Les blockchains et la protection des données personnelles

Une blockchain est un registre partagé permettant à des entités (personnes, entreprises, etc.) ne se faisant pas nécessairement confiance d’échanger des données (sous forme de transactions) sans l’intervention d’un tiers. Cette technologie, promise à un bel avenir, est déjà en train de révolutionner les secteurs de la finance et du gaming. De nombreux travaux sont en cours pour l’utiliser dans d’autres domaines tels que l’internet des objets, les supply chains ou encore la santé. Les blockchains ont la particularité d’être décentralisées, transparentes et immuables. Ces trois caractéristiques qui justifient en partie l’intérêt porté à cette technologie peuvent poser problème quand les données échangées sont personnelles. En effet, une fois déposées sur la blockchain, les transactions ne peuvent plus être supprimées et elles sont partagées à tous les participants du réseau. Est-il possible néanmoins pour une blockchain de répondre aux enjeux liés à la protection des données ?
blockchain

Qu’est-ce que le RGPD ?

A la fin des années 2000, la protection de la vie privée semblait un sujet caduc aux grandes plateformes numériques [1]. En 2009, le PDG de Google, Eric Schmidt, déclarait que “seuls les criminels se soucient de protéger leurs données personnelles”. En 2010, Mark Zuckerberg, fondateur de Facebook, considérait que “la vie privée est périmée”. Pourtant, un certain nombre de scandales, tels que le scandale Facebook-Cambridge Analytica, a remis le sujet du traitement des données personnelles sur le devant de la scène. L’ambition du Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, est précisément d’encadrer la sécurisation et le traitement des données personnelles à l’échelle de l’Union Européenne.

La CNIL (Commission Nationale de l’Informatique et des Libertés) définit les “données personnelles” comme toute information se rapportant à une personne identifiée ou identifiable [2]. Une personne peut être identifiée :

  • directement (par son nom ou son prénom)
  • indirectement (par un identifiant (numéro client), une donnée biométrique, des éléments liés à son identité physique, physiologique, génétique, psychique, économique, culturelle, sa voix, son image)

Le traitement des données personnelles correspond à toute manipulation d’une donnée personnelle. Il va de leur collecte à leur utilisation en passant par leur conservation ou leur diffusion. Ainsi, dresser une base de données avec des informations sur des clients, collecter des coordonnées d’utilisateurs via un questionnaire ou mettre à jour un fichier avec des fournisseurs sont autant d’actions qui relèvent du traitement des données personnelles.

Notons que puisqu’une personne peut être identifiée indirectement, les noms des personnes en question n’ont pas à être renseignés sur la base de données pour qu’elle soit considérée comme contenant des informations personnelles.

Les trois principaux objectifs du RGPD sont :

  • renforcer les droits des personnes
  • responsabiliser les acteurs (entreprises, plateformes, etc.) traitant des données
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données (et en leur donnant plus de pouvoir)

Le RGPD permet d’apporter un cadre harmonisé à l’ensemble des pays de l’Union Européenne. Il s’applique en effet à toute organisation publique ou privée qui traite des données personnelles, pour son compte ou non dès lors qu’elle est basée sur le territoire de l’Union Européenne ou que son activité touche des résidents de l’Union Européenne.

Pour le consommateur, la conséquence la plus visible du RGPD est l’apparition du consentement explicite et positif. Il se matérialise notamment par l’acceptation des cookies sur les sites internet ou le fait que l’option de réception d’une newsletter ne peut plus être automatiquement cochée dans les formulaires de contact.

Par ailleurs, le RGPD introduit un droit à l’effacement (qui succède au droit à l’oubli) [3]. Une personne peut demander à toute entité possédant des données personnelles le concernant de les effacer dans les meilleurs délais. Note : ce n’est pas un droit absolu et il existe des conditions pour y avoir recours

En ce qui concerne les fuites de données, les entreprises ou organismes qui traitent des données personnelles sont tenues de notifier les autorités de protection en cas de violation des données. Si le risque est élevé pour les droits et les libertés des utilisateurs, ils doivent également être contactés. Dans le cas d’un piratage touchant des données personnelles, les autorités de protection et les personnes touchées doivent être informées dans les 72 heures.

Enfin, les sanctions, jusqu’alors dérisoires et majorées à 150 000€, sont désormais plus dissuasives : elles peuvent atteindre 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros (la valeur la plus élevée est retenue). Ainsi, en juillet 2021, Amazon a reçu une amende de 746 millions d’euros pour ses méthodes de publicité ciblée, qui ne respectaient pas les critères de recueil de consentement libre et éclairé des internautes (plainte déposée en 2018).

 

Les blockchains peuvent-elles être compatibles avec le RGPD ?

Il est extrêmement difficile de répondre à cette question à l’heure actuelle. En effet, les régulations concernant les blockchains en sont encore à leurs débuts et beaucoup de questions restent en suspens. Cette technologie innovante place les régulateurs face aux limites du RGPD, qui présente parfois des incertitudes conceptuelles et une absence de certitude juridique qui rend difficile de déterminer comment il devrait s’appliquer à cette technologie [4, 5].

Les incertitudes commencent dès la définition de donnée personnelle. En effet, sur une blockchain, il existe deux types de données a priori personnelles :

  • l’identification des participants et des mineurs (au sens des participants qui effectuent un minage) qui se fait via la clé publique, à laquelle tous les membres du réseau ont accès et qui permet d’identifier l’émetteur et le destinataire d’une transaction
  • les données déposées sur la blockchain qui, puisqu’elles peuvent être de toute nature sont potentiellement personnelles (un diplôme ou un permis de conduire par exemple). Toute information relative à une personne physique déposée sur la blockchain relève de la donnée personnelle.

Dès lors, ces données présentes sur la blockchain sont soumises au RGPD. Pourtant, certaines caractéristiques de cette technologie semblent immédiatement en contradiction avec cette réglementation.

Tout d’abord, le RGPD repose sur l’hypothèse qu’il existe toujours une personne physique ou morale (le responsable de traitement) à laquelle il est possible de s’adresser pour faire valoir ses droits. Supprimer ces intermédiaires de confiance au profit de l’ensemble de la communauté est pourtant au centre de la technologie des blockchains, ce qui complexifie l’attribution de la responsabilité. La CNIL considère que les participants, lorsqu’ils réalisent des transactions sur la blockchain, font office de responsable de traitement.

Ensuite, les principes selon lesquels les données personnelles doivent être réduites au minimum et traitées dans un cadre spécifié à l’avance est en désaccord avec le fait que les blockchains sont des registres strictement croissants (à mesure que de nouvelles transactions sont effectuées). Elles sont également répliquées sur les ordinateurs de tous les membres du réseau, ce qui vient aussi à l’encontre du principe de minimisation. La compatibilité entre le cadre de traitement des données dans les blockchains et le RGPD demande une étude plus approfondie : doit-on le limiter à la transaction initiale ou l’étendre à son stockage et à son intervention dans le mécanisme de consensus2 ?

La problématique la plus abordée est celle liée au “droit d’effacement”. En effet, les blockchains sont immuables par définition – cela contribue à garantir leur sécurité. Ceci, bien sûr, est difficile à concilier avec les exigences du RGPD selon lesquelles les données personnelles doivent être modifiées et effacées dans des circonstances spécifiques.

Une solution à ces problèmes peut être de stocker les données personnelles hors de la blockchain, sur un serveur séparé et de ne conserver sur celle-ci qu’un pointeur de hachage (de l’anglais « hash » ). Cette méthode permet de répondre au droit à l’effacement et à la modification : on peut supprimer les données sur la base de données, le pointeur restant lui sur la blockchain mais ne pointant plus vers les données.

Une autre méthode très prometteuse est la “Zero-Knowledge-Proof” (preuve de connaissance zéro). Elle permet de donner une réponse de type vrai/faux sans donner accès aux données sous-jacentes. Elle peut être utilisée pour prouver que quelqu’un est majeur sans donner son âge, ou qu’il possède un montant suffisant sur son compte pour contracter un prêt. Ici, on prouve qu’une transaction a eu lieu, sans en divulguer la clé publique. Cette méthode permet par ailleurs de résoudre le principe de minimisation des données (on ne donne accès qu’au strict nécessaire).

 

L’exemple d’Oasis Labs

Oasis Labs est une startup fondée à San Francisco en 2018 et dont le but est de créer une blockchain respectueuse de la vie privée et susceptible d’être utilisée à grande échelle. Son ambition est d’être le support d’une finance décentralisée respectueuse des données personnelles, et appartenant intégralement aux utilisateurs. Ses caractéristiques de sécurisation et de confidentialité lui permettent de satisfaire à la fois les entreprises qui construisent leurs applications sur la blockchain d’Oasis Labs, et les utilisateurs qui obtiennent des récompenses si leurs données sont utilisées [6].

L’idée de monter une telle blockchain est venue à la fondatrice, professeure à l’Université de Californie à Berkeley, à la suite d’un scandale ciblant Uber en 2017. Uber possède en effet une application appelée “God View”. Il s’agit d’un outil qui permet de savoir en temps réel où se trouvent tous leurs chauffeurs et les utilisateurs (même après la fin de leur course). L’entreprise a été accusée d’utiliser cette application de suivi pour critiquer les habitudes de conduite de leurs chauffeurs mais surtout pour permettre à ses employés d’espionner les utilisateurs – que ce soit leur ex-compagnon, des politiciens ou des célébrités. Face à ces accusations, Uber n’avait aucun moyen de prouver qu’ils n’avaient pas utilisé cette “God View” de manière inappropriée. Bien que ce ne fût pas la première fois que cette carte fît polémique, il n’y a pas eu de suite à cette affaire. Uber l’a simplement renommée Heaven View et s’est engagé à en restreindre l’accès.

Un outil comme Oasis Labs aurait été précieux : il permet de protéger les deux parties (utilisateur et entreprise) en mettant à disposition un historique de l’utilisation des données (sur la blockchain), ce qui aurait prouvé l’innocence (ou la culpabilité) d’Uber.

Plus précisément, Oasis Labs est une blockchain publique qui a été construite pour maximiser la protection des données personnelles des utilisateurs.

Elle permet notamment de savoir :

  • l’information renseignée sur un site internet est stockée
  • qui a vu cette information
  • quand elle a été vue
  • si elle a effectivement été simplement vue ou utilisée

Mais la startup va plus loin dans la restitution du pouvoir à l’utilisateur. En effet, celui-ci peut définir le cadre d’utilisation de ses données personnelles. Il peut ainsi choisir qu’une donnée particulière ne puisse être utilisée que pour se connecter sur le site où elle a initialement été publiée et que pour qu’un autre site s’en serve, il doit l’autoriser.

La blockchain Oasis Labs met également en place un nouveau type d’actif numérique appelé “Tokenized Data”, qui permet à un utilisateur d’obtenir une rétribution en cas d’utilisation de ses données (dans un cadre qu’il a préalablement défini). Il peut par exemple décider que certains sites peuvent utiliser ses données pour un certain montant (qui peut varier en fonction du site). Ce dernier point peut être particulièrement intéressant pour les données qui concernent l’industrie pharmaceutique. En effet, certains laboratoires vendent les données personnelles qu’elles possèdent sans que ceux à qui elles appartiennent en soient toujours informés. Grâce au système proposé par Oasis Labs, les individus savent qui partage leurs données, ils peuvent autoriser ou interdire cette vente et sont récompensés s’ils l’acceptent.

Ce système de traçabilité est en partie permis par les “ParaTimes”, à savoir des smart contracts1 qui peuvent être utilisés dans un environnement privé et sécurisé.

Les ParaTimes permettent ainsi de fixer les conditions de partage des données pour les utilisateurs, les entreprises ou les sites internet. Ils supportent des tâches complexes et leur exécution est séparée du consensus. Ils sont également capables de communiquer entre eux et de s’exécuter en parallèle, autant d’éléments qui permettent au réseau d’être performant (plus de 1000 transactions par seconde). Enfin, pour soutenir un riche écosystème d’applications et de cas d’usage et ainsi répondre à son ambition d’être le support de la finance décentralisée, la blockchain du réseau Oasis permet à quiconque de créer son propre ParaTime.

Hu.man.ai est l’une des startups qui a choisi Oasis Labs pour développer sa plateforme [7]. L’objectif d’hu.man.ai est de créer un marché de l’intelligence artificielle (IA) pour les soins de santé et l’industrie biopharmaceutique. Ils veulent permettre aux experts en IA du monde de transformer les données de santé les plus privées, sensibles et précieuses en services vitaux sans que ces experts aient un accès direct aux données. L’idée est donc de faire en sorte qu’il soit le plus facile possible pour les patients, les cliniciens ou les chercheurs en biopharmacie d’utiliser leur plateforme mais sans qu’aucune donnée privée ne soit transmise au fournisseur de services.

Malgré ses efforts pour renforcer le suivi des données personnelles, Oasis Labs ne semble pas en accord avec le droit à l’effacement demandé par le RGPD puisque la blockchain est, par définition, immuable.

Dans le réseau d’Oasis Labs, le respect de cet article du règlement est assuré par la possibilité de crypter les données. En effet, les informations déposées sur les blockchains sont généralement chiffrées, c’est-à-dire modifiées avec un code qui les rend illisibles sans la clé de déchiffrage. Ceci permet de rendre privées les données déposées sur une blockchain. Ce processus étant réversible, il est toujours possible de récupérer les données grâce à la clé et ne satisfait donc pas le RGPD. Oasis Labs permet d’aller au-delà du chiffrement en permettant de “hacher” les données. Le hachage est un processus qui rend illisible une information de manière irréversible. Il n’existe pas de mot de passe pour la déchiffrer à postériori et revenir en arrière. Si les données ne sont pas complètement effacées de la blockchain, elles ne sont plus accessibles. Le rapport du CNIL de 2018 sur les blockchains estime qu’il n’est pas possible de satisfaire rigoureusement au droit à l’effacement et que cette méthode permet de s’en approcher.

Avec l’adoption massive de la technologie blockchain qui se profile dans les années à venir, les entreprises qui les utilisent vont devoir faire attention à rester conformes au RGPD. Des données personnelles de plus en plus sensibles (comme les données médicales) sont progressivement déposées sur des clouds et des blockchains les utilisant se développent. Placer la sécurité au centre des préoccupations des entreprises est absolument nécessaire. Oasis Labs n’est pas tout à fait en accord avec le RGPD a priori, mais elle a la particularité de faire de la protection des données personnelles son principal objectif. Il est en réalité trop tôt pour juger si une blockchain est en accord avec RGPD. Pour répondre à cette question, il faut à la fois éclaircir les spécificités techniques et la conception de la gouvernance des cas d’utilisation des blockchains ainsi que les incertitudes et le cadre juridique qui émanent du RGPD.

1 Smart contract : algorithme qui permet d’automatiser des transactions lorsqu’elles remplissent des conditions préalablement définies

2 Pour plus d’informations sur les blockchains et les algorithmes de consensus (article de la Newsletter de novembre) :

https://fscience-old.originis.fr/les-startups-blockchain-de-la-silicon-valley-innovantes/

____________

 

Rédigé par :

Alice Joyeux, service pour la Science et la Technologie à San Francisco

Contact : [email protected]

Jean-Baptiste Bordes, service pour la Science et la Technologie à San Francisco

Contact : [email protected]

 

Sources :

[1] T. Devergranne, Comprendre l’histoire du RGPD/GDPR pour bien appliquer le règlement

Consulté le 18 novembre 2021, à l’adresse https://www.donneespersonnelles.fr/histoire-du-rgpd

[2] RGPD : de quoi parle-t-on ?

Consulté le 18 novemmbre 2021, à l’adresse https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

[3] Wikipedia, Règlement Général sur la Protection des Données

Consulté le 20 novembre 2021, à l’adresse

https://fr.wikipedia.org/wiki/Reglement_general_sur_la_protection_des_donnees

[4] Panel for the Future of Science and Technology, European Parliamentary Research Service. Blockchain and the General Data Protection Regulation Can distributed ledgers be squared with European data protection law? (Juillet 2019).

https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf

[5] CNIL, Premiers éléments d’analyse de la CNIL Blockchain (Septembre 2018). https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf

[6] Oasis Protocol Project. The Oasis Blockchain Platform. (23 Juillet 2020).

https://docsend.com/view/aq86q2pckrut2yvq

[7] The Oasis Labs Team. Spotlight: human.ai. (8 Juillet 2021).

​​https://medium.com/oasislabs/spotlight-human-ai-19f543e95ee5

Partager

Derniers articles dans la thématique