Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée… Aujourd’hui, regard sur la Blockchain et les problèmes de droit que soulève son usage.

L’annonce d’un grand chambardement

La blockchain, ou chaîne de blocs, est née avec le Bitcoin, crypto-monnaie sulfureuse qui s’est développée depuis 2009 dans le web profond avec l’anonymat qui la caractérise. C’est ce qui a sous-tendu son développement et sa valorisation monétaire (environ 600 € pour 21 millions d’unités au total). Aujourd’hui, qui ne connaît pas la blockchain ?

On est largement sorti du discours des seules entreprises Fintech, les medias et les politiques parlent de la Blockchain en tant que technologie de rupture (« disruption ») qu’elle provoquera avec le développement de ses applications dans tous les secteurs d’activités, privés et publics.

L’Union européenne (Commission et Parlement) observe, avant de proposer des solutions de régulation. En d’autres termes, cette rupture envisage la fin des tiers de confiance traditionnels (banques, notaires, huissiers de justice, etc.) et des intermédiaires (y compris les plates-formes comme Uber ou eBay).

Une technologie de confiance ?

Lorsque l’on parle de LA blockchain (la technologie utilisée), il n’est pas question de parler d’UNE blockchain en particulier (Bitcoin ou Ethereum). De la même manière, lorsque l’on parle d’un nœud d’une blockchain ou d’un smart contract associé (comme dans la DAO), il ne faut pas le confondre avec la blockchain sous-jacente. Or, selon la majorité des promoteurs de la blockchain la confiance repose exclusivement sur la technologie.

C’est là que le bât blesse. En effet, il est raisonnable de penser que l’obsolescence de la technologie est programmée spécialement en ce qui concerne les algorithmes cryptographiques utilisés (quid pour les usages supérieurs à 10-15 ans ?) ou encore qui est responsable des clés privées de signature sans autorité de certification identifiée (notamment en vertu du Règlement européen eIDAS pour l’identification et la signature électronique).

Rappelons que la technologie est par nature faillible : (« Code is Bug » ?). Depuis Netscape en 1995, jusqu’aux grands comptes aujourd’hui comme Google ou Facebook, des programmes de bug bounty sont proposés en permanence à des chasseurs de primes (hunters) afin qu’ils fassent remonter les vulnérabilités et failles de leurs systèmes. Pourquoi pas dans les blockchains ? Mais alors vers qui et qui décide et réalise les patches ? De plus, contrairement au protocole TCP/IP universel de l’internet, il n’existe pas de normes internationale sur la blockchain (sauf un projet de travaux à l’ISO à la demande de Standards Australia), ni d’interopérabilité entre les chaînes.

Les éléments de la confiance en question

Généralement, la confiance est considérée comme la croyance ou la foi dans la fiabilité d’une personne ou d’un système. En principe, cette confiance repose sur un triptyque : technique, organisation et droit. Avec la blockchain, on nous demande de croire en la seule technologie : « code is law », bref sur un système reposant sur un tabouret disposant d’un seul pied, voire un et demi (l’organisation décentralisée) !

Ce qui n’est pas la seule surprise de cette technologie, notamment sur le plan juridique : une gouvernance sans personne morale (qui est responsable en cas de problème ? quelles garanties ?) ; un (ou des) smart contrat qui sont des applications informatiques exécutables automatiquement et qui ne répondent pas à la définition classique du contrat (identification, consentement) ; des preuves (preuves de travail ou de détention) qui ne sont pas des preuves d’actes juridiques, sauf qualification légale contraire, mais des preuves de faits relevant de la preuve libre.

Et pour couronner le tout, l’autorégulation comme aux premières heures de l’Internet avec sa déclaration d’indépendance de l’EFF de 1996 soutenant la thèse selon laquelle les Etats ne doivent pas avoir d’emprise sur l’internet sous peine de freiner l’innovation. Il en irait de même avec la Blockchain. On a vu ce qu’il est advenu de ces idées au cours des deux dernières décennies. A notre avis, légiférer trop tôt (avant que le marché n’existe vraiment) serait totalement inapproprié, car la fonction du droit consiste à réguler les abus, et non pas à anticiper les usages. De plus, l’encadrement juridique de la gouvernance devrait résulter des statuts de la personne morale et du règlement intérieur ce qui n’est pas du code au sens informatique.

Les leçons de la faille de la DAO

Après le scandale retentissant de la plate-forme d’échange DAO, dans la nuit du 16 au 17 juin 2016, ce qui devait arriver arriva. Un individu (ou un groupe) a exploité une faille dans le code d’un « smart contract » d’une organisation autonome décentralisée (« DAO ») développé par Slock.it qui s’appuie sur la blockchain Ethereum et utilise sa monnaie virtuelle les ethers. Sa mission est de faire du crowfunding en vue de financer des projets d’internet des objets (OIT) et de voitures intelligentes. Finalement, le préjudice s’élève à près d’un tiers des 168 millions de dollars collectés, soit environ 50 millions.

L’attaque est significative et critique aussi bien pour les investisseurs de la DAO que pour la communauté de la blockchain. En effet, l’attaquant aurait respecté le code (informatique) de la DAO et donc « juridiquement » inattaquable. Etant donné que le système est décentralisé, la riposte n’est pas facile à organiser. Il n’existe pas d’organe central pour décider des actions à mener. Les mineurs de la DAO ont jusqu’au 14 juillet pour choisir la solution définitive par un vote. A défaut, l’individu pourra récupérer son butin au préjudice des investisseurs détenteurs des tokens.

Deux solutions se dégagent pour résoudre le problème. D’une part, la soft fork qui est une sorte de solution d’attente – wait and see – dont le but est de geler les transactions en bloquant les ethers correspondants (ce qui est le cas actuellement). Cette solution est a priori exclue pour des raisons de sécurité. D’autre part, le passage à une hard fork qui consiste à modifier le code de la blockchain afin de récupérer les ethers « siphonnés » et de les redistribuer à leurs « légitimes » détenteurs. Mais en clair, cela signifie que l’on reviendrait sur un principe fondamental de la blockchain : l’immuabilité du code (Code is law).

Alors application du principe de réalité, ou maintien du dogme ? La faille du système réside essentiellement dans sa gouvernance (inexistante ou incertaine). La question ne se poserait pas dans une blockchain non publique (de consortium ou privée), dans la mesure où la sécurité, le contrôle et les décisions relèveraient de l’organe central (une personne morale) investi de la gouvernance, mais aussi qui engagerait sa responsabilité.

Quelles perspectives ?

L’objectif de cet article n’est pas de nier toute valeur à la blockchain mais de la repositionner dans un cadre de confiance. En effet, si la perte de la DAO s’avère effective, se posera alors la question du dédommagement des investisseurs, voire des poursuites engagées contre l’individu malveillant. Encore faudra-t-il établir un intérêt à agir contre lui au pénal ou au civil, mais étant donné que la DAO ne dispose pas de la personne morale, chaque investisseur devra prouver la faute du siphonneur, son préjudice afin de mettre en jeu sa responsabilité (devant quelle juridiction et selon quel droit ?).

On le voit, les blockchains nécessitent d’acquérir une certaine maturité et le droit ne peut être omis de la réflexion et de la démarche projet. Place aux technojuristes pour sécuriser les blockchains. A l’instar d’Ulysse, il faut résister au chant des sirènes qui nient certaines réalités juridiques, organisationnelles ou de gestion de la sécurité. Il en va de la confiance du marché dans les blockchains. Vive la blockchain, mais pas n’importe comment !

Article par Eric A. Caprioli, Docteur en droit,  Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies. © Article initialement publié sur l’Usine Digitale.