La RGPD est-elle la bonne excuse pour arrêter tous vos projets Blockchain ?
La RGPD est là.
A présent qu’elle est établie, la bienveillance et la présomption d’innocence nous enjoignent à considérer que chacun est en règle, sauf preuve du contraire. Nous pouvons à nouveau nous replonger dans nos projets de transformation numérique… Nos gestions d’accès sont conformes, nos bases de données sont en règle, plus rien ne peut nous arrêter ! Vers l’infini et au-delà !
“Au fait, quelqu’un a pensé à la Blockchain ? On n’aurait pas un souci là ?”
La Responsabilité ?
“La RGPD c’est pas le truc où on doit avoir un “responsable du traitement”, qui porte la responsabilité juridique des données ?” (cf. article 4 )
“Et la Blockchain c’est pas une technologie totalement décentralisée, sans gouvernance ?”
Pour les Blockchain privées, que l’on retrouve majoritairement dans les cas d’usages industriels, le CDO du consortium assumera cette responsabilité.
Mais pour les Blockchain publiques (Ethereum), la question se pose en effet… Pas de responsable formellement nommé. Alors qui est garant de la conformité aux règles ? Les développeurs du Smart Contract ? Les mineurs ? Les utilisateurs / initiateurs des transactions ?
Aucune réponse évidente… et l’on serait même tentés d’esquiver cette responsabilité par une pirouette technique stipulant que la Blockchain n’est pas un système d’information ni une base de données, mais un protocole au même titre que HTTP, et qu’à ce titre il ne saurait porter une quelconque responsabilité, pas plus qu’un routeur ne porte la responsabilité du trafic internet qu’il relaie.
Mais s’il faut un nom, alors responsabilité se situe probablement chez celui qui initie la transaction. De même que cette initiation valide implicitement son consentement (important aussi au passage pour la RGPD) l’utilisateur et initiateur prend implicitement la responsabilité de la donnée transférée dans la Blockchain.
Le droit à l’oubli ?
“La RGPD c’est pas le truc où on s’est engagés à supprimer toutes les données d’un utilisateur sur simple demande ?” (cf. article 17)
“Et la Blockchain justement, c’est pas la technologie révolutionnaire qui grave dans le marbre toute donnée insérée”
La Blockchain génère nativement une certaine forme d’anonymat de par les protocoles de chiffrement asymétriques sur lesquels elles est construite. Un utilisateur ne diffuse pas son identité dans les échanges, mais une clé de chiffrement publique. On pourrait croire qu’on est conformes puisqu’il serait impossible d’identifier directement ou indirectement une personne physique…
Eh non… En réalité, on peut parler au mieux de pseudonymat, car rien n’empêche de remonter au propriétaire d’une clé publique par croisement d’informations, tout comme on remonterait à l’utilisateur d’une adresse IP.
Et puis rien n’empêche de stocker des données personnelles explicites dans des variables de Smart Contracts !
Donc, la question du droit à l’oubli se pose bien.
Et comment on fait pour effacer une donnée personnelle inscrite dans une Blockchain ?
Ben… on ne fait pas… Ces données sont fondamentalement immutables dès lors qu’elles ont été validées dans un bloc.
Alors il faut ruser…
Il existe des solutions techniques qui permettent de contourner le problème des données publiques stockées sur la Blockchain : tout simplement en ne les stockant pas !
Il est possible de concevoir de solutions de “Blockchain Layer 2”, qui permettent de stocker dans la Blockchain, non pas une donnée, mais une empreinte numérique (hash) de la donnée, qui elle reste stockée hors-blockchain, dans une base de données classique, sur laquelle on peut opérer les recommandations de la RGPD : suppression des données, conservation limitée dans le temps, etc.
On peut aussi s’appuyer sur des protocoles de chiffrement “Zero Knowledge Proof” fournissant des “preuves à divulgation nulle de connaissance” : vous stockez des données sur une Blockchain tout en garantissant que personne n’y a accès, et pourtant l’utilisateur peut fournir la preuve que cette donnée existe si besoin. Les cas d’usage existent mais restent délicats à définir.
En conclusion,
la Blockchain n’est pas incompatible avec la RGPD, au contraire, ses concepts fondamentaux : transparence, chiffrement, et intégrité en font un outil idéal. Reste cependant le problème du droit à l’oubli qu’il convient d’adresser en amont de la conception des projets afin d’établir l’architecture ad hoc pour pouvoir être en conformité.
Alors continuez vos projets Blockchain, vous êtes en règle !