Blockchain et RGPD, impossible alliance ou mariage de raison ?

Le questions et enjeux autour de la maîtrise des data alimentent une guerre souterraine que se livrent de manière feutrée Etats, nouveaux géants du numérique et législateurs.

En effet, qu'on le déplore ou qu'on s'en félicite, si l’avènement du règne de l'individu-roi n'a jamais été si net, c'est dans un paradoxe dont seule notre époque est capable que ce même individu apparaît comme n'ayant jamais été aussi aliéné.

Bien souvent, cette aliénation, loin d'être le fait de systèmes étatiques totalitaires, se révèle en réalité le fait d'entreprises privées géantes, nouvelles superpuissances qui, sous couvert de toujours mieux satisfaire leurs utilisateurs, font en sorte de les enserrer dans une étreinte virtuelle, aussi acidulée qu'implacable et invisible.

Ces entreprises ont démontré à de nombreuses reprises leur incapacité à protéger efficacement les informations relatives à leurs utilisateurs, et pire, leurs inclinations à les manipuler, les racheter ou les revendre au gré de leur propre profit. C'est ainsi pour protéger le citoyen que de nouvelles réglementations ont commencé à voir le jour, parmi lesquelles le RGPD européen, peut-être le cadre légal le plus abouti pour contrer la toute-puissance des GAFAM.

Si, contraintes et forcées, susceptibles de subir d'importantes sanctions sous forme d'amendes en cas de manquements, les entreprises du numériques rentrent dans les clous, une nouvelle menace pour les data pourrait émerger.

La blockchain en effet s'apprête à déferler sur le monde. Forte de ses promesses d'infaillibilité, de transparence totale et surtout d’immuabilité, cette nouvelle technologie pourra t-elle s'accorder avec les valeurs portées par le RGPD, tel le droit d’accès et de modification ? Érigé comme une valeur cardinale le droit à l'oubli peut-il se concevoir face à une structure qui ambitionne de stocker éternellement l'information ?

GAFAM : maîtriser la data aujourd'hui, c'est dominer le monde demain

Une leçon qui date de 2000 ans

La fameuse locution « Panem et circenses », du pain et des jeux, s'applique 2000 ans plus tard avec toujours la même pertinence.  On pourrait bien sûr être tenté de la moderniser : « Du UberEats et des likes ». La voila en effet, l'équation parfaite pour conserver docile une masse travailleuse, en s'assurant qu'elle se tienne au plus loin des considérations de la Cité.

Insistons sur ce point : apanage pendant des siècles de systèmes étatiques, la volonté d'abolir une partie des libertés des populations afin de s'en s'assurer un meilleur contrôle (par la répression) connait une nouvelle incarnation dans nos sociétés du numérique. Les méthodes sont autrement moins brutales, mais la finalité est similaire. Les fameux GAFAM, se moquent en effet comme de leur premier serveur, de la liberté de leurs utilisateurs et concentrent les « droits » qu'ils leurs concèdent du bout des lèvres dans des CGV/CGU calibrées et modifiables à l'envie que personne ne consulte. Pire : la liberté de choix incarne probablement l'une des pires Nemesis pour des entreprise qui fantasment de nous conserver captifs dans leurs écosystèmes du lever au coucher. Facebook ne rêve t-il pas de littéralement remplacer Internet ? Sans même parler du projet Libra et de ses ambitions de monnaie universelle (mais assortie d'un pouce bleu).

Du temps de travail au temps d'attention

Jusqu'à très récemment, l'individu valait par sa force de travail et sa capacité productive. L’avènement de la société de surconsommation, de l'automatisation, de la robotisation et l'émergence de l'IA déchargent l'individu de cette fonction primaire, ouvrant l’ère du divertissement, du temps libre, du « temps de cerveau disponible  ».

Or, de la même manière qu'un état totalitaire est nécessairement un état de l'hyper-surveillance, les colossales entreprises du web, véritables nouveaux Etats de la planète Internet, doivent nécessairement tout connaitre de leurs conso-citoyens.  A ce titre rappeler que la data est le nouveau pétrole du 21ème siècle est d'une pertinence absolue. En effet,  de la maîtrise des « gisements » et des « réserves » de cette nouvelle matière première, dépendront la puissance et les capacités d’influence des futures géants numériques.

L'émergence d'un pouvoir appelle toujours celle d'un contre-pouvoir

Le phénomène est relativement récent. Si la collecte de données personnelles a toujours existé, que ce soit dans une optique purement administrative ou pour servir des causes partisanes, il faudra attendre l'apparition des différents réseaux sociaux au milieu des années 2000 pour que, brusquement le sujet prenne une dimension industrielle.

« Quand c'est gratuit....  »

De Twitter à Linkedin, en passant par Facebook et autre Pinterest, l'incroyable succès de ce tout nouvel écosystème fondé sur des promesses de liberté, de partages sans frontières et de divertissement repose sur un malentendu : la supposé gratuité du service.

Clarifions un point : Aucun de ces services, dont la simple maintenance coûte des millions de dollars chaque année, n'est gratuit. Il n'y a simplement pas eu échange monétaire. En revanche, l'utilisateur y a bien laissé une contrepartie, le plus souvent sans en avoir conscience : un accès tacite, complet et perpétuel à son identité et à son empreinte numérique. Ce péché originel à l’apparence alors si anodine, est aujourd'hui lourd de conséquence. Du scandale Cambridge Analytica, aux fuites et piratages réguliers de données, des aises que prend un Linkedin avec vos profils, aux légèretés de Twitter avec les informations de ses clients,  face à l'inconséquence globale des géants du numérique, une riposte a commencé à se mettre en place. En Europe, cette riposte à pris la forme du Réglement Général pour la Protection des Données (RGPD)

Qu'est-ce que le RGPD ?

La RGPD est un texte qui a vocation à s'appliquer à l'ensemble de l'espace européen.Il est rentré en vigueur le 28 mai 2018. Si son périmètre est large,  il s'adresse cependant à titre principal aux entreprises. Ces dernières se voient chargées de plusieurs importantes nouvelles responsabilités s'agissant de la gestion et de la conservation des data de leurs clients/communautés.

Aucune entité n'échappe au périmètre du RGPD. Si les cibles implicites de ce texte sont bien les géants sociaux américains, les administrations, les associations, la boulangerie du quartier, toute structure traitant de la data est concernée (et contrainte) par le RGPD.

Détail important : Plus encore que la notion « d'espace européen », le RGPD s'applique dés lors qu'un citoyen européen apparaît dans une base de données. Autant vous dire qu'au regard du village global dans lequel nous évoluons, une écrasante majorité des entreprise à travers le monde sont concernées !

Sur les fondamentaux, on retiendra que le RGPD grave dans le marbre réglementaire certaines notions fortes :

• La nécessité d'un consentement « explicite » et « positif » à la collecte de data (Google, qui ne voyait pas bien l’intérêt de la chose en a été quitte pour un rappel à 50 millions d'euros en début d'année),
• le « Droit à l'effacement », similaire au « Droit à l'oubli » mis en place au moment de l'essor d'Internet au début des années 2000,
• le « Droit à l'information », en cas de fuite massive de données (Twitter avait dû rater ce passage).

Les sanctions prévues en cas de manquement à ces préconisations sont pour le moins dissuasives : jusqu'à 20 millions d'euros d'amende ou 4% du chiffre d'affaire mondial ce qui, même pour des puissances économiques comme Google et Facebook commence à piquer un peu.

Alors bien-sûr, derrière une bonne volonté de façade, les GAFAM conscients d'avoir une cible sur le front, ont bien tentés d'influencer et d'entraver la mise en application du texte européen (« Le lobbying de Facebook en Europe dévoilé par des mémos internes »).  Il semble cependant, qu'un an après sa mise en application, le RGPD exerce très correctement son rôle de bouclier contre les dérives de la bataille de la data.

Mais c'était sans compter sur l'émergence déjà d'une nouvelle menace, intrinsèquement liée au sulfureux bitcoin : la blockchain et ses caractéristiques exotiques, aptes à faire hyperventiler n'importe quel Délégué à la Protection de Données fraîchement désigné.

De la compatibilité entre Blockchain et RGPD

L'analyse de la CNIL

Dés septembre 2018, quelques mois après la mise en application du RGPD, la CNIL (Commission Nationale Informatique et Libertés) souhaite clarifier le débat, en établissant un préalable important :

« le RGPD n’a pas pour objectif de réguler des technologies mais les usages qui en sont faits par les acteurs dans un contexte impliquant des données personnelles. »

Avec cette position, la CNIL rappelle qu'aucun outils n'est aliénant par nature, pas plus que libérateur par essence. La blockchain, au même titre que n'importe quelle autre technologie n'échappe pas à cet axiome.

La CNIL souligne également qu'il existe plusieurs natures de blockchain :

• « Publique », typiquement celle de Bitcoin,
• « de consortium »,  distribuée entre quelques acteurs dans le cadre d'un accord collectif. C'est l'architecture qui caractérisera le fonctionnement de Libra, si le projet parvient à voir le jour,
• « privée », soit une blockchain, intégralement contrôlée par un acteur unique (donc non-distribuée et centralisée).

L'autorité distingue par ailleurs plusieurs types d'acteurs sur la blockchain, dotés de droits différents :

• les « accédants », qui sont en mesure de lire les informations sur la blockchain
• les « participant », dotés de droits d'écriture,
• les « mineurs », qui valident les transactions/informations et disposent d'un droit d'écriture ET de modification.

Distinguer protocole et responsable de traitement

En prenant le temps de reposer les fondamentaux de la technologie blockchain, la CNIL fait preuve de bon sens et rappelle qu'au même titre que d'autres approches plus traditionnelles en matière de base de données, seul importe que ce soit défini le « QUOI ? » et le « PAR QUI ? ».

Autrement dit, quelle que soit la manière dont une entreprise envisage d'intégrer une solution blockchain, les deux questions essentielles seront :

• Quelle sera la nature des informations encryptées dans la blockchain,
• qui sera désigné formellement comme « responsable de traitement ».

Si à la première question, la réponse apportée renvoie à la traçabilité de boites de petit-pois, la certification d'un label qualité bio, ou des jetons de casino au bénéfice d'un site de jeu en ligne, inutile d'aller plus loin : la RGPD se préoccupe de données personnelles, pas de la data dans sa définition la plus large.

La seconde question permet de recentrer les vrais enjeux du texte européen :  la responsabilisation des acteurs en charge du traitement de données. Ceux-ci doivent être clairement identifiables, et s'assurer que ledit traitement respecte les préconisations du Règlement.

Ainsi, s'agissant des solutions blockchain de consortium et privées, la CNIL s’inquiète surtout de la prise en compte par les opérateurs des préconisations du RGPD dans les process de traitement de la data, sans s'inquiéter outre-mesure de l'outils en lui même. En effet dans ces 2 configurations, les entreprises disposent d'un pouvoir étendu sur la gouvernance de la blockchain et ce faisant, de capacités élargies leur permettant de se mettre en conformité avec la réglementation.

Et bitcoin alors ?

Publique, décentralisée, transparente, immuable, la blockchain de Bitcoin (et ses nombreux clones et autres forks) peut-elle rentrer en conformité avec le RGPD ?

La réponse est d'une simplicité biblique : Bitcoin et sa blockchain n'ont pas la moindre raison de se retrouver dans le champ d'application de la réglementation européenne !

En effet, par défaut, la blockchain Bitcoin n'a pas vocation à contenir de données personnelles. Bitcoin est un réseau monétaire de pair-à-pair qui est supposé supporter des transactions financières pseudonymes. Tout dans sa nature originelle rentre en conflit avec l'idée même que  son infrastructure puisse contenir des informations personnelles.

En réalité, personne de sensé ne songerait à stocker de l'information privée sur une blockchain publique, intégralement démunie d'opérateur identifiable, comme peut l'être celle de bitcoin, du Monéro, de Dash, ou de toutes autres cryptomonnaies intégralement décentralisées. Ces blockchain ne sont pas « par design  » conçues pour cet usage. S'il est techniquement possible de stocker de l’information autre que financière sur une blockchain (le premier block Genesis contient par exemple une coupure de journal), la manipulation est tellement peu ergonomique, lente et coûteuse qu'elle neutralise tout intérêt économique.

Une nécessité pour les acteurs : le privacy by design

Contrairement à leurs aînées historiques, de nombreuses blockchains plus récentes ont été conçues dès leur origine pour le développement de smart contracts et d'Application décentralisées (DApps), comme Ethereum, NEO ou Tron. Leur structure même les fait rentrer dans une catégorie bien distincte. En effet, elles autorisent des opérateurs tiers à créer des offres de services associées à des tokens dédiés, ces offres étant assorties de règles diverses, d'une gouvernance propre, etc.

Ces offres de services sont mise en place et pilotées par des sociétés privées ou des entités identifiables. C'est à ces dernière que reviendra en dernier ressort de s'assurer de la conformité RGPD, qui pourra passer par divers vecteurs :

• Humains, par la mise en place de process dédiés et la nomination d'un DPO (Data Private Officer),
• technologiques par le déploiement de protocoles dédiés (par exemple le Zero Knowledge Proof) ou de clefs privées et contrats intelligents permettant de détruire ou rendre inaccessible une information si certaines conditions sont réunies.

Plus qu'un danger, un outils au service de la RGPD

Au final, et même si c'est assez contre-intuitif, la blockchain et sa nature « éternelle » bien employée, pourrait en réalité devenir un soutien précieux à la protection des données !

« L’immuabilité des actions effectuées sur la Blockchain ont notamment permis le développement de solutions permettant de répondre aux obligations de traçabilité du consentement ou des actions effectuées sur les données. » Rapport de la CNIL

La mise en place et la tenue à disposition du Registre de consentement  fait partie des nouveaux devoirs des entreprises. Ce registre pourrait utilement tirer partie d'une technologie de registre distribuée, infalsifiable et inaltérable.

Ainsi, loin de représenter un défi impossible à relever ou une nouvelle démonstration d'une forme d’illicéité naturelle, l'analyse démontre que la blockchain n'est en rien incompatible avec l'esprit du RGPD. Mieux encore, ses qualités intrinsèques pourraient aisément lui permettre de rejoindre la catégorie des outils permettant précisément de combattre la falsification des data, terreau des fake news et des manipulation de masse qui marquent l'époque actuelle.  

ia orana, moi c’est Hellmouth ! Crypto-enthousiaste de la deuxième heure.
Je rédige des articles entre deux cocktails à Tahiti, où se trouve mon QG. Si l’occasion se présente, je ne rechigne pas à me repaître d’un scam bien dodu ou d’une pyramide de Ponzi un peu trop entreprenante.

Hellmouth Banner

2 articles

Tous ses articles