Stockage de diplômes ou de données sur la blockchain et protection des données personnelles : l’impossible pari ? La Legal Opinion du cabinet Lexing Alain Bensoussan analyse la « compliance » de la solution BCDiploma avec le RGPD.
Le règlement général sur la protection des données (RGDP) constituera le nouveau texte de référence en matière de protection des données personnelles, définies comme « toutes informations se rapportant à une personne physique ». Il prendra effet le 25 mai 2018.
Nouvelle référence en terme de protection de la vie privée, on retrouve notamment parmi ses apports l’octroi de nouveaux droits pour les individus dont les données font l’objet de traitements :
- Le droit à l’effacement (aussi appelé droit à l’oubli) ;
- Le droit à la portabilité ;
- Le droit de rectification.
Le RGDP a une portée extraterritoriale et s’applique à toutes les entreprises possédant ou traitant des données de résidents de l’UE. Le règlement donne au régulateur le pouvoir d’infliger des sanctions financières allant jusqu’à 4% du chiffre d’affaires mondial annuel d’une entreprise.
Dès lors, on imagine sans peine que la mise en conformité avec cette nouvelle réglementation pourrait constituer un enjeu majeur pour les entreprises, les DSI et les juristes.
Blockchain et RGPD : l’inévitable collision ?
« Le RGDP donne également aux citoyens de l’UE un droit d’effacement : il leur faut pouvoir exiger que les entreprises qui détiennent leurs données effacent irrévocablement les données sur demande (ce qui est également connu sous le nom de « droit à l’oubli »). […] Cela pourrait amener prochainement la technologie blockchain et le RGPD à rentrer en collision.» Luther Martin
Chaque jour, de nouveaux services basés sur la blockchain sont créés, dans les domaines divers et variés : finance, assurance, logistique, santé, mais aussi l’éducation, avec la certification de diplômes.
Or, de par le caractère inaltérable de la blockchain, une fois qu’une donnée est « écrite » sur une blockchain, elle est impossible à effacer ou à modifier. À première vue, blockchain et droit à l’oubli ne semblent donc pas compatibles. Inaltérabilité et décentralisation impliquent non seulement que le registre soit ineffaçable, mais surtout partagé entre tous les utilisateurs.
En cas d’exercice du droit à l’oubli, on s’attendrait donc à devoir aller à l’encontre du principe même d’inaltérabilité de la blockchain. Il faudrait effacer la donnée de chaque nœud de la blockchain, ainsi que son historique, ce qui n’est ni souhaitable, ni possible. Pour les acteurs et utilisateurs de la technologie blockchain, certains estiment qu’il devient urgent de trouver des réponses à cette question afin de ne pas freiner l’adoption de cette technologie. A plus forte raison lorsque l’on réalise que le champ d’application tant matériel que territorial du Règlement est extrêmement vaste.
Cryptographie et algorithme sécurisé : le cabinet Lexing Alain Bensoussan envisage la conformité avec le RGDP d’une solution de stockage de diplômes et de données sur la blockchain Ethereum.
La piste cryptographique semble être la plus à même de concilier données personnelles et stockage sur une blockchain publique, mais l’enjeu consiste à proposer un algorithme suffisamment sécurisé pour qu’il puisse être accepté par le législateur.
« Si des renseignements personnels sont chiffrés avant d’être transmis à une blockchain, la destruction de la clé rend ces données illisibles. Mais est-ce suffisant pour respecter le droit à l’oubli, si techniquement les données sont encore là ? Le législateur devrait accepter la destruction d’une clé à des fins d’effacement comme conformes aux régulations du RGDP, pour autant que la destruction soit effectuée conformément aux meilleures pratiques et d’une manière contrôlable par audit. » Greg McMullen
Pour répondre à cette exigence technique et essentielle, BCDiploma propose un framework open source – EvidenZ – capable de stocker sur Ethereum des diplômes et des données personnelles tout en respectant le RGDP. Les données sont cryptées et sécurisées à l’aide d’un jeu de trois clés :
(i) Clé du diplômé. Il s’agit de la propriété du diplômé ; cette clé est intégrée à l’URL de consultation du diplôme.
(ii) Clé persistante. Elle est conservée par l’établissement d’enseignement. Lorsque le diplômé souhaite exercer son droit à l’oubli, il n’y a qu’à détruire cette clé.
(iii) Clé permanente de l’école. L’établissement d’enseignement la conserve.
Les données ainsi stockées ne peuvent pas être exploitées à des fins commerciales sans le consentement du diplômé.
« BCDiploma a conçu un algorithme permettant une sécurisation totale de la clé AES du diplôme. Elle n’est pas enregistrée et ne peut être générée que par l’assemblage de trois clés via un processus de dérivation. BCDiploma garantit aux établissements et aux titulaires de diplômes que les données sur Ethereum sont cryptées et ne peuvent être lues qu’avec la possession des trois clés grâce à l’algorithme AES_256_GCM, (…) l’un des processus de cryptage les plus sûrs du marché », Legal Opinion, Lexing Alain Bensoussan
Le cabinet Lexing Alain Bensoussan, spécialiste du droit de la donnée et des nouvelles technologies, a produit une Legal Opinion à propos de la solution BCDiploma. C’est l’une des premières fois que la compliance d’une solution Ethereum avec le RGDP et le droit à l’oubli est envisagée. BCDiploma (www.bcdiploma.com) ouvre la voie à un stockage des données personnelles sur la blockchain et ouvre le champ des possibles quant à la conformité blockchain-RGDP.
Des questions ? Rejoignez BCDiploma sur Telegram : https://t.me/BCDiploma