Le paradoxe de la vie privée : ” La chaîne de blocs et le RGPD sont des miroirs inversés “
2018 est l’année de la chaîne de blocs. Et cette même année a vu l’introduction du RGPD. Or la législation européenne n’est pas vraiment alignée sur le concept d’une base de données décentralisée qui gère l’ensemble des processus. Comment la réglementation peut-elle être appliquée sans freiner les innovations technologiques ?
La chaîne de blocs est souvent considérée par les experts en données comme une percée technologique désormais impossible à endiguer. D’autant qu’il s’agit d’une manière sécurisée et automatisée d’échange de données, ce qui permet notamment de gérer des paiements. L’un des éléments clés de cette technologie est sa base de données décentralisée, la chaîne de blocs, sur laquelle l’ensemble des données sont échangées et restent stockées, de même qu’un historique de toutes les transactions antérieures.
Gerrie Smits, consultant en chaîne de blocs, aime à réfléchir sur la technologie et à envisager des concepts d’application de cette technologie. ” Je propose également des ateliers et en fait, la blockchain est un concept très simple à expliquer. Pour ce faire, je propose des jeux de rôle en groupe. J’appelle un membre du groupe et je lui donne une orange. Il s’agit là d’un concept trivial : si je donne quelque chose à x personnes et que chaque membre du groupe en est témoin, j’ai créé une chaîne de blocs de base. ”
Mécanisme de rémunération
La chaîne de blocs est par essence également un concept sûr puisque si quelqu’un tente de falsifier un élément déterminé, le problème peut immédiatement être détecté dans la mesure où toutes les données ne correspondent plus. Du coup, la chaîne de blocs convient particulièrement à des applications populaires comme les crypto-monnaies. La technologie a suscité auprès du grand public un engouement particulier – ainsi qu’une certaine controverse – au niveau de devises numériques comme le bitcoin ou l’ethereum.
” La chaîne de blocs est aujourd’hui déployée de différentes manières, mais il y a un élément du concept original qui est souvent trop peu mis en avant, c’est le système de rémunération, explique Smits. Supposons que dans mon exemple de l’orange, je demande à ce groupe de personnes qui a reçu le fruit. Quelqu’un répondra toujours ‘la personne x’. Ensuite, celle-ci recevra de ma part un quartier d’orange. Même si le système est en soi déjà sécurisé, un mécanisme de motivation supplémentaire est donc ajouté pour veiller à ce l’intérêt général soit toujours desservi. Dans le cas des crypto-monnaies, il s’agit du minage de devises. ”
Entreprises autonomes
Cela étant, Smits est convaincu que la technologie recèle bien davantage de potentiel que les seules crypto-monnaies. Et d’évoquer notamment un concept comme les ‘contrats intelligents’ où des systèmes fonctionnent de manière totalement autonomes, mais opèrent en réalité comme une seule et même entreprise sans direction ou personnel administratif notamment.
Ainsi, si vous achetez aujourd’hui une voiture, vous devez suivre différentes étapes. Notamment, négocier le prix, signer un contrat, procéder au paiement et ensuite traiter divers documents papier. La finalisation d’un achat prend donc plusieurs jours, rien que pour assurer le transfert d’argent. Mais dans une chaîne de blocs, la confiance et la sécurité font partie intégrante du concept, tandis que l’ensemble du processus peut être réalisé en quelques minutes à peine. Dans un tel monde ‘idéal’, la voiture que vous envisagez de vendre ferait partie d’une chaîne de blocs permettant de savoir que toutes les informations sont correctes. De même, le paiement serait effectué en cryto-monnaie, tandis que vos données personnelles seraient reprises dans la chaîne de blocs et que le travail administratif serait directement réalisé.
Impact humain
Smits insiste sur le fait qu’un tel concept de sociétés totalement autonomes est encore loin d’être une réalité. Car si la légitimité des données relatives à un véhicule peut facilement être vérifiée, il faudra toujours impliquer des personnes humaines dans des situations complexes. ” Prenez l’achat d’une oeuvre d’art. Il n’est pas simple de remplacer un expert pour s’assurer de la véracité d’une oeuvre. Il faudrait pour ce faire disposer de technologies d’IA et de reconnaissance d’images extrêmement complexes. ”
Une fois que, pour reprendre l’exemple de Smits de la vente d’oeuvres d’art, une validation humaine est ajoutée au modèle de la chaîne de blocs, on parle d’un ‘oracle’. ” Le principe de la chaîne de blocs est que les données sont décentralisées et que la gestion des données se fait de manière autonome, l’oracle étant une exception à la règle. En Suisse, on envisage d’ajouter les données d’identité des citoyens à une chaîne de blocs, les oracles en question étant simplement des officiers publics chargés de valider les données “, explique Smits.
Le paradoxe de la vie privée
L’un des principaux défis nouveaux de la chaîne de blocs est le RGPD ou Règlement Général sur la Protection des Données. Entrée en vigueur fin mai, cette législation européenne prévoit notamment un ‘droit à l’oubli’, lequel est en totale contradiction avec la chaîne de blocs. Grâce au RGPD en effet, les citoyens de l’UE ont le droit d’exiger des entreprises que celles-ci effacent leurs données de leurs serveurs.
Or ce qui sécurise la chaîne de blocs, c’est précisément le fait que les informations relatives aux échanges précédents de données font partie de la chaîne. Si un élément est supprimé, la chaîne se casse littéralement. ” Le RGPD est basé sur des systèmes de données anciens où il est possible de supprimer des données à n’importe quel moment. C’est ce que l’on appelle le modèle CRUD pour ‘create’, ‘read’, ‘update’ et ‘delete’. Or la chaîne de blocs fonctionne sur un modèle totalement différent, à savoir le CRAP pour ‘create’, ‘retrieve’, ‘append’ et ‘burn’. Ce sont surtout ces deux derniers principes qui sont intéressants en l’occurrence. En effet, ‘append’ s’oppose à ‘update’, ce qui signifie que l’on ne peut qu’ajouter de nouvelles transactions à la chaîne de blocs. Pour sa part, ‘burn’ implique la possibilité de supprimer des clés de cryptage d’accès aux données. ” Selon Smits, un modèle CRAP est totalement en porte-à-faux avec les concepts prévus par les législateurs dans le RGPD.
Indépendamment de la chaîne
Notre consultant envisage deux tendances dans la manière dont les développeurs d’applications pour la chaîne de blocs pourraient prendre en compte la problématique RGPD. ” La première consiste à imaginer des solutions pour aligner quand même la chaîne de blocs sur l’ensemble du RGPD et rendre ainsi leurs applications ‘RGPD compliant’. L’alternative à l’effacement de données personnelles consisterait à stocker ces données dans un coin de la chaîne de blocs, après quoi personne n’aurait accès à ces données. En fait donc, ces données ne disparaîtraient pas puisque tel n’est pas le problème, mais personne ne pourrait y accéder puisque personne ne posséderait la clé. ”
” L’autre approche pour respecter le RGPD serait de stocker les données en ‘off-chain’. Toutes les données personnelles sont stockées séparément selon la méthode classique de gestion des données autour de laquelle les structures de la chaîne de blocs sont construites qui, lors de chaque échange, demande à chaque fois l’accès aux données personnelles. ”
Qui gère mes données ?
La question est de savoir qui exactement gère ces données ‘hors chaîne’ dans la mesure où le stockage séparé de données va à l’encontre du principe de décentralisation de la chaîne de blocs. ” Dans un tel concept de stockage de données hors chaîne’, il faudra toujours prévoir une forme de confiance assurée par un acteur central. Il est très concevable qu’un tel acteur soit un organisme public, même si le sujet sera particulièrement sensible dans des pays comme les Etats-Unis suite aux scandales d’espionnage. Le fait que des autorités publiques gèrent des données de citoyens engendrera toujours des tensions. ”
” Les banques représentent une deuxième option du fait de leur longue expérience dans la validation de données d’identité. Un représentant du monde bancaire a évoqué la problématique avec moi, indiquant qu’à l’avenir, la validation d’identité pourrait devenir le coeur de métier des banques dans un monde où la chaîne de blocs prendrait à l’avenir une importance croissante. Je partage cet avis, même si cette solution pourrait, tout comme avec des autorités publiques, être source de tensions. Ces 100 dernières années, différents événements se sont produits à l’échelle mondiale qui ont mis à mal la confiance dans le secteur. ”
Le concierge de vos données
Toujours selon Gerrie Smits, l’autre manière de résoudre le problème de l’opposition entre RGPD et chaîne de blocs consiste à rendre les personnes elles-mêmes directement concierge de leurs propres données. ” Les gens peuvent recevoir la clé d’accès à leurs propres données personnelles, laquelle serait stockée dans une partie protégée de la chaîne de blocs ou en hors chaîne. Ce faisant, chacun pourrait délibérément permettre par exemple d’autoriser Proximus à consulter ses données personnelles. En tant qu’individu, l’utilisateur pourrait vérifier à chaque fois qui a accédé à ses données et éventuellement fixer une limite de temps. Ainsi, une fois que Proximus a validé vos données, un tel accès ne serait plus nécessaire. ”
Dès la naissance ou à l’âge adulte, quelqu’un pourrait devenir gestionnaire de ses propres données, précise encore Smits. ” Une administration publique devra-t-elle encore d’ici 10 ans émettre une eID ? Ne vaudrait-il pas mieux échanger des clés privées de données sur une chaîne de blocs ? Ce faisant, il serait plus facile de segmenter les données. Prenez l’exemple d’un night-club. Le videur à l’entrée ne devrait même plus savoir quel âge vous avez. Il lui suffirait de savoir si vous êtes autorisé à entrer. En lui donnant accès à vos données privées, il ne pourra voir que la validation qui répond aux conditions d’accès au club. ”
Objectif identique, moyens différents
Smits souligne encore que des dispositions comme ‘le droit à l’oubli’ ciblent en fait le même objectif que la chaîne de blocs, à savoir la protection des données des utilisateurs. ” En fait, le RGPD entend confier aux personnes elles-mêmes la gestion de leurs propres données et l’une des mesures pour concrétiser cette mesure est ‘le droit à l’oubli’. Or il ne s’agit en fait de rien moins qu’une manière de résoudre le problème. Avec la chaîne de blocs, il est parfaitement possible de donner aux personnes la clé d’accès à leurs données. Je trouve particulièrement intéressant de constater que les deux systèmes sont en fait opposés, mais atteignent le même but avec des moyens différents. A savoir de mettre en place un échange sécurisé de données. ”
Sociologues
Gerrie Smits espère encore qu’à l’avenir, les décideurs politiques et les développeurs de plates-formes de chaîne de blocs se concerteront davantage. ” De nombreux développeurs d’applications en blockchain veulent que leur logiciel apporte une réponse aux organes classiques comme les administrations publiques étant donné qu’une certaine méfiance s’est installée. J’espère que les deux parties se rencontreront pour créer le meilleur des deux mondes. J’ai appris par expérience que l’on a plus besoin de sociologues que d’experts en technologie dans la mise au point de concepts concrets en chaîne de blocs. ”
En effet, il est important selon lui de prendre en compte l’effet de tels systèmes sur la société. Il s’agit de la seule approche possible pour concilier de manière éthiquement responsable le meilleur de la législation politique et de la technologie.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici