Retour aux articles
Blockchain et réglementation : des notions antinomiques ?
Tech&droit - Blockchain
10/07/2017
Par essence, la blockchain ne repose sur aucune gouvernance, ce qui peut poser un certain nombre de difficultés, particulièrement lorsqu'il s'agit de désigner un responsable en cas d'action illicite. Faut-il laisser le code réguler les rapports entre les acteurs de la blockchain ? Une intervention du législateur est-elle préférable ? Le point avec Arnaud Touati et Sacha Oberman.
La blockchain évolue dans un réseau décentralisé dans lequel l’utilisateur se cache derrière un pseudonyme et les transactions sont validées par des membres du réseau, les mineurs.
Un tel constat pose la question de la responsabilité juridique. En effet, qui est responsable pour les activités d’une organisation qui n’a pas d’administrateur ? Est-ce celui qui a créé la blockchain ? L’ensemble de la communauté des membres ? Au contraire, n’y a-t-il aucun responsable ?
La logique voudrait que la responsabilité repose sur les créateurs du logiciel en identifiant le lien de causalité entre le fait générateur et le dommage. Cependant, la difficulté est double. D’une part, ses créateurs sont anonymes (la Blockchain aurait été créée par Satoshi Nakamoto) et les utilisateurs sont quant à eux cachés derrière un pseudonyme. D’autre part, même si l’on parvenait à identifier ces créateurs, cela ne permettrait pas de bloquer les opérations de ces organisations car celles-ci agissent de façon autonome sur la blockchain.
Ce faisant, s’il n’y a ni opérateur, ni administrateur, qui sera alors tenu pour responsable si une situation illicite venait à se produire ?
Cette double difficulté évoquée préalablement témoigne du paradoxe sur lequel repose cette technologie, celle de s’émanciper de toute régulation suivant les concepts d’une philosophie libertarienne. De ce constat, deux hypothèses émergent pour trouver un consensus entre blockchain et réglementation.
Le code informatique, un régulateur opportun ?
La première hypothèse serait d’admettre que c’est le code qui fait loi ou du moins qui régit la blockchain à savoir « Code is Law », pour reprendre la fameuse expression du juriste américain, Lawrence Lessig (Code is law, On Liberty in Cyberspace, Harvard magazine, janv. 2000).
En effet, le code s’est progressivement imposé comme régulateur dans la blockchain, garanti entre autres par les mineurs (nœud du réseau), en contrepartie de bitcoins et dont la sécurité est rendue possible par le concept de « proof of work » (la fonction utilisée s’appelle SHA256). Parmi les arguments favorables à cette hypothèse, on retrouve notamment l’idée selon laquelle réguler la blockchain en établissant un responsable serait risqué car cela conduirait justement à limiter voire détruire son potentiel.
Toutefois cette première hypothèse s’avère problématique à plus d’un titre. D’une part, le code informatique, rédigé dans un langage strict et formalisé contrairement au code juridique n’est pas, par essence, flexible. En effet, il n’offre pas la possibilité au juge, en présence de faits complexes, de se détacher du sens littéral et donc d’interpréter au cas par cas l’application de ce code. D’autre part, cette approche confirme que la confiance ne se trouve plus dans l’homme mais dans la machine (« The Trust machine », en référence à la Une de The Economist du 31 octobre 2015).
Vers une intervention du législateur ?
De ce fait, et face aux travers de l’approche « Code is law », une seconde hypothèse émerge, celle de l’établissement d’une régulation institutionnelle, souhaitée notamment par les acteurs bancaires.
C’est ce que révèle une étude récente du cabinet Deloitte et de l’association EFMA (Deloitte, EFMA, Etude « Out of the Blocks »), pour 49 % des 3 000 acteurs du monde financier interrogés, la réglementation se présente comme la principale préoccupation, loin devant celle de la sécurité (15 %).
Si cette seconde hypothèse est à l’opposé de l’esprit même de la blockchain, elle contribuerait néanmoins à établir une solution lorsque le code serait mal écrit ou bien qu’une faille du réseau serait exploitée par un hacker.
Cette situation s’est présentée à plusieurs reprises et plus particulièrement lors de l’attaque de TheDAO sur la plateforme Ethereum en juin 2016 durant laquelle l’équivalent de 3,6 millions d’ethers soit 50 millions de dollars ont été frauduleusement subtilisés. Pour résoudre le problème, la communauté Ethereum avait alors décidé de revenir en arrière, en opérant un « fork », c’est-à-dire une réécriture de la blockchain. Or, la réaction de cette communauté Ethereum est, en réalité, assez contraire à la logique « Code is law » convoitée par ces derniers. Car dès lors que la réécriture de block a été permise une fois, rien n’empêche plus désormais la communauté de réitérer cette opération, au détriment de ceux dont les transactions seront annulées. La communauté fait donc désormais loi.
Enfin, indépendamment du fait que la blockchain n’ait pas été touchée en tant que telle mais bien un logiciel qui y résidait, « TheDAO », l’autorégulation a tout de même montré ses failles, relançant ainsi l’hypothèse sérieuse d’une régulation désormais institutionnelle et prévue ex ante.
De ce fait, sur le court terme et en l’absence de règles désignant les responsables, plusieurs solutions institutionnelles sont envisageables. Tout d’abord et certainement la plus évidente, serait de désigner comme responsable dans le cadre d’une blockchain privée, les nœuds qui ont été choisis préalablement.
En outre, dès lors qu’ils seront en charge de la validation des transactions et qu’ils auront été choisis non pas au regard de leur puissance de calcul mais préalablement par l’administrateur même du réseau (ex : BNP Paribas qui établirait une blockchain privée), cela rendrait ces acteurs responsables du contenu.
D’autre part, concernant la responsabilité relative aux smart contracts (principalement sur la blockchain Ethereum) et dont l’exécution repose sur un principe d’automatisation, il semble évident que le rédacteur de l’acte sera tenu pour responsable. Un tel constat incitera les parties qui y sont tenues à être vigilantes au moment de l’écriture des engagements, et ce d’autant plus lorsqu’une clause portera sur l’imprévision d’un événement (Ord. n° 2016-131, 10 févr. 2016, JO 11 févr., portant réforme du droit des contrats, entrée en vigueur le 1er octobre 2016 : consécration de la théorie de l’imprévision à l’article 1195 du nouveau Code civil).
Ainsi, indépendamment de ces quelques solutions et de l’ordonnance n° 2016-520 du 28 avril 2016 (JO 29 avr.) relative aux bons de caisse ayant tenté tant bien que mal de définir la blockchain, aucune hypothèse sérieuse n’a toutefois été instaurée par le législateur pour désigner un responsable.
Il semble donc opportun d’envisager un droit sui generis pour cette technologie.
Un tel constat pose la question de la responsabilité juridique. En effet, qui est responsable pour les activités d’une organisation qui n’a pas d’administrateur ? Est-ce celui qui a créé la blockchain ? L’ensemble de la communauté des membres ? Au contraire, n’y a-t-il aucun responsable ?
La logique voudrait que la responsabilité repose sur les créateurs du logiciel en identifiant le lien de causalité entre le fait générateur et le dommage. Cependant, la difficulté est double. D’une part, ses créateurs sont anonymes (la Blockchain aurait été créée par Satoshi Nakamoto) et les utilisateurs sont quant à eux cachés derrière un pseudonyme. D’autre part, même si l’on parvenait à identifier ces créateurs, cela ne permettrait pas de bloquer les opérations de ces organisations car celles-ci agissent de façon autonome sur la blockchain.
Ce faisant, s’il n’y a ni opérateur, ni administrateur, qui sera alors tenu pour responsable si une situation illicite venait à se produire ?
Cette double difficulté évoquée préalablement témoigne du paradoxe sur lequel repose cette technologie, celle de s’émanciper de toute régulation suivant les concepts d’une philosophie libertarienne. De ce constat, deux hypothèses émergent pour trouver un consensus entre blockchain et réglementation.
Le code informatique, un régulateur opportun ?
La première hypothèse serait d’admettre que c’est le code qui fait loi ou du moins qui régit la blockchain à savoir « Code is Law », pour reprendre la fameuse expression du juriste américain, Lawrence Lessig (Code is law, On Liberty in Cyberspace, Harvard magazine, janv. 2000).
En effet, le code s’est progressivement imposé comme régulateur dans la blockchain, garanti entre autres par les mineurs (nœud du réseau), en contrepartie de bitcoins et dont la sécurité est rendue possible par le concept de « proof of work » (la fonction utilisée s’appelle SHA256). Parmi les arguments favorables à cette hypothèse, on retrouve notamment l’idée selon laquelle réguler la blockchain en établissant un responsable serait risqué car cela conduirait justement à limiter voire détruire son potentiel.
Toutefois cette première hypothèse s’avère problématique à plus d’un titre. D’une part, le code informatique, rédigé dans un langage strict et formalisé contrairement au code juridique n’est pas, par essence, flexible. En effet, il n’offre pas la possibilité au juge, en présence de faits complexes, de se détacher du sens littéral et donc d’interpréter au cas par cas l’application de ce code. D’autre part, cette approche confirme que la confiance ne se trouve plus dans l’homme mais dans la machine (« The Trust machine », en référence à la Une de The Economist du 31 octobre 2015).
Vers une intervention du législateur ?
De ce fait, et face aux travers de l’approche « Code is law », une seconde hypothèse émerge, celle de l’établissement d’une régulation institutionnelle, souhaitée notamment par les acteurs bancaires.
C’est ce que révèle une étude récente du cabinet Deloitte et de l’association EFMA (Deloitte, EFMA, Etude « Out of the Blocks »), pour 49 % des 3 000 acteurs du monde financier interrogés, la réglementation se présente comme la principale préoccupation, loin devant celle de la sécurité (15 %).
Si cette seconde hypothèse est à l’opposé de l’esprit même de la blockchain, elle contribuerait néanmoins à établir une solution lorsque le code serait mal écrit ou bien qu’une faille du réseau serait exploitée par un hacker.
Cette situation s’est présentée à plusieurs reprises et plus particulièrement lors de l’attaque de TheDAO sur la plateforme Ethereum en juin 2016 durant laquelle l’équivalent de 3,6 millions d’ethers soit 50 millions de dollars ont été frauduleusement subtilisés. Pour résoudre le problème, la communauté Ethereum avait alors décidé de revenir en arrière, en opérant un « fork », c’est-à-dire une réécriture de la blockchain. Or, la réaction de cette communauté Ethereum est, en réalité, assez contraire à la logique « Code is law » convoitée par ces derniers. Car dès lors que la réécriture de block a été permise une fois, rien n’empêche plus désormais la communauté de réitérer cette opération, au détriment de ceux dont les transactions seront annulées. La communauté fait donc désormais loi.
Enfin, indépendamment du fait que la blockchain n’ait pas été touchée en tant que telle mais bien un logiciel qui y résidait, « TheDAO », l’autorégulation a tout de même montré ses failles, relançant ainsi l’hypothèse sérieuse d’une régulation désormais institutionnelle et prévue ex ante.
De ce fait, sur le court terme et en l’absence de règles désignant les responsables, plusieurs solutions institutionnelles sont envisageables. Tout d’abord et certainement la plus évidente, serait de désigner comme responsable dans le cadre d’une blockchain privée, les nœuds qui ont été choisis préalablement.
En outre, dès lors qu’ils seront en charge de la validation des transactions et qu’ils auront été choisis non pas au regard de leur puissance de calcul mais préalablement par l’administrateur même du réseau (ex : BNP Paribas qui établirait une blockchain privée), cela rendrait ces acteurs responsables du contenu.
D’autre part, concernant la responsabilité relative aux smart contracts (principalement sur la blockchain Ethereum) et dont l’exécution repose sur un principe d’automatisation, il semble évident que le rédacteur de l’acte sera tenu pour responsable. Un tel constat incitera les parties qui y sont tenues à être vigilantes au moment de l’écriture des engagements, et ce d’autant plus lorsqu’une clause portera sur l’imprévision d’un événement (Ord. n° 2016-131, 10 févr. 2016, JO 11 févr., portant réforme du droit des contrats, entrée en vigueur le 1er octobre 2016 : consécration de la théorie de l’imprévision à l’article 1195 du nouveau Code civil).
Ainsi, indépendamment de ces quelques solutions et de l’ordonnance n° 2016-520 du 28 avril 2016 (JO 29 avr.) relative aux bons de caisse ayant tenté tant bien que mal de définir la blockchain, aucune hypothèse sérieuse n’a toutefois été instaurée par le législateur pour désigner un responsable.
Il semble donc opportun d’envisager un droit sui generis pour cette technologie.
Source : Actualités du droit
