêche, qui restreint. Il n’est plus une pure négativité, mais bien plutôt une instance positive, qui doit également majorer, administrer, gérer, organiser les forces sociales en présence, en vue de leur conférer une disposition maîtrisable. (M. Foucault, Histoire de la sexualité, T.1,  La volonté de savoir, Gallimard,1994, p. 180) La blockchain fait certes l’objet d’une hypothèse répressive, on vient de le voir. Mais l’approche peut être positive. Le but est de produire un savoir qui peut avoir un double objet : les criminels et les crimes. La blockchain par sa technique à part permet au droit de jouer sa partition sur une tonalité différente, par le biais de la prévention.

       A – Distribuer un savoir sur les criminels

Le pouvoir-savoir. Difficile voire impossible de nier l’importance des fichiers de police et de justice. Le cas de la Franc est symptomatique. La volonté de constituer un savoir exhaustif sur les criminels et leur pédigrée va de pair avec un pouvoir fort cherchant au début du XIXème siècle à imposer une nouvelle pénalité. Il s’agit à travers le système carcéral à la fois d’imposer une discipline correctrice, et de prélever un savoir sur les criminels.

La logique de surveillance mise en place au début du XIXème siècle connaissait en la prison son modèle parfait. Le « carcéral » vise en effet « une « âme » à connaître et un assujettissement à maintenir » (S§P, p. 302).

Cette surveillance nécessite au demeurant un registre : disposer d’une information est une chose. La traiter et la mobiliser en sont une autre. Les fichiers et les casiers sont donc rapidement devenus indispensables. Si ce n’est plus le crime que l’on punit, mais plutôt le criminel (mérite de l’individualisation) alors faut-il connaître l’individu.

Son passé, son comportement, sa vie… Le contrôle et la surveillance, que l’exercice du pouvoir permet dans l’archipel carcéral, exigent registres et informations.

La blockchain pourrait utilement remplir cette mission. Par sa sécurité, par sa distribution instantanée, elle permettrait à tout maillon de la chaîne pénale d’avoir accès à la généalogie d’un mis en cause[6]. La blockchain présente toutefois rapidement ses limites. L’appareil juridico-policier ne pourrait abandonner la centralisation de l’information. Détenir c’est avoir le pouvoir ; la centralisation de l’information, son traitement harmonisé exigent un tiers certificateur qui organise et maîtrise le réseau en amont. Ce que l’on appelle le casier européen en témoigne.

ECRIS. Sur le territoire de l’Union européenne, la libre circulation des personnes s’est irrémédiablement accompagnée d’une libre circulation des criminels. Ces derniers ont longtemps profité de l’absence de communication entre les autorités judiciaires des Etats-membres pour s’établir et commettre d’autres infractions dans un pays voisin. Est donc apparue la nécessité d’un échange d’informations inscrites sur les registres des casiers judiciaires, qui s’est très récemment concrétisée par l’introduction d’une communication intra-communautaire automatisée de ces informations. Le système européen d’information sur les casiers judiciaires (ECRIS), instauré par la décision du conseil du 6 avril 2009, ne constitue pas une interconnexion à proprement parler. L’ECRIS est un système fondé sur une architecture informatique décentralisée, dans la mesure où les casiers judiciaires demeurent exclusivement conservés dans des bases de données gérées par les États membres.

Les acteurs principaux de cet échange sont les autorités centrales désignées par chaque Etat membre.

Ces autorités interviennent dans deux hypothèses :

• soit à l’issue de la condamnation d’un ressortissant étranger,
• soit au cours de la procédure pénale, aux fins d’informations sur d’éventuelles condamnations antérieures.

La première hypothèse résulte d’une obligation d’information à la charge de « l’Etat membre de condamnation »  : l’autorité centrale de ce dernier a l’obligation d’informer « le plus tôt possible » l’autorité centrale de l’État membre d’origine de l’inscription de la condamnation de son ressortissant au casier judiciaire national.

La seconde hypothèse quant à elle, découle d’une possibilité de demande d’informations extraites du casier judiciaire de l’Etat d’origine  : au cours de la procédure pénale, l’autorité centrale adresse cette  demande à l’autorité centrale de l’Etat d’origine, qui doit ensuite transmettre à l’Etat requérant les informations concernant toutes les condamnations inscrites sur le casier judiciaire, à savoir non seulement celles prononcées dans cet Etat d’origine, mais aussi celles prononcées par d’autres Etats-membres ainsi que celles prononcées par un Etat tiers, lorsqu’elles ont été transmises à l’autorité centrale de nationalité.

Le système est décentralisé car comme le précise le texte : « La présente décision n’a pas pour objet de créer une base de données centralisée relative aux casiers judiciaires. Toutes les données issues des casiers judiciaires sont conservées exclusivement dans des bases de données gérées par les États membres ».

Le système ECRIS est opérationnel depuis avril 2012 et donne la possibilité aux autorités d’un État membre gérant les casiers judiciaires d’obtenir des informations complètes sur les condamnations antérieures prononcées à l’encontre d’un ressortissant de l’UE auprès de l’État membre de nationalité de la personne en question. Si, fin 2012, 300 000 messages avaient été échangés par tous les États membres interconnectés, ce nombre a atteint près de 2 millions en 2016, avec en moyenne 165 000 messages par mois[7].

Évolution : ECRIS-RPT. Bien qu’il soit possible de procéder, via l’ECRIS, à des échanges d’informations sur les condamnations pénales prononcées à l’encontre de ressortissants de pays tiers et de personnes apatrides (RPT), aucune procédure ni aucun mécanisme ne permet d’effectuer cet échange de manière efficiente. Les études menées par l’Europe démontrent que les États membres hésitent à utiliser le système actuel pour les RPT. Cela tient au fait que les États membres qui souhaitent obtenir de telles informations doivent envoyer des demandes «générales» à tous les États membres, et notamment à ceux (majoritaires) qui ne détiennent pas les informations demandées. Il a été estimé que la charge administrative entraînée par l’obligation de répondre aux demandes «générales» serait l’aspect le plus coûteux (le montant correspondant pouvant aller jusqu’à 78 millions d’EUR, selon les estimations) des activités liées à l’ECRIS, si les États membres envoyaient systématiquement de telles demandes[8]. L’ECRIS manquant d’efficience en ce qui concerne les RPT, les États membres s’appuient souvent uniquement, en pratique, sur les informations contenues dans leurs casiers judiciaires nationaux. Ainsi, des informations complètes sur les antécédents judiciaires de RPT condamnés ne sont pas toujours accessibles aux juridictions, aux autorités répressives ni aux autres autorités habilitées.

Le 20 novembre 2015, le Conseil des ministres «Justice et affaires intérieures» a conclu que l’utilisation, par les États membres, de toutes les possibilités qu’offre l’ECRIS, et la présentation par la Commission d’une proposition visant à étendre l’ECRIS aux ressortissants de pays tiers, contribueraient à la réponse pénale à apporter à la radicalisation conduisant au terrorisme et à l’extrémisme violent[9].

ECRIS-RPT : proposition de directive du Parlement européen et du conseil en date du 19 janvier 2016. Cette proposition 2016/0002 (COD)[10] estimait que l’option la plus proportionnée était un système décentralisé pour identifier l’État membre ou les États membres qui détiennent des informations sur le casier judiciaire d’un RPT, fondé sur un index-filtre contenant les éléments d’identification anonymisés des RPT condamnés, extraites des casiers judiciaires nationaux, et sur un mécanisme de recherche utilisant un système de concordance/non-concordance («hit/no hit»). Une concordance indique que des informations sur le casier judiciaire du RPT sont disponibles et cite l’État membre pouvant fournir ces informations. Les États membres identifiés peuvent ensuite être invités à fournir des informations complètes via les procédures ECRIS établies. Comme l’expliquait l’article 11 bis, le système devait reposer sur :

(a) un logiciel d’interconnexion établi conformément à un ensemble commun de protocoles permettant les échanges d’informations entre les bases de données relatives aux casiers judiciaires des États membres;

(b) un logiciel d’index-filtre conçu conformément à un ensemble commun de protocoles permettant aux autorités centrales de comparer les données dont elles disposent en vertu des articles 4 bis et 4 ter avec celles des autres autorités centrales, tout en assurant pleinement la protection des données à caractère personnel[11] ;

(c) une infrastructure de communication commune entre les autorités centrales, fournissant un réseau crypté.

Pour assurer l’identification correcte des ressortissants de pays tiers, il conviendrait d’inclure les empreintes digitales dans les données d’identification à conserver dans le casier judiciaire d’une personne et dans l’index-filtre. Il est, en effet, souvent très difficile, voire impossible, d’établir l’identité de RPT, par exemple parce qu’il n’existe pas de document d’identité fiable ou qu’un tel document est manquant, ou à cause de noms de famille très répandus. Le système devait donc être conçu d’une manière décentralisée. Les États membres devaient extraire les éléments d’identification de leur casier judiciaire national et les enregistrer dans un fichier distinct. Un logiciel spécifique était censé convertir de manière irréversible les éléments d’identification personnels en «clés» et «verrous» pour constituer l’index-filtre. L’index-filtre devait être distribué à tous les autres États membres, leur permettant de faire des recherches de manière indépendante dans leurs propres locaux. Autrement dit, l’index-filtre ne contenait pas de données à caractère personnel, mais il permettait aux États membres destinataires de comparer leurs propres données par rapport à celui-ci et de découvrir s’il existe d’autres inscriptions au casier judiciaire dans d’autres États membres. Les États membres devaient communiquer à tous les autres États membres un index-filtre national mis à jour en cas de modification ou de suppression de données contenues dans leur index-filtre.

Cette solution évitait l’envoi de «demandes générales» coûteuses et inefficaces et devait donc éliminer donc la raison pour laquelle, actuellement, les États membres s’abstiennent d’utiliser l’ECRIS en ce qui concerne les RPT. Le texte précisait en outre que le système ne requérait « aucune protection ou sécurité supplémentaire des données au niveau de l’UE ».

ECRIS-TCN. Le 29 juin 2017 la Commission proposait de changer de logique en proposant un système centralisé dans sa proposition de Règlement[12] portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN). Projet sur lequel Conseil et Parlement semblent parvenus à un accord en décembre 2018.

« La création d’un système ECRIS-TCN centralisé contenant à la fois des empreintes digitales et d’autres éléments d’identification peut soutenir cette approche puisqu’elle permettrait de créer un service partagé de mise en correspondance de données biométriques et un répertoire commun de données d’identité pour l’interopérabilité des systèmes d’information, s’il en était décidé ainsi, à l’avenir, par les législateurs. Une solution décentralisée ne générerait pas les mêmes possibilités de synergies futures ».

« La présente proposition vise à compléter la proposition de directive de la Commission de janvier 2016 en créant un système centralisé pour identifier avec efficience le ou les États membres qui détiennent des informations sur les condamnations d’un RPT. Le système de recherche proposé, fondé sur la concordance/non-concordance («hit/no hit») et basé sur les données alphanumériques et les empreintes digitales des RPT condamnés dans les États membres, permettra à ces derniers d’identifier rapidement le ou les autres États membres ayant condamné un RPT déterminé. L’État membre requérant devrait alors demander aux États membres identifiés de fournir les informations exactes sur les condamnations au moyen du système ECRIS existant tel qu’amélioré par la proposition de janvier 2016 ».

« La Commission demande d’accroître l’efficience et l’interopérabilité des bases de données et des systèmes électroniques d’échange d’informations européens existants, notamment d’un système ECRIS-TCN. Les travaux de suivi de la communication ont été dirigés par le groupe d’experts de haut niveau sur l’interopérabilité et le système ECRIS-TCN proposé ici est l’un des systèmes qui s’inscrit dans le cadre de cette initiative sur l’interopérabilité. Cette interopérabilité ne serait pas possible si une solution décentralisée, comme celle proposée en janvier 2016, avait été retenue ».

Cette solution est évidemment la plus lourde. Le fichier central est alimenté (art. 5) par : le nom de famille ; le ou les prénoms; la date et le lieu de naissance (ville et pays); la ou les nationalités; le sexe; le nom des parents; s’il y a lieu, les nom et prénoms précédents, le ou les pseudonymes et/ou noms d’emprunt ; le code de l’État membre de condamnation ; les données dactyloscopiques ; le numéro de référence des données dactyloscopiques de la personne condamnée incluant le code de l’État membre de condamnation.

L’enregistrement de données peut également contenir des images faciales du ressortissant de pays tiers condamné.

Elle s’inscrit dans cette quête d’interopérabilité[13] même s’il faut bien observer que le haut groupe d’experts n’a pas soutenu que la centralisation était l’unique moyen de spécifiquement y parvenir[14].

Écueil. A dire vrai, l’idée de la blockchain présente certes l’intérêt de la sécurité et du partage de l’information. Elle présente quoi qu’il arrive un problème difficilement compatible avec le principe du casier judiciaire. L’article 106 LIL liste, depuis l’ordonnance de décembre 2018, les droits octroyés aux personnes concernées par le traitement de données « pénales ». S’y retrouvent les droits de rectification, de compléter et d’effacement.

En effet, en application de l’article 782 du code de procédure pénale, « Toute personne condamnée par un tribunal français à une peine criminelle, correctionnelle ou contraventionnelle peut être réhabilitée »[15]. Qu’elle soit de plein droit ou accordée par la justice, le principe de l’effacement pose question au regard de l’inaltérabilité de la blockchain.

Certes le hash cryptographique permet de couper le lien entre l’information dans la chaîne de blocs et la donnée personnelle détenue dans le casier national. Toutefois, le flag demeure dans la chaîne. Ce qui signifie que le participant sait qu’une information a été détenue. Si elle a été supprimée, il n’y a plus accès. En revanche l’autorité nationale dispose d’une métadonnée : elle sait que l’individu recherché dans le registre a eu une inscription au casier (donc qu’il a été condamné), inscription qui a été effacée par réhabilitation. Il s’agit d’un déréférencement et non un effacement.

Cette question n’est pas propre aux données de condamnations.

B – Prévenir (grâce) à la chaîne les crimes

La blockchain en ce qu’elle permet de diffuser et de conserver un savoir quasi infalsifiable intéresse l’action menée contre de nombreux types de délinquance. Sans prétendre à l’exhaustivité, il semble logique que toute criminalité portant atteinte à l’authenticité de certaines informations puisse au moins partiellement être combattue grâce à l’instauration d’une blockchain, même si évidemment la blockchain ne saurait être la panacée.

1 – Authentification des personnes et lutte contre le blanchiment

Enjeu (LCB/FT)

Outre l’incrimination du blanchiment, les textes internationaux et internes ont rapidement fait le choix de doubler cette politique répressive d’une vraie logique prophylactique au moyen de la mise en place de la réglementation LCB/FT. Depuis la directive 91/308/CEE du Conseil du 10 juin 1991 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux, le droit français vit désormais sous l’égide de la 4ème directive anti-blanchiment  adoptée le 20 mai 2015 et transposée en droit français par l’ordonnance du 1er décembre 2016 . Toutefois la 5ème Directive 2018/843 adoptée le 30 mai 2018 doit être transposée avant le 10 janvier 2020. Il ne s’agit pas d’une révolution par rapport aux 3ème et 4ème directives. Le texte est en réalité une mise à jour poursuivant la logique entamée (logique internationale, trusts, interconnexion de fichiers…). Dans la lignée de la 3ème directive, la transposition de la 4ème directive a donc confirmé l’approche du blanchiment par les risques que les différentes normes ont consacrée afin de déterminer quels professionnels seraient tenus à des obligation de vigilance et de déclaration. Les obligations de vigilance standard consistent à identifier le client (KYC), le cas échéant le bénéficiaire effectif de la relation d’affaires (C. monét. fin., art. L. 561-5) et à recueillir les informations relatives à l’objet et à la nature de la relation d’affaires ainsi qu’à tout autre élément pertinent sur le client (C. monét. fin., art. L. 561-6).

Conformément à l’article L. 561-2-2 le bénéficiaire effectif est la ou les personnes physiques :

« 1° Soit qui contrôlent en dernier lieu, directement ou indirectement, le client ;

2° Soit pour laquelle une opération est exécutée ou une activité exercée ».

Il est acquis que cette obligation peut être très lourde pour un établissement bancaire, et représenter une perte de temps quand l’opération a déjà été exécutée par un ou plusieurs autres établissements. Il n’est dès lors pas étonnant que des établissements pourtant concurrents aient réfléchi à des solutions permettant de mutualiser les coûts liés à la LCB/FT. La situation amène les établissements bancaires à se tourner vers des techniques permettant une mise en conformité plus efficiente, moins coûteuse, et contribuant à l’amélioration du parcours client, notamment lors de l’entrée en relation.

Les discussions notamment au sein du consortium R3 (regroupant une centaine d’établissements financiers), ont amené à envisager le partage des données KYC au sein d’une blockchain dite de « consortium ». Il s’agit évidemment d’éviter la répétition des tâches dans chaque banque, tout en enregistrant et sécurisant les données préalablement vérifiées par un des membres du consortium. Outre une baisse des coûts de la conformité, un tel partage serait à même de garantir une identification des plus abouties des partenaires commerciaux des établissements.

Ainsi, en juillet 2016, la Banque de France, accompagnée par la start-up Labo Blockchain et en collaboration avec la Caisse des Dépôts et Consignations et plusieurs groupes bancaires français, a lancé une expérimentation utilisant une technologie de consensus distribué (appelé blockchain) sur l’un des référentiels bancaires dont elle a la gestion, celui des Identifiants Créanciers SEPA (ICS). Il s’agit donc d’une blockchain orientée KYC.

Position des problèmes de droit (RGPD)

La problématique inhérente aux données personnelles apparaît en première ligne. La compliance liée à la LCB/FT risque d’entrer en collision directe avec la compliance relative aux données personnelles en application du RGPD.

Comme le révèle le rapport parlementaire sur les blockchains : « Ce règlement vient en effet consacrer, d’une part, l’identification d’un responsable de traitement, d’autre part, le droit à la rectification et le droit à l’oubli, deux exigences qui sont par essence contradictoires avec un système de blockchain immuable et purement pair à pair ».

Les discussions relatives au casier judiciaire européennes des RCT attestent toutefois que des solutions existent. Il suffit de stocker des informations peu chargées en données personnelles. Il s’agit donc de prouver l’existence d’une information sans en révéler le contenu. L’idée consisterait simplement à identifier son détenteur afin de pouvoir l’interroger. « Il s’agit en particulier des zk-SNARKs (« zero knowledge succinct non-interactive argument of knowledge »), qui sont des preuves dites en anglais « zero knowledge » et en français « sans divulgation de connaissance ». Elles permettent de fournir une preuve qu’un énoncé (une transaction) est juste, sans rien révéler du contenu de la preuve. Ainsi, on peut poster des « preuves zero knowledge » de validité des transactions, sans dévoiler l’émetteur, le destinataire ou les montants engagés. Elles supposent toutefois que des paramètres spécifiques aient été créés par une entité de confiance »[16].

Une blockchain publique représente par défaut un risque quant aux exigences de conformité en lien avec les données personnelles. La CNIL l’avait parfaitement mis en avant dans ses Premiers éléments d’analyse en septembre 2018[17].

Il n’est donc pas étonnant qu’en Europe comme ailleurs, soient exclusivement envisagées des blockchains de consortium. La lutte contre la contrefaçon participe d’une logique similaire.

2 – Authentification des biens et lutte contre la contrefaçon

La lutte contre la contrefaçon semble toujours avoir un coup de retard. La répression ajustée de cette atteinte prima facie au droit d’auteur doit être corrélée à la gravité de la menace (santé publique).

On sait en effet que les médicaments sont gravement touchés par la contrefaçon au pont de devenir dans certaines parties du monde[18] un véritable fléau[19]. Selon les chiffres que révèlent régulièrement l’association l’Institut de recherche contre les médicaments contrefaits (IRCAM), les faux médicaments tueraient 700 000 personnes par an, pour un CA de 55 milliards/an[20]. La FDA américaine publie ainsi régulièrement des alertes concernant le marché US ou étranger en identifiant des fake meds, parfois concernant des chimiothérapies[21] !

Interpol déclarait en septembre 2017 une saisie record de 25 millions de médicaments contrefaits et interdits dans le monde, et distribués sur Internet, pour un montant de plus de 51 millions de dollars (43 millions d’euros)[22]. En France, les douanes annonçaient le 26 septembre 2017 avoir récupéré plus de 433 000 produits de santé illicites et 1,4 tonne de produits de santé en vrac, au cours d’une opération internationale nommée «Pangea X», la plus vaste de ce type menée pour des produits vendus sur Internet. 70% des produits saisis provenaient d’Asie, principalement d’Inde et de Singapour.

Il n’est dès lors pas étonnant que soient apparues sur le marché des solutions B2B voire B2C permettant de révéler la chaine de distribution de médicaments, notamment par le biais de puces RFID. L’information relative au médicament est ainsi partagée entre chaque membre du réseau, ce qui permet d’assurer la traçabilité d’un produit : de sa conception par un laboratoire, en passant par un fournisseur et jusqu’à la dernière pharmacie ayant revendu le produit. En ce que la blockchain réplique l’ensemble des données sur les différents nœuds du réseau, elle est à même en principe de faire obstacle à des points uniques de défaillance. La certification assurée par la blockchain permet de s’assurer de l’efficience et de l’innocuité du médicament.

En vue de prévenir les scandales relatifs aux essais cliniques en lien avec les AMM, il a pareillement été proposé de créer une blockchain des essais thérapeutiques[23]. La distribution des informations au sein du réseau et l’impossibilité pour certains acteurs d’en modifier les données mettent aisément en perspective les vertus de la chaîne des blocs à l’heure où de nombreuses voix se font entendre quant à la fiabilité de certaines études et aux éventuels conflits d’intérêts.

Un art obscur de la lumière et du visible…

Pour conclure, on peut observer que la blockchain en droit répressif est à même de révéler et valoriser la double approche que toute politique pénale véhicule à travers son expression : la répression des infractions contre et au moyen de registres distribués et cryptés, la prévention et la lutte contre la criminalité par le truchement d’informations partagées et sûres. Si la blockchain est à coup sûr un vecteur intéressant de politique criminelle, elle permet peut-être surtout de révéler publiquement l’état d’un savoir sur le crime susceptible de conférer à son détenteur un véritable pouvoir sur le crime et les criminels. Ce qui sans être révolutionnaire dans ses perspectives, n’en demeure pas moins impressionnant quant aux informations désormais traitées. Le souci de transparence que la blockchain peut assurer n’est pas pour autant parfait. Il n’est pas nécessairement souhaitable lorsque circulent des données personnelles. Il n’est pas tout le temps possible que la chaîne assure un anonymat cryptographique. Bref, comme l’expliquaient deux collègues économistes dans la Harvard Business review[24], en droit répressif comme dans tous les champs, la blockchain n’est ni un El Dorado ni une panacée… tout en révélant des perspectives aussi impressionnantes que déconcertantes.

A en croire ces propos, on pourrait se croire dans le poème Tabacaria de Fernando Pessoa[25] : la blockchain ne pourrait-elle dire « Je porte en moi tous les rêves du monde » puisqu’elle est « réelle au-delà du possible, certaine au-delà du secret ».

La blockchain… est surtout une évolution dont il reste encore à mesurer tous les enjeux et risques dans le monde numérique, réel et juridique, fût-il répressif.

 

[1] « Fantasmes et mystères », selon le cycle de formation organisé à la Cour de cassation.

[2] Yli-Huumo J, Ko D, Choi S, Park S, Smolander K (2016) “Where Is Current Research on Blockchain Technology ? – A Systematic Review”, PLoS ONE 11(10): e0163477. doi:10.1371/journal.pone.0163477.

[3] Depuis l’Ordonnance n° 2016-520 du 28 avril 2016, l’article L. 223-12 CMF précise que, « sans préjudice des dispositions de l’article L. 223-4, l’émission et la cession de minibons peuvent également être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d’Etat ». Il s’agit officiellement de la première référence à une blockchain permettant le financement participatif.

Ordonnance n° 2017-1674 du 8 décembre 2017 relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers.

Décret n° 2018-1226 du 24 décembre 2018 relatif à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l’émission et la cession de minibons, JORF n° 0298 du 26 décembre 2018, texte n° 33 .

[4] L. Lamport, R. Shostak et M. Pease, « The Byzantine Generals Problem », ACM Transactions on Programming Languages and Systems, vol. 4, n° 3,‎ juillet 1982.

[5] « Pouvoir et savoir s’impliquent directement l’un l’autre; qu’il n’y a pas de relation de pouvoir sans constitution corrélative d’un champ de savoir, ni de savoir qui ne suppose et ne constitue en même temps des relations de pouvoir », S§P, p. 32

[6] Et la Suisse y songe.

[7] V. Rapport COM(2017) 341 final de la commission au parlement européen et au conseil sur les échanges, au moyen du système européen d’information sur les casiers judiciaires (ECRIS), d’informations extraites des casiers judiciaires entre les États membres – {SWD(2017) 242 final}- 29.6.2017.

[8] V. Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL modifiant la décision-cadre 2009/315/JAI du Conseil en ce qui concerne les échanges d’informations relatives aux ressortissants de pays tiers ainsi que le système européen d’information sur les casiers judiciaires (ECRIS), et remplaçant la décision 2009/316/JAI du Conseil, 19 janv. 2016.

[9] Conclusions du Conseil de l’UE sur le renforcement de la réponse pénale à la radicalisation conduisant au terrorisme et à l’extrémisme violent (20 novembre 2015), doc. 14419/15.

Le Conseil européen des 17 et 18 décembre 2015 a rappelé que les attentats terroristes commis récemment démontraient en particulier qu’il est urgent de renforcer l’échange d’informations pertinentes sur les activités terroristes, notamment en ce qui concerne le fait d’étendre le système européen d’information sur les casiers judiciaires (ECRIS) aux ressortissants de pays tiers («Programme européen en matière de sécurité» – Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, 28 avril 2015, COM(2015) 185 final).

[10] Proposition de directive du Parlement européen et du conseil en date du 19 janvier 2016 modifiant la décision-cadre 2009/315/JAI du Conseil en ce qui concerne les échanges d’informations relatives aux ressortissants de pays tiers ainsi que le système européen d’information sur les casiers judiciaires (ECRIS), et remplaçant la décision 2009/316/JAI du Conseil

[11] Article 4 ter Utilisation des index-filtres

« 1.Afin de déterminer les États membres détenant des informations sur le casier judiciaire d’un ressortissant d’un pays tiers, les autorités centrales des États membres peuvent effectuer une recherche dans les index-filtres transmis conformément à l’article 4 bis afin de comparer les informations figurant dans ces index-filtres avec leurs propres informations des types visés à l’article 4 bis, paragraphe 2. Les index-filtres ne sont pas utilisés à d’autres fins que celles visées à l’article 6 ».

[12] COM(2017) 344 final.

[13] Les éléments d’interopérabilité mis en place par les règlements sont les suivants:

• Un portail de recherche européen permettant aux autorités compétentes d’effectuer des recherches en parallèle dans de multiples systèmes d’information, en utilisant les données tant biographiques que biométriques;
• Un service partagé de mise en correspondance de données biométriques permettant de rechercher et de comparer des données biométriques (empreintes digitales et images faciales) issues de plusieurs systèmes;
• Un répertoire commun de données d’identité, qui contiendrait les données d’identité biographiques et biométriques des ressortissants de pays tiers disponibles dans plusieurs systèmes d’information de l’UE;
• Un détecteur d’identités multiples chargé de vérifier si les données d’identité biographiques issues de la recherche existent dans d’autres systèmes couverts, afin de permettre de détecter les identités multiples liées au même ensemble de données biométriques.

Les systèmes couverts par les règlements sont notamment le système d’entrée/de sortie (EES), le système d’information sur les visas (VIS), le système européen d’information et d’autorisation concernant les voyages (ETIAS), Eurodac, le système d’information Schengen (SIS) et le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN), ainsi que les données d’Europol et certaines bases de données d’Interpol sur les documents de voyage.

2018. « Renforcer la sécurité par l’échange d’information: le Conseil approuve un mandat de négociation sur l’interopérabilité », Communiqué de presse, 14 juin 2018.

[14] High-level expert group on information systems and interoperability, Final report, May 2017, p. 22. Contra p. 28.

[15] V. article 133-13 C. pénal pour la réhabilitation de plein droit.

[16] Comprendre les blockchains : fonctionnement et enjeux de ces nouvelles technologies, Rapport n° 584 (2017-2018) de Mme Valéria FAURE-MUNTIAN, député, MM. Claude DE GANAY, député et Ronan LE GLEUT, sénateur, fait au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, déposé le 20 juin 2018.

[17] Sur le caractère en principe définitif des informations stockées dans une blockchain, « la CNIL mesure l’intérêt de ces solutions mais s’interroge à ce stade sur leur aptitude à assurer une conformité entière au RGPD. Ce sujet fait partie des questions sur lesquelles une réflexion européenne s’avère indispensable » (p. 7).

[18] V. R. Pouillot (et alli.), « Le circuit informel des médicaments à Yaoundé et à Niamey : étude de la population des vendeurs et de la qualité des médicaments distribués », Bull Soc Pathol Exot, 2008, 101, 2, p. 113-118.

[19] C. Brajeul, « Faux médicaments : un fléau mondial très lucratif », Libé, 1er octobre 2017.

[20] C. Hecketsweile, « Les médicaments contrefaits, une activité lucrative », Le Monde, 25 sept. 2013.

700. Féat, « Les médicaments contrefaits tuent 700.000 personnes par an », Le Figaro, 25 sept. 2013.

[21] Le Bicnu, entre autres, indiqué pour Essais primitives ou secondaires, le myélome multiple, lymphomes hodgkiniens ou non hodgkiniens, ou encore les mélanomes.

[22] https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2018/Vente-en-ligne-de-produits-pharmaceutiques-illicites-500-tonnes-saisies-lors-d-une-operation-d-envergure-mondiale

[23] V. A. Petre, « La blockchain à la rescousse de l’industrie pharmaceutique », The Conversation, 28 nov. 2017. M. Benchoufi, Ph. Ravaud, Blockchain technology for improving clinical research quality, Trials Journal, 19 July 2017.

[24] M. Iansiti K. R. Lakhani, “The Truth About Blockchain”, HBR, janv. fév. 2017.

[25] F. Pessoa, « Le bureau de tabac ».