Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Les blockchains sont-elles solubles dans le RGPD ?

Grain de sable ou grain de sel de Bruxelles

Les blockchains sont-elles solubles dans le RGPD ?

Une consultation publique jette un pavé dans la mare : et si les technologies de blockchain ne pouvaient s'accommoder du règlement européen sur la protection des données personnelles ?

Le 07 mai à 12h00

La communauté crypto est en émoi : Bruxelles voudrait interdire les blockchains. Enfin, c’est ce qu’on pourrait croire à en lire certains thuriféraires de la technologie des registres distribués. La réalité est plus nuancée : une consultation publique est en cours, lancée par le Comité Européen de la Protection des Données (CEPD, ou EDPB en anglais), sur le traitement des données personnelles dans les chaînes de blocs. Et là, panique à bord : le texte proposé (pdf) à la consultation impliquerait des restrictions très fortes sur l’usage de cette technologie !

Un petit rappel historique

La technologie de type blockchain a été popularisée par la création du Bitcoin en 2008 - 2009. Satoshi Nakamoto a publié son livre blanc en octobre 2008 et la première transaction a été inscrite sur la chaîne en janvier 2009. Pour la petite histoire, le block 0 (ou Genesis Block, le premier bloc d’une chaîne) du Bitcoin contient un titre du journal The Times du 3 janvier 2009 : Chancellor on brink of second bailout for banks.

L’allusion permet de penser qu’un des objectifs de la cryptomonnaie est d’offrir une alternative au système monétaire classique qu’on pensait en danger d’effondrement à la suite de la crise des subprimes en 2008. L’hypothèse est tout à fait crédible, car fonctionnellement les registres distribués sous forme de chaînes de blocs répondent au besoin de décentralisation des contrôles et des validations, sans tiers de confiance, intermédiaire financier ou autorité de régulation.

Le RGPD, quant à lui, a été promulgué en 2016 avec un délai d’application de deux ans, ce qui l’a fait entrer en vigueur officiellement le 25 mai 2018. Il est donc postérieur à la mise en place du Bitcoin, ce qui permet à certains de soutenir qu’il était difficile d’en anticiper les exigences en 2009. Pourtant, à cette époque, de nombreuses lois et règlementations protégeant les données personnelles existaient déjà à travers le monde, mais de façon fragmentée et manquant grandement d’harmonisation, ce qu’a justement cherché à résoudre le RGPD.

En France, la loi du 6 janvier 1978 posait déjà un cadre solide, fondé davantage sur des principes que sur des technologies, et s’appliquant à tout système de traitement automatisé des données (STAD), quelle que soit la technologie utilisée. S’ajoutaient la loi Godfrain (1988) et, à l’échelle européenne, la directive 95/46/CE de 1995, transposée plus ou moins rapidement dans la plupart des États membres (en 2004 pour la France).

Aux États-Unis, l’approche était plus sectorielle, avec des textes comme le GLBA (Gramm-Leach-Bliley Act, 1999) applicable aux institutions financières, ce qui vise des plateformes comme Coinbase, Kraken ou Binance, mais non les cryptomonnaies elles-mêmes. Il n’en reste pas moins qu’à l’époque, l’Europe comme d’autres pays (Japon, Canada, Australie, etc.) affichaient déjà une forte préoccupation pour la protection des données.

Même si le RGPD n'existait pas encore, la question de la protection des données personnelles suscitait déjà une attention croissante, et un développeur soucieux de ses responsabilités ne pouvait l’ignorer. Cela dit, il ne faut pas non plus perdre de vue l’état d’esprit dans lequel cette technologie a émergé : celui d’un risque d’effondrement du système de confiance traditionnel. Il n’est donc pas absurde de penser que ses concepteurs anticipaient aussi un affaiblissement (voire une disparition) des cadres juridiques existants, la question des données personnelles ne figurant clairement pas en tête de leurs priorités. [NDLA : Certains grands experts avaient pointé ce risque il y a 9 ans 😉]

Une blockchain, c’est quoi ?

Le texte proposé à la consultation apporte une clarification utile en identifiant sept composantes essentielles d’une blockchain, sur lesquelles on peut agir juridiquement ou techniquement :

  • la description de la structure des données de la chaîne et de l’ensemble des données qui y sont stockées ;
  • le rôle et la responsabilité de chacune des parties (concepteurs, mineurs, utilisateurs, etc.) ;
  • le processus de consensus (souvent un algorithme) décrivant les conditions de vérification et d’ajout d’un bloc ;
  • le mécanisme de gouvernance de la chaîne (qui décide de quoi et comment) ;
  • les réseaux techniques de communication et d’échange à disposition des utilisateurs ;
  • l’écosystème interagissant avec la chaîne, tels que les portefeuilles, les exchanges, les outils de consultation de la chaîne, les protocoles d’identification, les modes de stockage locaux (bases de données ou fichiers) ;
  • et enfin, les stockages hors chaîne.

Il est clair que les stockages locaux ou hors chaîne seront au cœur des solutions à envisager pour éviter que les blockchains ne se dissolvent dans le RGPD.

Encore la faute à l’Europe

Un rapide tour sur les réseaux sociaux suffit pour trouver des contestataires vent debout contre le projet de l’EDPB sur les données personnelles dans les chaînes de blocs. En y regardant de plus près, on y retrouve surtout des entrepreneurs du secteur et quelques idéalistes : les uns s’indignent qu’en Europe on légifère dès qu’une activité émerge, les autres fustigent la bureaucratie ou dénoncent des initiatives liberticides, et tous crient à l’étouffement de l’innovation (surtout quand elle commence à rapporter gros). Mais ces cris d’orfraie ne masquent pas une réalité plus simple : les premières blockchains ont clairement manqué le virage de la protection des données.

Maintenant, posons les choses : que contient réellement le projet du CEPD ? Pourquoi les blockchains posent-elles problème ? Quelles sont les pistes pour concilier les deux ?

Que dit le RGPD sur les blockchains ?

Il reste 68% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (30)

votre avatar
Dans une moindre mesure, j'ai eu ce débat avec les DPO dans le cadre de la revue RGPD de Git.

Le SCM ayant une très bonne mémoire sur les committers, le point les a chagriné en matière de suppression des données personnelles des devs ayant quitté l'entreprise.
votre avatar
Pour éviter d'être dans le cas de demande de suppression, il faut associer l'usage des données personnelles dans Git au contrat de travail ou de sous-traitance suivant le status du développeur. Ça évitera les cas de consentement ou d'intérêt légitime qui permettent la suppression.
Dans ce cas, tant que le a) du 1 de l'article 17 s'applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
pas de suppression.

Mais si possible, autant pseudonymiser les commits après le départ en entreprise (je ne sais pas si cela est possible avec Git). On reste malgré tout dans un cas où on pourrait quand même associer un dev au pseudonyme parce que l'on se souvient qu'il avait fait telle ou telle modification.
votre avatar
Merci. Je dois avouer que nous avions un peu botté en touche à l'époque. Si encore l'hébergeur gérait une partie chez lui (il remplaçait l'adresse mail et le nom d'utilisateur par des données factices à l'affichage), l'historique Git restait entier. Le problème de Git, c'est qu'il repose lui aussi sur la cryptographie pour assurer l'intégrité de la donnée. Contrairement à la Blockchain, on peut la modifier, mais ça revient à réécrire l'histoire. Ce n'est pas toujours sans conséquence, même si réalisable moyennant une bonne maîtrise de l'outil.

Comme tout SI qui se respecte, le process de revue RGPD a été fait après coup :D
Quand y'a eu un connard d'architecte relou eprenant le sujet qui s'est dit que ça serait bien de le faire. La partie juridique du contrat de travail ou sous-traitance n'était pas dans notre domaine. D'ailleurs, les DPO ne l'avaient pas évoqué de mémoire. Après j'avais laissé la main au product owner pour finaliser cette partie vu que le projet avait été terminé.
votre avatar
Pourtant il faut bien garder le nom des auteurs, sinon ce sont les collègues du service de la propriété intellectuelle qui vont faire un arrêt cardiaque si on n'est plus capable de retrouver les auteurs de chaque partie du code.
votre avatar
:bravo:, tu viens de trouver une obligation légale le c) du 1 de l'article 6. Lui aussi empêche la suppression de données personnelles et en France le droit moral est inaliénable, donc, on ne peut pas supprimer l'identification des auteurs de partie de code. :D
votre avatar
Mais ce n'est valable que pour la France. Est-ce que le droit moral inaliénable est une spécificité franco-française, ou est-ce que cela a été harmonisé au niveau européen ?

Et comment faire prévaloir ce droit ? Est-ce qu'il faut que l'auteur soit français ? Travaille en France ? Que son entreprise soit française ? etc. Et quid du développeur salarié, dont l'oeuvre appartient en théorie à l'employeur et non à la personne qui a écrit les lignes de code (c'est une exception au droit d'auteur) ?

Bref, c'est un beau bazar au final de trouver la juste adéquation entre le respect des différentes obligations légales...
votre avatar
Il y a un certain nombre de pays où ce droit moral existe et sont reconnus par la Convention de Berne. On peut les trouver sur Wikipédia.

L'article L111-5 du CPI doit répondre à une partie de tes questions, mais sa rédaction fait que je ne sais pas y répondre moi-même. :D
Et quid du développeur salarié, dont l'oeuvre appartient en théorie à l'employeur et non à la personne qui a écrit les lignes de code (c'est une exception au droit d'auteur) ?
Cette exception, l'article L113-9, ne parle bien que des droits patrimoniaux.
votre avatar
L'article L111-5 du CPI doit répondre à une partie de tes questions, mais sa rédaction fait que je ne sais pas y répondre moi-même. :D
Mais justement, c'est un sac de noeud ce truc ^^
Cette exception, l'article L113-9, ne parle bien que des droits patrimoniaux.
Son complément (article L121-7) atténue fortement les droits moraux dans le cas présent

Le seul droit moral restant dans ce cas là, c'est la possibilité, pour l'auteur, de demander le retrait de son nom (je parle dans le cas d'un commit git).
votre avatar
C'est compatible avec les clauses contractuelles disant que le travail produit sur le temps de travail de l'entreprise est propriété de celle-ci ?
votre avatar
Oui, c'est même pour cela qu'un développeur peut exiger que son nom figure. Ça semble même être le seul droit moral dans le cas du logiciel (sauf jurisprudence plus récente).
Le droit moral est différent du droit de propriété.
votre avatar
il faudrait créer des adresses mails génériques pour les comptes cloud, et utiliser uniquement des identifiants random (ex : GH7452) dans GIT.
Ensuite il faut que tu ais un plugin front qui remplace ces identifiants par le nom correspondant "GH7452 (Sophie TAGIAIRE)", pour que ça marche il faut que l'identifiant soit quasi invisible aux humains, la tentation est grande de faire des mails/ Excel de transco au cas où.
votre avatar
voire aucun cas d’usage, pour certains
Voilà.
votre avatar
[Hors sujet]
toit aussi eugmente ton vocabulaire avec next :
thuriféraire
nom
1.
Religion
Porteur d'encensoir.
2.
au figuré•littéraire
Encenseur, flatteur, laudateur.<===========

Bis :
laudateur
nom
littéraire
Personne qui fait un éloge.


Merci je ne connaissais pas.
votre avatar
Dans mon prochain article, je placerai sycophante, apodictique, irrémissible, irréfragable et indubitable (ça n'est pas un gros mot).
:fumer:
:humour:
votre avatar
L'aréopage des lecteurs de Next a hâte de lire ton exégèse linguistique :embarassed:
votre avatar
Je propose des trucs plus drôle : canuler, diptérosodomie et capilotracté (bon le dernier est facile ^^) :copain:
votre avatar
J’aime découvrir des mots que je ne connais pas ou redécouvrir la signification de tous ceux que j'ai oublié :merci:
votre avatar
À part "apodictique" dont je ne suis pas certain du sens, le reste est du langage courant, non ?
votre avatar
La blockchain serait bienvenue pour garder une trace relatant des faits publics, et condamnations d'élus... Malgré leur désir intense d'être lavés plus blanc que blanc en réclamant un droit à l'oubli.
votre avatar
À quoi servirait une blockchain pour archiver ce que la justice archive déjà ?

Tu as aussi Pappers Justice qui les publie depuis qu'elles ont été mises en open data.
votre avatar
ceci dit.. on voit avec Trump/DOGE que réécrire l'histoire n'est pas hors de portée. Finalement un cas d'utilisation pour les blockchains?
votre avatar
Qui gérerait cette blockchain ?
votre avatar
L'ensemble des participants. C'est le principe, avec personne de majoritaire pour pouvoir effacer/réécrire.

Mais je ne dis pas pour autant que c'est la bonne solution. :D
votre avatar
De mon expérience, la solution technique pour répondre à un problème humain ne marche pas. Le techno-solutionnisme est même régulièrement décrié sur Next à ce sujet.

Si je devais reprendre l'exemple des décisions de justice en open-data : rien que le fait d'avoir des intervenants tiers indépendants de l'Etat (exemple avec Pappers) permet de s'assurer qu'il n'y aura pas de perte.

Le seul moyen de supprimer les données, c'est de rendre leur détention illégale au travers de la loi (en gros : abolir les lois sur la transparence de l'Etat et lui réattribuer le monopole de l'archivage de ses données).
votre avatar
Un rapide tour sur les réseaux sociaux suffit pour trouver des contestataires vent debout contre le projet de l’EDPB sur les données personnelles dans les chaînes de blocs.
Désolé mais n'étant sûrement pas sur les réseaux sociaux en question, j'ai du mal à imaginer de quoi ces personnes s'alarment - avez-vous des exemples à partager?

Parce que, de ce que je comprends:
- La situation actuelle ne permet pas de stocker des données personnelles de tiers directement sur blockchain, du fait du RGPD
- Donc l'Europe réfléchit a des mécanismes permettant cela sans contrevenir au RGPD
- En tout état de cause, ce ne sont pas les blockchains même qui seraient menacées, mais seulement certains cas d'utilisation.

C'est correct?
votre avatar
Merci pour ton commentaire ! Tu as parfaitement résumé la situation : ce n’est pas la blockchain en tant que technologie qui est visée, mais certains usages qui impliquent des données personnelles, en particulier sur des chaînes publiques.

Pour répondre à ta première question : non, je n’ai pas gardé trace des messages que j’ai vus passer sur les réseaux, mais ce n’était pas l’objet central de l’article. Ils m’ont simplement servi de déclencheur pour explorer cette actualité importante : la consultation publique lancée par le CEPD. Même sans ces réactions, le sujet mérite qu’on s’y intéresse, car il pose des questions fondamentales sur la compatibilité entre blockchain et droit européen.

Cela dit, certaines réactions tournaient effectivement autour de “l’Europe qui veut tuer l’innovation”, “l’attaque bureaucratique contre la liberté”, ou encore “l’hypocrisie RGPD vs consommation énergétique”... Bref, des réactions typiques dès qu’un cadre juridique vient encadrer une techno considérée comme "disruptive". On retrouve souvent ces critiques du côté des promoteurs commerciaux ou éditoriaux de la blockchain.

Là où, selon moi, le sujet devient vraiment intéressant, c’est sur le plan philosophique : pour qu’une blockchain puisse respecter le RGPD, il faut souvent réintroduire un tiers de confiance, là où ces systèmes ont précisément été conçus pour s’en passer. Il y a donc une forme de contradiction structurelle, ou à tout le moins une tension difficile à résoudre sans renier les principes fondateurs des blockchains publiques.
votre avatar
Pour avoir vu passer certains de ces messages, il est aussi mis en avant le fait que la conservation offchain (sur les chaines publiques) des données personnelles via des processus d'anonymisation est impossible du fait de tracfin et la lutte contre le blanchiement. Est-ce que vous avez des infos à ce sujet ?
votre avatar
J'ai l'impression que le sujet n'est pas tant ici les crypto-monnaies qui pourraient être concernées par les mesures anti-blanchiment, mais l'utilisation des blockchains pour stocker des données en général, la monnaie n'étant qu'un cas particulier.

En plus, aujourd'hui même pour les crypto-monnaies, pour la lutte anti-blanchiment, l'identification des individus se fait à l'extérieur de la blockchain : au moment de l'échange avec de la monnaie traditionnelle sur les plateformes d'échange, qui manipulant de la monnaie réelle sont soumises aux lois imposant de connaître son client, de signaler les transactions suspectes, etc..

Le traçage des échanges, lui peut de faire dans la blockchain grace aux adresses du portefeuille.
votre avatar
Au lieu d'utiliser un hash d'une donnée personnelle, on peut utiliser un GUID . Un GUID n'est pas lié à sa donnée donc un GUID vers une donnée ne devrait pas être considéré comme une donnée personnelle.
Il faut donc générer un nouvel enregistrement avec un nouveau hash. C’est un peu lourd, mais faisable.
Ah non si on écrit un un nouveau hash, ça ne change pas l'ancien l'unique façon de modifier une blockchain est l'équivalent d'un fork logiciel : Repartir du bloc précédent, réécrire le bloc modifié puis rejouer tous les blocs suivants. ça marche +/- si le paquet vient d'être écrit.. C'est évidemment infaisable avec une crypto standard, car ça consisterait à repayer tout le monde depuis le moment qu'on voulait modifier :-) avec une blockhain plus générique ça implique un freeze pendant le recalcul, donc c'est clairement pas optimum.

On avait eu ces questions au boulot à l'époque de la hype de la blockchain, notre conclusion : une blockchain ne peut pas être liée à des gens : pour respecter le RGPD il faut externaliser ces données perso, dés qu'on exporte un bout, la blockchain perd tout intérêt : dépendance à un système centrale, la donnée exportée devient peu fiable. (elle est modifiable) En poussant le raisonnement, autant gérer un système centralisé sécurisé (bbd + certificats) et virer la blockchain.

Il y'a un cas d'usage qui marche pas trop mal avec les blockchains, c'est la traçabilité : par ex la nomenclature d'une voiture (ou d'une montre de luxe) et/ou son carnet d'entretien.
Tu peux certifier que ta voiture / montre est "authentique" ne contient que des pièces officielles (ou des diamants non-Congolais ;) ), l'état de la garantie, que l’entretien a été fait en temps et heure, que le kilométrage n'a pas été trafiqué, en cas de rappel tu peux retrouver immédiatement tous les véhicules contenant un composant d'un lot défectueux.

Même dans ce scenario technique le RGPD n'est pas très loin, si tu veux gérer les ventes d'occasion (par ex vérifier qu'une voiture ou une montre de luxe n'a jamais été volée) : tu retombes dans le prb de l'identification du propriétaire sans écrire de donnée personnelle dans la blockchain. Si tu te contentes de stocker l'historique des numéros de carte grises, tu délègues la responsabilité de ses données au fichier de cartes grises, ça perd pas mal d'utilité: Tu peux connaître avec certitude le nombre de propriétaires, mais pour la notion de vol il faut faire confiance à l'organisme des cartes grises...
votre avatar
Il faut donc générer un nouvel enregistrement avec un nouveau hash. C’est un peu lourd, mais faisable.
Euh tu dis la même chose que moi, relis bien : pour une modification, je ne dis pas qu'il faut modifier le hash existant mais qu'il faut créer un nouvel enregistrement avec le nouveau hash, ce qui n'efface bien sûr pas le hash (et l'enregistrement) précédent. Ainsi on peut modifier, mais hélas pas effacer l'ancien enregistrement. Et tu as raison : si on veut effacer ou modifier un enregistrement de façon "conforme", il faut forker ou sinon une solution est de prendre le contrôle de la chaîne (attaque des 51%, privatisation...).
Ton commentaire est très intéressant car je vois que tes discussions vont dans le même sens, et que le RGPD semble restreindre les cas d'usage intéressants pour les blockchains. Il sera maintenant très intéressant aussi de voir le texte final, pour voir ce qu'il ressort de la consultation !

Les blockchains sont-elles solubles dans le RGPD ?

  • Un petit rappel historique

  • Une blockchain, c’est quoi ?

  • Encore la faute à l’Europe

  • Que dit le RGPD sur les blockchains ?

  • Ce qui pose problème

  • Peut-on concilier blockchain et RGPD ?

  • Hors de la chaîne : stockage off-chain avec hachage on-chain !

  • Si on veut éviter le off-chain

  • Où mettre les données personnelles off-chain ?

  • Conclusion

Fermer