La tech­no­lo­gie blo­ck­chain à l'épreuve du RGPD

IT for Business - - SOMMARIRE - Me Pierre-ran­dolph Du­fau Avo­cat à la cour Fon­da­teur de la SELAS PRD avo­cats

Contrats in­tel­li­gents (« smart contracts »), tran­sac­tions fi­nan­cières, le­vées de fonds, trans­fert d’ac­tifs (bit­coin), vote en ligne, ges­tion de droits de pro­prié­té in­tel­lec­tuelle, la blo­ck­chain est au­jourd’hui uti­li­sée dans des do­maines va­riés. No­tam­ment ca­rac­té­ri­sée par le par­tage, la dé­cen­tra­li­sa­tion et l’ir­ré­ver­si­bi­li­té des in­for­ma­tions trans­mises par son biais, sa com­pa­ti­bi­li­té aux grands prin­cipes po­sés par le RGPD sou­lève de nom­breuses ques­tions.

La blo­ck­chain est dé­fi­nie comme une tech­no­lo­gie de trans­mis­sion d’in­for­ma­tions et de sto­ckage, trans­pa­rente et sé­cu­ri­sée per­met­tant de re­trans­crire toutes les tran­sac­tions de ses uti­li­sa­teurs et d’en as­su­rer leur tra­ça­bi­li­té. Chaque nou­velle tran­saction ef­fec­tuée par un par­ti­ci­pant est vé­ri­fiée et va­li­dée par un membre du ré­seau blo­ck­chain (« un mi­neur »), puis cryp­tée. Elle consti­tue alors un bloc ho­ro­da­té qui vient s’ajou­ter à la chaîne de blocs pré­cé­dents, sto­ckés de fa­çon dé­cen­tra­li­sée sur l’en­semble des ser­veurs du ré­seau et ne pour­ra plus être mo­di­fiée. Pour la Cnil, la blo­ck­chain n’est donc qu’ « une base de don­nées dans la­quelle les don­nées sont sto­ckées et dis­tri­buées sur un grand nombre d’or­di­na­teurs et dans la­quelle toutes les écri­tures ef­fec­tuées (…) sont vi­sibles de l’en­semble des uti­li­sa­teurs de­puis sa créa­tion. » Cette tech­no­lo­gie per­met de réa­li­ser une mul­ti­tude de trai­te­ments de don­nées aux­quels s’ap­plique le RGPD. Les en­jeux de cette nou­velle rè­gle­men­ta­tion avec ceux de la blo­ck­chain semblent tou­te­fois à pre­mière vue op­po­sés. Le RGPD est ain­si consa­cré à la pro­tec­tion des don­nées per­son­nelles en tant qu’at­tri­but de la vie pri­vée alors même que la blo­ck­chain est conçue comme un ou­til de trans­pa­rence et de par­tage. Tou­te­fois, loin de condam­ner son uti­li­sa­tion, la Cnil vient de li­vrer ses pre­miers élé­ments d’ana­lyse en sep­tembre 2018. Se­lon elle, les don­nées per­son­nelles conte­nues au sein d’une blo­ck­chain sont re­la­tives à l’iden­ti­fiant des ac­teurs de la chaîne et à l’ob­jet de la tran­saction. Mais alors que la dés­in­ter­mé­dia­tion fait la force de la blo­ck­chain et ga­ran­tit l’au­then­ti­ci­té de ses in­for­ma­tions, s’af­fran­chis­sant de tout contrôle cen­tra­li­sé, le RGPD confie le trai­te­ment de don­nées à un tiers de confiance, qu’il convient d’iden­ti­fier. Pour elle, chaque par­ti­ci­pant qui crée une nou­velle écri­ture, en rap­port avec son ac­ti­vi­té pro­fes­sion­nelle, en­dos­se­ra cette qua­li­té, les « mi­neurs » qui se li­mitent à la va­li­da­tion des tran­sac­tions étant alors le plus sou­vent consi­dé­rés comme des sous-trai­tants. La Cnil s’in­ter­roge aus­si sur l’ap­ti­tude de la blo­ck­chain à as­su­rer une par­faite confor­mi­té au RGPD concer­nant la pro­tec­tion des droits des per­sonnes et offre des so­lu­tions pour s’en ap­pro­cher. Par exemple, l’ir­ré­ver­si­bi­li­té des ac­tions ef­fec­tuées sur la blo­ck­chain per­met in­dé­nia­ble­ment de ré­pondre aux obli­ga­tions de tra­ça­bi­li­té du consen­te­ment ou des ac­tions ef­fec­tuées sur les don­nées. Mais celles-ci ne pou­vant tech­ni­que­ment être mo­di­fiées ou sup­pri­mées, cet as­pect heurte les prin­cipes du RGPD qui s’at­tache au contraire à ga­ran­tir une conser­va­tion li­mi­tée et un droit de rec­ti­fi­ca­tion et de sup­pres­sion des don­nées. La Cnil re­com­mande donc un for­mat de sto­ckage ha­ché et le re­cours à des pro­cé­dés cryp­to­gra­phiques pour rendre la don­née qua­si-in­ac­ces­sible et ain­si se rap­pro­cher des ef­fets d’un ef­fa­ce­ment de celle-ci.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.