Blockchain ❤ RGPD

A la lecture des nombreux articles liant les notions de blockchain et RGPD, force est de constater que la priorité est souvent donnée à la question de savoir si les blockchains (publiques pour la majorité) disposent des capacités ou non en vue du respect de la nouvelle réglementation en matière de protection des données à caractère personnel.

Ainsi, la majeure partie des discussions se focalise sur des implémentations telles que Bitcoin, Ethereum, EOS ou encore NEO.

Pour autant, blockchain et RGPD ne sont pas toujours marqueurs d’une incompatibilité, et dans le cadre de la mise en œuvre de projets blockchain au sein d’entreprises, il est tout a fait possible d’intégrer by design les exigences de la nouvelle réglementation.
En effet, cette dernière, bien souvent vue comme une ennemie jurée des technologies distribuées, est pourtant et en réalité à considérer comme davantage mise au service des différentes implémentations, dans la mesure où elle crée une véritable économie de la donnée, replaçant l’individu au cœur de l’écosystème (on parle d’ailleurs d’un véritable empowerment).

Tous deux réunis sur le même plan, la blockchain et le RGPD sont les ingrédients clés de cette nouvelle ère de la donnée, et cet article se bornera à démontrer quels éléments peuvent tout à fait être implémentés au sein de blockchains, et comment nous nous y appliquons.

Blockchain et RGPD : qui est quoi ?

Tous deux réunis sur le même plan. La principale interrogation que l’on retrouve lorsque la blockchain est liée au RGPD, est celle de la définition d’un responsable de traitement. Question tout à fait cohérente, on peut se demander vers qui se tourner dans cette architecture si particulière et décentralisée. En l’absence de tout contrôle et de censure (notamment sur les cas d’usage des cryptoactifs ou cryptomonnaies, selon l’appellation retenue).
Il est complètement légitime de s’interroger sur la répartition des rôles issue de la décentralisation, lorsque la régulation a justement été envisagée uniquement pour des acteurs centralisés.

Jusqu’alors, plusieurs acteurs majeurs dont la CNIL, ont tenté de s’emparer de la problématique, sans pour autant définir quelque rôle que ce soit au sein des blockchains publiques, préférant mesurer les hypothèses aux organes gravitant « autour » de l’écosystème blockchain (les exchanges, les porteurs de projets – entreprises ou startups, etc.)

Le cas des blockchains permissionnées est en revanche bien moins traité et pourtant plus clair.

Tout d’abord, il est nécessaire de rappeler que les blockchains permissionnées (à l’image d’Hyperledger par exemple) peuvent être considérées comme un outil de développement qui permet de créer une blockchain de consensus ou une blockchain privée. C’est dans la conception de ces blockchain qu’il convient d’intégrer à la fois les aspects techniques liés à la sécurité (types de cryptographie, architecture, protocoles d’échanges, protocoles de consensus, etc.), performances (nombre de nœuds, nombre de transactions, etc.) et à la gouvernance (répartition des nœuds de validation, des certificats d’autorité, statut juridique, système de décision) et…. Respect des réglementations !

Une fois le réseau et le protocole implémenté, la blockchain permissionnée aura pour fonction d’effectuer une (ou plusieurs) transaction(s) entre deux utilisateurs partageant un même réseau de valeur grâce à l’exécution d’un smart contrat.

La blockchain opère donc des « traitements » qui s’appliquent à des « données à caractère personnel », au sens des définitions édictées à l’article 4 du RGPD.

La réalisation de ces transactions par l’intermédiaire des smart contracts nécessite la signature électronique préalable des utilisateurs, et donc le « consentement » de la personne concernée au sens de l’article 4 du RGPD.

De plus, la gouvernance d’une blockchain permissionnée est assurée par l’entité qui détient les certificats d’autorité. Ce peut être une entreprise, un consortium, ou comme c’est de plus en plus le cas une société coopérative d’intérêt collectif (SCIC – cf Civis Blockchain).

Dans tous les cas, dans cette configuration et dans ce mode de gouvernance, il est clairement possible de définir nommément un « responsable du traitement », au sens des dispositions du RGPD.

Dans le cadre de la réalisation d’un projet blockchain, et davantage dans la mise en œuvre juridique de la gouvernance, il est ainsi indispensable de désigner et de former un représentant qui détiendra le rôle de Responsable de traitement. De plus, chacune des entités déployant des applicatifs sur un réseau de blockchain par l’intermédiaire des smart contracts (considérées de fait comme des sous-traitants), doit elle aussi nommer un représentant (identifié comme le sous-traitant du responsable précédemment mentionné).

Au-delà de la problématique d’identification du responsable de traitement et de ses éventuels sous-traitants, vient ensuite la question de la territorialité des acteurs de l’écosystème blockchain.

Si à première vue la décentralisation de la blockchain peut effrayer, dans le cadre de projets permissionnés, la localisation des traitements peut être maitrisée dans la mesure où la structure du réseau blockchain peut, si besoin, être adaptée pour répondre aux exigences liées aux traitements transfrontaliers (création de side-chains, de channels, etc…).

Structurer votre réseau blockchain pour être “RGPD compliant”

La technologie blockchain a souvent été pointée du doigt comme la technologie réfractaire à la régulation et qui ne pourrait se conforter aux exigences de la protection des données. Dans l’attente de toute position des institutions françaises en la matière (notamment la CNIL), voire européennes (le G29 ou la Commission Européenne), voici quelques éléments d’architecture qui permettent aux réseaux blockchain d’être considérés comme “RGPD compliant”.

Retour sur le consentement

Comme indiqué plus haut, l’utilisation de la clé privée d’un utilisateur pour faire fonctionner un smart contract permet de garantir un consentement clair et explicite exprimé par une personne pour effectuer le traitement. De plus comme chacune des transactions est enregistrée dans un journal distribué et inaltérable, le Responsable du Traitement est en mesure de démontrer qu’une personne a donné son consentement pour effectuer le traitement de données à caractère personnel la concernant. C’est ainsi dans cette hypothèse que la blockchain se pose évidemment au service des utilisateurs (entreprises mais surtout citoyens en tant qu’utilisateurs finaux)  : elle peut remplir la fonction de « registre des consentements » inaltérable.
La notion de consentement issue de l’article 7 du RGPD peut ainsi être considérée comme respectée, mais un effort d’explicitation est toutefois nécessaire et réalisé en général au moment de la documentation du code des smart contracts. C’est donc rejoindre l’obligation d’information issue de plusieurs des dispositions du Règlement. Rappelons ici que la finalité première du Règlement était d’assurer un plus haut niveau de protection des données aux personnes, mais aussi de renouveler la confiance et la compréhension qu’ils accordent aux traitements de leurs données.

En définitive, aussi paradoxal que cela puisse semble, la protection des données mise au service de la blockchain pourrait même faire… renaître de la confiance !

Transparence et portabilité

Certaines technologies de blockchain comme celles regroupées dans le projet Hyperledger ont pour vocation de devenir des standards comme l’a été apache, java ou encore le XML. Elles sont construites comme des plateformes technologiques industrielles et opensource soutenue par la fondation Linux. L’utilisation dans l’architecture des réseaux blockchain de formats recommandés par le W3C (web sémantique, protocoles, technologies de cryptages, etc.) et la documentation explicite des smart contracts permettra d’atteindre un niveau de transparence des informations et des communications sans précédent et parfaitement conforme à l’article 12 du RGPD. Enfin, les droits d’utilisateur sont clairement explicités et ils peuvent à tout moment les exercer de manière autonome en utilisant les portefeuilles de données (wallet).

Le droit à la portabilité des données (issu de l’article 20) peut quant à lui être mis en mouvement aussi simplement dans la mesure où les données sont exportables selon les formats recommandés par le W3C. Les données personnelles sont ainsi facilement ré-intégrables dans n’importe quelle blockchain open source respectant ces recommandations.

Sécurité

Pour rappel, l’article 32 du RGPD dresse une obligation à l’égard des responsables de traitements et de leurs sous-traitants de mettre en œuvre les moyens techniques et organisationnels appropriés en vue de garantir un niveau de sécurité adapté au risque issu du traitement.

Tous les éléments de sécurité des traitements listés à titre non exhaustif dans l’article 32 sont par nature respectés par l’implémentation de la blockchain permissionnée.

Qu’il s’agisse de la pseudonymisation et du chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité avec l’utilisation des clé publiques et privées, de l’intégrité avec la distribution du journal et sa modification par consensus, de la disponibilité par le caractère distribué “peer to peer” et de la résilience constantes des systèmes et des services de traitement par l’utilisation d’un consensus de validation ; tous ces éléments contribuent au respect des prescriptions réglementaires entrées en application il y a quelques jours.

La disponibilité permanente des données à caractère personnel est assurée par le partage du journal sur le réseau. L’accès à celles-ci en cas d’incident physique ou technique est garanti perpétuellement dans le cadre du partage en temps réel du registre par tous les utilisateurs.

Enfin, l’implémentation des consensus, le plus souvent par preuve d’autorité (PoA), tolérance aux fautes Byzantines (PBFT) ou délégation de preuve de possession (DPOS), constitue bien un mécanisme visant à tester, à analyser et à évaluer à chaque transaction l’efficacité des dispositifs techniques et des structures organisationnelles qui les opèrent pour assurer la sécurité du traitement. Eu égard à l’ensemble de ces éléments que l’on pourrait qualifier comme contributeurs essentiels au privacy by design, force est de constater que la blockchain peut apporter grandement sa pierre à l’édifice de la sécurisation des données.

Droit de rectification

Il est tout a fait possible de concevoir la structure d’un réseau blockchain permissionné pour ne pas stocker les données sur la blockchain, on parle ainsi de stockage « off-chain ». Dans ce cas de figure, la blockchain comporte seulement la clé d’accès à ces données de manière cryptée dans une base de données. Il n’est donc possible d’accéder à la donnée que via la personne propriétaire de la donnée, qui peut procéder directement à sa modification.

Droit à l’effacement (ou « droit à l’oubli »)

De manière générale, le droit à l’oubli est considéré comme l’élément clé de nouveauté issu du RGPD. Pourtant pas nouveau, ce droit est réputé pour être le premier argument en défaveur de toute adaptation de la blockchain à cette Réglementation.
Pour autant, en pratique, et dans les cas de blockchains permissionnées, de la même manière qu’avec le droit à la rectification, la personne concernée peut réaliser elle-même l’effacement de ses données à caractère personnel la concernant. L’utilisation de clés cryptographiques ne permet ensuite, en cas de suppression d’un utilisateur, plus de retrouver de manière directe ou indirecte l’auteur de cette transaction. Même si la clé est stockée de manière immuable, reste tout de même à déterminer si elle constitue ou non une donnée personnelle et empêche, de fait, l’exercice du droit à l’oubli dans sa totalité.

RGPD et blockchain : Apices juris non sunt jura

Les subtilités du droit ne sont pas le droit. Le stockage sur la blockchain de clés cryptographiques constitue toujours un débat chez les juristes afin de trancher sur le fait de savoir si elles constituent ou non une donnée à caractère personnel.

Selon qu’on cherche à appliquer la réglementation à la lettre ou selon l’esprit, les avis divergent.

D’une part, on a pu observer quelques hypothèses rapprochant par analogie le raisonnement de la Cour de Justice de l’Union Européenne en 2014, ou encore celui du Sénat, qui, dans son rapport « la vie privée à l’heure des mémoires numériques » du 27 mai 2009, affirmait clairement que « l’adresse IP constitue une donnée à caractère personnel ». Ainsi, à la lumière de ces constatations, la clé publique pourrait effectivement être considérée comme une donnée à caractère personnel, et empêcher l’exercice pleinement effectif du droit à l’oubli.

D’autre part, on assiste à des évolutions tellement rapides à l’ère du règne de la Donnée, que des recherches sont actuellement en cours pour créer des adresses publiques éphémères et de fait, anonymisées, qui permettraient d’en finir avec toute ré-identification possible des personnes, et conduiraient à l’application absolue et complète du droit à l’oubli au sein d’une blockchain.

Dans l’attente de ces évolutions ou de position tranchée par le législateur ou une autorité de protection des données, il faudra donc patienter quelques temps avant que la question RGPD et blockchain ne soit définitivement tranchée.

Dans tous les cas, les dispositions et les choix d’architectures spécifiques réalisés par certains opérateurs blockchain apportent des solutions concrètes en s’appuyant de travaux menés dans d’autres secteurs (Clés éphémères, TOR, anonymisation,etc…).

Pour comprendre la blockchain, le mieux est encore de faire de la bolckchain.

Cet article n’a pas vocation à être exhaustif ni sur la couverture des exigence RGPD, ni sur les modalités d’implémentations techniques ; mais regroupe quelques problématiques souvent rencontrées par nos Clients.

Pour comprendre ce qu’est une blockchain et la manière dont elle pourrait fonctionner dans votre entreprise, le mieux est encore de créer un projet blockchain en interne. Chain Ops à développé en partenariat avec plusieurs experts du secteur, une méthodologie appelée Lean Blockchain qui aide les entreprises à découvrir concevoir un projet blockchain de la découverte du concept au prototype fonctionnel.

Pour plus d’informations contactez-nous via le formulaire de contact présent sur notre site internet. Nous nous ferons un plaisir de vous aider à formaliser vos problématiques RGPD et blockchain, et à les résoudre dans l’implémentation de votre projet.

Nous sommes aussi à l’écoute de vos commentaires sur cet article pour le compléter, le clarifier ou le faire évoluer.

 

A propos des auteurs :

Cet article a été co-écrit par Mathieu Pesin et Aurélie Bayle.

 

 

Mathieu Pesin est ingénieur en informatique et titulaire d’un Master en commerce international. Entrepreneur, il est à l’origine de la méthode Lean Blockchain et occupe actuellement le poste de CEO chez Chain Ops. Chain Ops réalise des réseaux blockchain pour les entreprises du prototype au passage à l’échelle.
Il est aussi membre actif de l’association Civis Blockchain et co-auteur du livre blanc « Rendre la Smart City aux citoyens grâce à la Blockchain »

 

Aurélie Bayle est titulaire d’une licence en Droit ainsi qu’un Master II en Droit de Consommation & Concurrence de l’Université de Montpellier. A ce jour, elle réalise un doctorat en droit privé à l’Université de Montpellier, travaillant sur la compatibilité éventuelle de la technologie blockchain avec la réglementation en vigueur en matière de protection des données (RGPD et LIL3). Dans le même temps, elle est Déléguée à la Protection des Données du Groupe be|ys.
Elle a réalisé plusieurs missions de conseil pour différents projets blockchain, notamment le projet H2020 « MyHealthMyData ». A côté de ces activités principales, elle est également consultant blockchain et speaker dans des conférences à propos d’identité numérique, de blockchain sur les aspects légaux, et sur la protection des données.
Elle est enfin secrétaire et membre active de l’association Civis Blockhain.

 

 

Bonjour tout le monde !

Grâce au blog de Chain Ops nous voulons vous proposer du contenu de qualité sur la technologie blockchain, des case d’usages et des partages d’expériences liés à notre activité.

Bonjour à tous ! Nous, c’est Chain Ops.

Nous sommes heureux de vous proposer notre expertise et nos services en matière de blockchain pour les entreprises.

Mais avant toutes choses, laissez nous vous présenter Chain Ops en quelques mots.

La blockchain de votre entreprise

Chez Chain Ops, nous créons et opérons des blockchains pour les entreprises, du POC au passage à l’échelle.

Notre mission est donc de :

  • Concevoir : Créer des architectures et des applications blockchain pour les entreprises.
  • Déployer : Mettre en production les infrastructures clients sur des réseaux privés.
  • Opérer : Garantir les coûts de  transactions, la performance et  réduire les coûts d’infrastructure.

 

Technologie opensource

Chain Ops construit son réseau de blockchain et les développements des projets qui lui sont confiés sur la technologie Hyperledger. Il s’agit d’une technologie Open Source supportée par une communauté d’industriels et d’experts garantissant la sécurité et la confiance dans les transaction opérées entre toutes les entreprises partageant un même réseau de valeur.

Pourquoi Hyperledger ?

Nous avons choisi cette technologie pour de nombreuses raisons :  

  • La transparence, puisque le projet est open source,
  • La pérennité d’une technologie adopté par des acteurs majeurs,
  • La collaboration de nombreux acteur locaux et internationaux pour développer les applications et les outils d’infrastructure,
  • Une communauté ouverte, active et mondiale,
  • La sécurité de la technologie blockchain,
  • La stabilité du coût des transactions.

Hyperledger permet en outre de réaliser des Blockchains dites permissionnées. Ce type de blockchain a principalement 3 différences avec les BlockChains publiques :

  • La possibilité de créer un réseau privé pour chaque entreprise.
  • Un langage de programmation de contrats standard,
  • Des transactions ultra-rapides à coûts fixes.

 

Adaptée à vos besoins

Le fruit de 2 années de recherche et développement

Chain Ops a créé une série d’outils et de bonnes pratiques sur Hyperledger afin de fournir aux entreprises un environnement technique simple et complet, un écosystème d’applications décentralisées et une interface transparente avec les plateformes de crypto-monnaies.

Nous créons en effet des réseaux de Blockchains privées ou mutualisés pour les entreprises et des chaînes secondaires éventuellement liées à des plateformes de cryptos-monnaies pour créer vos tokens standards.

Notre implémentation est 100% compatibles avec la RGPD. Elle utilise les standards du web sémantique et nous permet ainsi de créer un écosystème d’applications décentralisées qui répondent aux besoins de nos clients. Par exemple. Sécurité, Wallet, KYC, Facturation de l’accès aux données, Facturation, etc.

Enfin, notre service « Sand-box » bien documenté facilite le prototypage rapide et les outils de passage en production permettent une amélioration rapide et continue de la blockchain de l’entreprise.

Notre infrastructure permet d’opérer des blockchains de manière décentralisée et d’interconnecter des réseaux publics et privés tout en conservant une localisation des données sur l’infrastructure cloud de l’entreprise.

Vous voulez en savoir plus ? Contactez-nous pour parler plus en détail de votre projet blockchain. Nous avons hâte de savoir comment vous allez changer le monde !

Crédit Photo : Plantoid de Primavera de Filippi sur theconversation.com