Depuis quelques années, nous assistons à un déploiement massif de la blockchain un peu partout. Qu’elle soit publique ou privée, ses avantages sont indéniables : traçabilité de l’information, non répudiation de cette dernière, facilités de déploiement sont autant d’éléments qui participent à son succès. Cependant, son principe de fonctionnement pourrait représenter un défi majeur pour assurer sa conformité au règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données … plus connu sous le doux nom de RGPD.
La Blockchain, qu’est-ce que c’est ?
Créée à la base pour le Bitcoin, la blockchain est une technologie qui permet de stocker et de transmettre des informations, de façon complètement transparente, sans organe central de contrôle et généralement, de façon plus ou moins sécurisée.
La traduction littérale, « chaine de blocs », et une bonne image de ce qu’est la blockchain : une sorte base de données qui contient l’ensemble des informations relatives aux échanges effectués entre les utilisateurs de la blockchain et ce depuis la création de cette dernière.
Cette base de données est distribuée entre les utilisateurs de la blockchain, sans qu’aucun intermédiaire ne s’interface entre les utilisateurs. C’est un des principes clef de la blockchain : chaque personne peut vérifier la validité de cette dernière. On peut donc confirmer une information car l’ensemble des utilisateurs actifs de la blockchain dispose de la même.
Pour donner une image plus ou moins représentative, on pourrait imaginer qu’une blockchain est comme un énorme livre. Dans ce livre, on consigne l’ensemble des informations relatives à des échanges (exemple : Paul Dupont, habitant au 17 de la Rue du Lac, 51000 Reims a vendu trois baguettes à Jean, habitant 12 Boulevard de la Paix, 51100 Reims, le 10 avril 2019, à 13:55:02,31 heures, pour 3 euros). Tout le monde peut consulter ce livre et approuver par vérification les transactions effectuées mais personne ne peut supprimer les informations contenues dans ce livre. Un utilisateur qui se sert d’un programme pour relayer ces transactions et qui garde une copie du registre de la blockchain est appelé un « nœud », ou node, en anglais. Ces nodes, dont certaines réalisent des tâches spécifiques, sont réparties un peu partout à travers le monde, puisque les utilisateurs peuvent être n’importe où et parfois n’importe qui.
Certaines blockchains sont publiques et librement accessibles à tous. Il suffit de télécharger un logiciel spécifique capable de gérer la blockchain sur laquelle vous souhaitez vous inscrire, une copie du registre de la blockchain (le livre dont nous parlions juste avant) est alors téléchargée et … c’est parti !
D’autres, à l’inverse, sont privées, les acteurs de cette blockchain sont alors spécifiques, ils doivent être autorisés, approuvés, afin de pouvoir utiliser ladite blockchain.
Bon, c’est plus clair, mais… concrètement, à quoi ça sert ?
Des experts du sujet m’ont dit, un jour « ça sert à tout ce que tu veux, la seule limite c’est ton imagination ». La réalité n’est probablement pas très lointaine de cette déclaration. On peut imaginer de très (très) nombreux usages de la blockchain. On pourrait l’utiliser dans le secteur agroalimentaire pour disposer d’un registre transparent et vérifié sur la traçabilité de la nourriture. Ainsi, au hasard évidemment, on pourrait éviter d’avoir du cheval dans ce qui est censé être du 100% bœuf.
On pourrait l’utiliser (et on l’utilise) pour consigner des actes de vente dans l’immobilier. La blockchain permet d’avoir toutes les informations d’un bien, ses différents propriétaires au fil du temps, son état, … elle permet aussi à l’acheteur de disposer d’une preuve de vente, parfaitement indiscutable.
On peut y avoir recours dans les systèmes bancaires, dans la gestion des titres, des diplômes, des certifications et de bien d’autres choses encore…
En résumé, la blockchain dispose de très nombreuses applications.
Et RGPD dans tout ça ?
Le RGPD, de son côté, est venu renforcer le cadre juridique relatif à la protection des données à caractère personnel. Trois des grands objectifs de ce règlement européen étaient l’uniformisation du cadre réglementaire au sein de l’Europe, le renforcement des droits des individus et, axe fondamental qui a vu le jour avec l’arrivée du RGPD : « l’accountability ».
Ce principe requiert un certain nombre d’exigences, qui incombent aux organismes publics, privés, aux personnes physiques ou morales qui exercent un rôle au sein du traitement. Avant RGPD, les responsables de traitement devaient déclarer leurs traitements aux autorités compétentes (la CNIL, en France, je ne parlerai d’ailleurs que de la CNIL ici). Le responsable de traitement indiquait alors ce qu’il faisait des données, comment elles étaient collectées, pourquoi, comment elles étaient protégées… mais tout ceci n’était que déclaratif.
Avec RGPD, ce régime déclaratif n’existe, à de rares exceptions près, plus. Les entreprises doivent prendre toutes les mesures nécessaires pour garantir qu’elles sont en conformité avec le RGPD… et surtout, elles doivent être en capacité de démontrer cette dernière !
Les mesures, tant techniques d’organisationnelles, sont nombreuses, je ne vais donc parler que de celles en lien avec le sujet, et d’une façon générale. (ndlr : l’objectif n’est pas, ici, de fournir une présentation complète du RGPD, ni une formation sur le sujet. Le billet serait illisible, et long, très long.)
Une entreprise responsable de traitement doit identifier les acteurs du traitement, ses tiers, ses destinataires, ses sous-traitants. Ses obligations vont très significativement varier selon ce que l’entreprise est.
L’entreprise doit pouvoir informer les utilisateurs concernés par le traitement de données à caractère personnel. Elle doit, entre autres, leur indiquer les finalités du traitement, les personnes impliquées dans le traitement, les tiers et destinataires des données, la durée de conservation des données, …
L’entreprise doit aussi indiquer les droits que les personnes concernées peuvent exercer et la procédure à suivre pour le faire, outre le droit d’accès auquel tout le monde pense, le droit de rectification, d’effacement, de limitation du traitement, de portabilité des données, d’opposition et d’opposition à la prise de décision individuelle automatisée doivent être intégrés, dans la mesure du possible et s’ils font sens.
L’objectif du RGPD n’est pas d’interdire des technologies, mais d’en réguler l’usage. Ainsi, hors de question d’interdire la Blockchain.
Enfin, les entreprises, dans cette logique d’accountability, doivent être en capacité, à tout moment, de démontrer que leurs traitements respectent les principes directeurs du RGPD. L’entreprise doit donc documenter sa façon de faire, ses informations transmises, ses procédures, le registre de ses activités… Bref, elle doit tout connaître de la façon dont elle gère des données à caractère personnel.
Ce ne sont que quelques points qui vous permettent de comprendre ce qui est attendu d’une entreprise afin qu’elle soit conforme à la règlementation. Sans entrer dans les détails, j’accompagne des clients sur leur mise en conformité au RGPD, et si ça semble facile sur le papier, en pratique, c’est nettement plus vaste et compliqué.
Vous commencez peut-être à comprendre les problématiques de la conformité RGPD appliquée à la blockchain… Non ?
Si ce n’est pas le cas, rassurez-vous, le second billet sur le sujet va vous aider à mieux comprendre.