Quand le droit à l’oubli devient possible sur la blockchain Ethereum

Sto­ckage de diplômes ou de don­nées sur la blo­ck­chain et pro­tec­tion des don­nées per­son­nelles : l’impossible pari ? La Legal Opi­nion du cabi­net Lexing Alain Ben­sous­san ana­lyse la « com­pliance » de la solu­tion BCDi­plo­ma avec le RGPD.

Le règle­ment géné­ral sur la pro­tec­tion des don­nées (RGDP) consti­tue­ra le nou­veau texte de réfé­rence en matière de pro­tec­tion des don­nées per­son­nelles, défi­nies comme « toutes infor­ma­tions se rap­por­tant à une per­sonne phy­sique ». Il pren­dra effet le 25 mai 2018.

Nou­velle réfé­rence en terme de pro­tec­tion de la vie pri­vée, on retrouve notam­ment par­mi ses apports l’octroi de nou­veaux droits pour les indi­vi­dus dont les don­nées font l’objet de traitements :

• Le droit à l’effacement (aus­si appe­lé droit à l’oubli) ;
• Le droit à la portabilité ;
• Le droit de rectification.

Le RGDP a une por­tée extra­ter­ri­to­riale et s’applique à toutes les entre­prises pos­sé­dant ou trai­tant des don­nées de rési­dents de l’UE. Le règle­ment donne au régu­la­teur le pou­voir d’infliger des sanc­tions finan­cières allant jusqu’à 4% du chiffre d’affaires mon­dial annuel d’une entre­prise.

Dès lors, on ima­gine sans peine que la mise en confor­mi­té avec cette nou­velle régle­men­ta­tion pour­rait consti­tuer un enjeu majeur pour les entre­prises, les DSI et les juristes.

Blockchain et RGPD : l’inévitable collision ?

« Le RGDP donne éga­le­ment aux citoyens de l’UE un droit d’ef­fa­ce­ment : il leur faut pou­voir exi­ger que les entre­prises qui détiennent leurs don­nées effacent irré­vo­ca­ble­ment les don­nées sur demande (ce qui est éga­le­ment connu sous le nom de « droit à l’oubli »). […] Cela pour­rait ame­ner pro­chai­ne­ment la tech­no­lo­gie blo­ck­chain et le RGPD à ren­trer en col­li­sion.» Luther Martin

Chaque jour, de nou­veaux ser­vices basés sur la blo­ck­chain sont créés, dans les domaines divers et variés : finance, assu­rance, logis­tique, san­té, mais aus­si l’éducation, avec la cer­ti­fi­ca­tion de diplômes.

Or, de par le carac­tère inal­té­rable de la blo­ck­chain, une fois qu’une don­née est « écrite » sur une blo­ck­chain, elle est impos­sible à effa­cer ou à modi­fier. À pre­mière vue, blo­ck­chain et droit à l’oubli ne semblent donc pas com­pa­tibles. Inal­té­ra­bi­li­té et décen­tra­li­sa­tion impliquent non seule­ment que le registre soit inef­fa­çable, mais sur­tout par­ta­gé entre tous les utilisateurs.

En cas d’exercice du droit à l’oubli, on s’attendrait donc à devoir aller à l’encontre du prin­cipe même d’inaltérabilité de la blo­ck­chain. Il fau­drait effa­cer la don­née de chaque nœud de la blo­ck­chain, ain­si que son his­to­rique, ce qui n’est ni sou­hai­table, ni pos­sible. Pour les acteurs et uti­li­sa­teurs de la tech­no­lo­gie blo­ck­chain, cer­tains estiment qu’il devient urgent de trou­ver des réponses à cette ques­tion afin de ne pas frei­ner l’adoption de cette tech­no­lo­gie. A plus forte rai­son lorsque l’on réa­lise que le champ d’application tant maté­riel que ter­ri­to­rial du Règle­ment est extrê­me­ment vaste.

Cryptographie et algorithme sécurisé : le cabinet Lexing Alain Bensoussan envisage la conformité avec le RGDP d’une solution de stockage de diplômes et de données sur la blockchain Ethereum.

La piste cryp­to­gra­phique semble être la plus à même de conci­lier don­nées per­son­nelles et sto­ckage sur une blo­ck­chain publique, mais l’enjeu consiste à pro­po­ser un algo­rithme suf­fi­sam­ment sécu­ri­sé pour qu’il puisse être accep­té par le légis­la­teur.

« Si des ren­sei­gne­ments per­son­nels sont chif­frés avant d’être trans­mis à une blo­ck­chain, la des­truc­tion de la clé rend ces don­nées illi­sibles. Mais est-ce suf­fi­sant pour res­pec­ter le droit à l’oubli, si tech­ni­que­ment les don­nées sont encore là ? Le légis­la­teur devrait accep­ter la des­truc­tion d’une clé à des fins d’effacement comme conformes aux régu­la­tions du RGDP, pour autant que la des­truc­tion soit effec­tuée confor­mé­ment aux meilleures pra­tiques et d’une manière contrô­lable par audit. » Greg McMullen

Pour répondre à cette exi­gence tech­nique et essen­tielle, BCDi­plo­ma pro­pose un fra­me­work open source – Evi­denZ – capable de sto­cker sur Ethe­reum des diplômes et des don­nées per­son­nelles tout en res­pec­tant le RGDP. Les don­nées sont cryp­tées et sécu­ri­sées à l’aide d’un jeu de trois clés :

(i) Clé du diplô­mé. Il s’a­git de la pro­prié­té du diplô­mé ; cette clé est inté­grée à l’URL de consul­ta­tion du diplôme.

(ii) Clé per­sis­tante. Elle est conser­vée par l’é­ta­blis­se­ment d’en­sei­gne­ment. Lorsque le diplô­mé sou­haite exer­cer son droit à l’ou­bli, il n’y a qu’à détruire cette clé.

(iii) Clé per­ma­nente de l’é­cole. L’é­ta­blis­se­ment d’en­sei­gne­ment la conserve.

Les don­nées ain­si sto­ckées ne peuvent pas être exploi­tées à des fins com­mer­ciales sans le consen­te­ment du diplômé.

« BCDi­plo­ma a conçu un algo­rithme per­met­tant une sécu­ri­sa­tion totale de la clé AES du diplôme. Elle n’est pas enre­gis­trée et ne peut être géné­rée que par l’as­sem­blage de trois clés via un pro­ces­sus de déri­va­tion. BCDi­plo­ma garan­tit aux éta­blis­se­ments et aux titu­laires de diplômes que les don­nées sur Ethe­reum sont cryp­tées et ne peuvent être lues qu’a­vec la pos­ses­sion des trois clés grâce à l’al­go­rithme AES_256_GCM, (…) l’un des pro­ces­sus de cryp­tage les plus sûrs du mar­ché », Legal Opi­nion, Lexing Alain Bensoussan

Le cabi­net Lexing Alain Ben­sous­san, spé­cia­liste du droit de la don­née et des nou­velles tech­no­lo­gies, a pro­duit une Legal Opi­nion à pro­pos de la solu­tion BCDi­plo­ma. C’est l’une des pre­mières fois que la com­pliance d’une solu­tion Ethe­reum avec le RGDP et le droit à l’oubli est envi­sa­gée. BCDi­plo­ma (www.bcdiploma.com) ouvre la voie à un sto­ckage des don­nées per­son­nelles sur la blo­ck­chain et ouvre le champ des pos­sibles quant à la confor­mi­té blockchain-RGDP.

Des ques­tions ? Rejoi­gnez BCDi­plo­ma sur Tele­gram : https://t.me/BCDiploma