La blockchain, si on en entend de plus en plus parler, elle est pourtant encore une notion étrangère pour certains. Mais, si tel est votre cas, ne vous en faites pas, cela devrait vite changer ! En effet, si la blockchain n’est la réalité d’aujourd’hui que pour certains, elle est sans doute la réalité de tous pour demain.
Pourtant, si de plus en plus d’entreprises veulent y prendre part, le RGPD semble parfois en distorsion avec certains de ses fonctionnements. Quelles sont alors les pratiques de la blockchain remises en question par les normes imposées par le RGPD ?
Comprendre la blockchain
Une définition de la blockchain est donnée en droit Français par le Code Monétaire et Financier. Selon son article L 223-12, elle est un « dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions notamment de sécurité, définies par décret en Conseil d’Etat ».
Nous voilà bien éclairés… Maintenant cette définition légale donnée, essayons d’en comprendre un peu plus sur ce qu’elle est réellement.
Sur quoi est basée la blockchain?
La décentralisation. L’idée de base de la blockchain est que l’information n’est pas stockée sur un seul serveur central. Elle repose sur un ensemble de participants qui la font vivre et non sur une personne qui gère à elle seule l’ensemble du système.
A quoi sert la blockchain ?
- Si la première utilisation qui a été faite de la blockchain concernait la cryptomonnaie (le bitcoin en l’occurrence), elle permet aujourd’hui de faire autre chose que du transfert d’actifs.
- Elle permet en effet de garantir une meilleure transparence grâce à une traçabilité renforcée des produits / actifs. Ainsi, dans une chaine de production par exemple, il sera plus facile pour le consommateur de connaître tout le processus de fabrication et ainsi de faire des choix de consommation en toute connaissance de cause (ce qui est loin d’être le cas aujourd’hui…)
- Enfin, elle permet l’exécution de smart contrat. Ces contrats grâce au système de la blockchain vont s’exécuter de manière autonome et automatisée. Comment ? Grâce à un programme qui va capter lorsque la réunion des conditions nécessaires au déclenchement de la mise en œuvre du contrat sont remplies.
Pourquoi c’est bien ?
Pour la transparence. Dès lors qu’une information a été créée dans la blockchain, elle est consultable à tout moment et par n’importe qui (en fonction des types de blockchain, mais restons sur le schéma de base). La blockchain contient un historique de tous les échanges effectués entre ses utilisateurs depuis sa création.
De plus, les données sont immuables. Une fois enregistrées elles ne peuvent être (en principe et pour le moment) modifiées.
Pour l’autonomie / confiance. Ceux qui agissent dans la blockchain sont de véritables acteurs des actions qu’ils mettent en place. La blockchain permet de supprimer les intermédiaires. Ainsi, pour les transactions bancaires par exemple, Paul peut donner à Jacques 100€ sans passer par Marie (banquière).
Nota bene : ce qui est transmis par le blockchain est appelé actifs numériques.
Le RGPD, le bât blesse….
L’obligation générale de conservation limitée des données
Le RGPD impose à travers ses principes fondamentaux que, ne peuvent être conservées que les données nécessaires à la réalisation de la mission. Il faut ainsi une justification claire et affichée de la raison qui justifie la conservation des données. Autrement dit, si la donnée n’a pas / plus de raison d’être, elle doit être supprimée.
Le Responsable du traitement et le sous-traitant
La blockchain repose comme sus-exposé sur un système décentralisé et d’autonomie. En d’autres termes, personne ne contrôle, personne n’est à la tête de ce système. Est-ce à dire que tous les acteurs sont responsables ? Tout au moins, chacun est responsable des actions qu’il mène …
Quid de l’obligation faite par le RGPD de désigner un responsable du traitement ? Qui prend la responsabilité en cas d’atteinte aux données partagées ? En cas de faille contre qui se retourner ? Personne ? Tous les acteurs identifiables (mais, qui en aura vraiment le cœur) ?
La même réflexion peut être menée concernant les sous-traitants…
Le droit à la suppression / la rectification
Le RGPD a eu à cœur de redonner un réel pouvoir aux personnes physiques sur leurs données. Pour ce faire, celles-ci doivent pouvoir – à tout moment et sans difficulté – demander la suppression des données les concernant qui sont détenues par une entreprise
A contrario, la blockchain est fondée sur un élément essentiel l’irréversibilité des transactions qui y sont effectuées. Une fois stockés, les fichiers ne peuvent plus être modifiés, supprimés…
Il n’existe peut-être pas de réponse claire pour l’instant concernant l’articulation du RGPD et de la blockchain. Or en attendant, les entreprises doivent tout de même sécuriser les données qu’elles traitent et qu’elles peuvent transmettre au titre de la blockchain.
Nous pouvons vous aider à sécuriser vos données. Grâce à HTTPCS Security, détectez efficacement les failles de sécurité de votre site pour éviter le piratage informatique et ainsi sécuriser vos données conformément au RGPD