Le RGPD, déclencheur remarqué d’une prise de conscience au sujet des enjeux de la protection des données en Union Européenne, fêtera bientôt sa première bougie.
A quelques semaines de l’anniversaire de son entrée en application, ce dernier laisse pourtant encore planer des interrogations quant à son éventuelle compatibilité avec les nouvelles technologies.
Big data, IA, Blockchain, tour à tour, les nouvelles technologies innervent notre quotidien, sans pour autant avoir été anticipées par une réglementation dont la vocation était davantage centralisée.
Nous vous proposons aujourd’hui un focus sur la technologie Blockchain.
Tout d’abord, la technologie Blockchain (publique) s’incarne au travers d’une base de données (registre) qui permet de stocker de façon distribuée sur une multitude d’ordinateurs les données qui y sont inscrites.
La Blockchain est donc caractérisée par la décentralisation des données gérées et propose plus de transparence en permettant de rendre consultables par tous les données y figurant, d’irréversibilité (les données inscrites ne pouvant être effacées ou modifiées), et de désintermédiation car elle peut ne nécessiter aucune structure de gestion.
La Blockchain est ainsi une sorte de grand livre, à l’image du livre comptable, composé d’informations regroupées dans des « blocs », que tout le monte peut lire, sur lequel tout le monde peut écrire, dont chacun dispose d’une copie, mais pour lequel personne ne peut revenir en arrière (effacer ou modifier).
Cette architecture complexe est aussi marque de robustesse : chacun est ainsi libre de vérifier et contrôler que les éléments ne sont modifiés que pour l’ajout d’un nouveau bloc, et non pas dans le contenu des précédents.
Ceci étant dit, on ne visualise pas toujours si facilement les cas d’usages et les applications possibles de cette technologie quelque peu complexe.
Généralement, les utilisations sont de 3 ordres :
Les transferts (d’actifs) : la Blockchain devient alors le registre des transactions effectuées (ex : Bitcoin et les autres cryptomonnaies/cryptoactifs).
La gestion de traçabilité : la Blockchain voit inscrire des informations au sein des blocs pour en attester la traçabilité (traçabilité alimentaire, certification de diplômes ou d’œuvres, traçabilité logistique, etc.) ;
La création et l’exécution de smart contracts : au nom trompeur, ces programmes auto-exécutants sont en réalité une modalité d’exécution d’un contrat au sens juridique du terme. Ils rendent automatique l’exécution de leur accord sur la Blockchain lorsque les conditions arrêtées par les parties sont réalisées.
Il existe différents types de Blockchain : de la Blockchain totalement accessible à n’importe quel individu, à la Blockchain privée qui est sous la supervision d’un administrateur en passant par la Blockchain dite « hybride » ou « permissionnée » qui régule l’accès ou la validation des données à la fois de manière publique et/ou privative.
Selon la configuration choisie, différents acteurs entrent en jeu et font vivre cette mécanique cryptographique, pouvant être tant des personnes morales que physiques : accédants, participants, mineurs, intermédiaires, etc.
Mais qui fait quoi en définitive ?
Contrairement aux idées reçues, la technologie Blockchain n’est pas assujettie en tant que telle à la Réglementation. En ce sens, la Blockchain est un protocole, une technologie, un outil, sur lequel reposera un traitement. Elle n’est pas le traitement en soi. Reste alors à analyser les rôles de chacun pour en déterminer les responsabilités et obligations.
Tous les avantages portés par la Blockchain questionnent les obligations imposées par le RGPD quand il s’agit de traiter des données personnelles. La CNIL s’est d’ailleurs penchée sur la question en septembre dernier[i], avant de réaffirmer quelques positions dans son rapport annuel publié il y a quelques jours, et le constat est unanime : « la [Blockchain] et la protection des droits fondamentaux des personnes ne sont pas deux objectifs antagonistes[ii] ».
L’obligation, pour les entreprises, de se conformer au RGPD et l’utilisation de la technologie Blockchain devrait les conduire à faire preuve d’une extrême vigilance dès lors qu’ils souhaitent utiliser la technologie.
Au-delà de se questionner sur l’opportunité d’utiliser la Blockchain comme « support », qu’il s’agisse de gestion des responsabilités, de territorialité, de respect des durées de conservation, de sous-traitance, ou encore de gestion des droits des personnes (dont le droit à l’oubli), les acteurs concernés devront s’interroger sur l’ensemble de leur projet et réaliser une sorte d’analyse d’impact à large échelle.
Pour vous aider à y voir plus clair et apprécier la situation dans laquelle vous vous trouvez Dig-IT propose une formation Blockchain et RGPD d’une journée, qui intègre l’étude de cas concrets et un panorama des problématiques issues de la confrontation de ces deux thématiques. Pragmatique, la formation s’appuie sur les bonnes pratiques déjà mises en œuvre ou ayant eu un retentissement médiatique. Cette formation permettra de revenir et d’étudier les principes issus du RGPD, pour les confronter à la réalité de la Blockchain et de ses cas d’usages.
Sources :
