GDPR et Blockchain : Le nouveau règlement européen sur la protection des données est-il une menace ou un progrès ?


geralt / Pixabay

Le (), un cadre juridique général et contraignant pour la protection des , est entré en vigueur le 25 mai 2018. Prêt ou pas, ce cadre va transformer radicalement l’activité de tout entreprise numérique. L’Association Internationale des Professionnels de la Vie Privée (IAPP) prévoit qu’au moins 75 000 emplois privés seront créés en conséquence et que les entreprises, faisant partie Global 500 de Fortune, dépenseront près de 8 milliards de dollars pour s’assurer qu’elles sont conformes au GDPR. Mais qu’est-ce que cela signifie pour la ?

Les objectifs du GDPR sont les suivants: créer un cadre uniforme de réglementation des données en Europe et renforcer le contrôle des individus sur le stockage et l’utilisation de leurs données personnelles. Il a été adopté en 2016 et après une période de transition de deux ans, il est maintenant en vigueur

Les obligations et droits du GDPR

Le GDPR introduit de nouvelles obligations procédurales et organisationnelles pour les “processeurs de données” incluant les entreprises et les entités publiques et donne plus de droits aux “sujets de données” – le terme qu’il utilise pour les individus. Les organisations publiques et privées, lorsqu’elles sont laissées à elles-mêmes, ont tendance à accumuler des données avant même de savoir ce qu’elles vont en faire dans une sorte de ruée vers les données personnes. Le GDPR va à l’encontre de cette habitude en spécifiant que les entreprises de traitement de données ne doivent pas collecter de données au-delà de ce qui est directement utile à leur interaction immédiate avec les consommateurs. En effet, la collecte de données devrait être «adéquate, pertinente et limitée au minimum nécessaire par rapport aux finalités pour lesquelles elles sont traitées» (article 39 du RGPD).

Outre la définition de ce qui est autorisé ou non , le GDPR spécifie également des directives organisationnelles que les processeurs de données devront adopter dorénavant. Par exemple, leur architecture technologique devra effacer par défaut les données du consommateur après l’avoir utilisée dans l’optique “privacy by design”. Deuxièmement, toute entité considérée comme un “data nexus” devra avoir un Data Protection Officer (DPO), un  responsable de la gestion du respect du GDPR. Ce DPO sera soumis à l’obligation légale d’alerter l’autorité de contrôle dès qu’un risque pour la vie privée de la personne concernée se présente (article 33).

Mais Les personnes concernées seront mieux informées de la manière dont leurs données privées sont stockées et traitées (article 15). Ils auront, par exemple, le droit de demander une copie des informations détenues à leur sujet par les sociétés de traitement de données, qui devront en outre informer les personnes concernées du traitement des données et de leur partage ou de leur acquisition.

En plus de la transparence , le GDPR offre aux citoyens un meilleur contrôle sur l’utilisation de leurs données et l’article 17 énumère les conditions dans lesquelles ils pourront demander la suppression de leurs données dans les bases de données commerciales ou le”droit d’effacement”. Mais comme Sarah Gordon une Aliya Ram le font remarquer dans le Financial Times que «finalement, l’impact du GDPR dépendra de la décision des individus d’exercer de plus grands pouvoirs que leur confèrent les règles». À quand remonte la dernière fois que vous avez refusé votre consentement à la politique de confidentialité de Facebook ?

Un fusil chargé avec une portée mondiale

Le GDPR impose des amendes extrêmement élevées pour les entreprises qui ne s’y conforment pas. En outre, sa portée va bien au-delà de l’UE. Pour les entreprises, une visite de l’auditeur de la protection des données pourrait devenir encore plus effrayante qu’une visite de l’inspecteur des impôts. Un non-respect intentionnel ou répété des principes énoncés par le GDPR entraînera une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel du contrevenant, le montant le plus élevé étant retenu. Plutôt que de simplement compter sur les OPH des entreprises pour sonner l’alarme, des audits réguliers de protection des données vont également être effectués.

Bien que stricto sensu, il ne protège que les données au sein de l’UE, la portée du GDPR est mondiale. Pour commencer, les entreprises de traitement de données situées en dehors de l’UE et qui traitent les informations personnelles des résidents de l’UE devront s’y conformer. En outre, l’UE innove en ce qu’elle lie désormais les flux de données aux flux commerciaux.

Tout pays souhaitant signer l’accord commercial avec l’UE devra être signé pour respecter le GDPR. Au cours de la dernière décennie, les États-Unis sont devenus la police économique mondiale imposant des amendes aux banques pour ne pas avoir respecté les règlements anti-blanchiment d’argent. Avec le GDPR, l’UE deviendra-t-elle championne mondiale de la protection des données ?

La blockchain échappe-t-elle au GDPR?

Le GDPR a été proposé par la Commission européenne en 2012 avec un focus sur les services cloud et les réseaux sociaux. Une période où on ignorait le terme de blockchain. Les services de cloud et les réseaux sociaux, au moins dans le monde pré-blockchain, sont organisés de manière centralisée. De nombreuses personnes interagissent avec une entité de serveur unique. La gestion centrale crée un point d’attaque simple et facile pour les régulateurs. Mais comment le GDPR affectera-t-il les protocoles décentralisés tels que les blockchains publiques ?

Il est clair qu’étant donné la ligne mince entre le pseudonymat et l’identification, la blockchain stocke certaines données potentiellement personnelles, en commençant par l’historique des transactions. Il pourrait à ce titre entrer dans le champ d’application du GDPR

À première vue, on pourrait penser qu’il existe une contradiction directe entre le GDPR et les blockchains publics. Par exemple, parmi les nombreux principes énoncés dans le GDPR, le «droit à l’effacement» semble être particulièrement en contradiction avec la nature immuable qui, dans le langage courant, est au coeur de la technologie blockchain. En supposant un instant que cette contradiction subsiste, cela soulève la question: qui sont les processeurs de données responsables dans un système de blockchain purement décentralisé ?

Dans l’ensemble, l’articulation de la logique du GDPR et de la blockchain, avec le concept de “data processor” et du “Sujet de données”, semble difficile voir impossible.

Une Blockchain avec le GDPR ?

Néanmoins, la blockchain partage de nombreux objectifs avec le GDPR. Les deux visent à décentraliser le contrôle des données et à tempérer l’inégalité de pouvoir entre les fournisseurs de services centralisés, en partie en les supprimant, dans la blockchain et les utilisateurs finaux. Alors que la spécification originale de Bitcoin ne garantissait pas l’anonymat, de nombreuses innovations technologiques allant des Tumblers aux applications zk-SNARK nous ont rapprochés de cet idéal. Ce type d’anonymat n’est probablement pas ce que souhait le législateur et est-ce qu’il a des solutions suggérées par la blockchain qui seraient plus facilement acceptées par le régulateur ?

Une voie de recherche particulièrement prometteuse est la combinaison de matériel fiable et blockchains. Sur les blockchains publiques, toutes les données sont répliquées et partagées sur toutes les machines du réseau. Ainsi, la suppression des données de transaction et la vie privée deviennent un cauchemar pour les utilisateurs. Des recherches récentes ont commencé à chercher comment des “enclaves informatiques fiables”, telles qu’Intel SGX, pourraient fournir un stockage et une confidentialité sécurisés et confidentiels.

La combinaison de l’informatique de confiance avec des blockchains publics signifie que la confidentialité des données peut être protégée des menaces extérieures, Et puisque les contrats intelligents signifient ne plus avoir à faire confiance aux fournisseurs de services centralisés, les droits de données peuvent être gérés exclusivement via la et le matériel de confiance. Plusieurs projets poursuivent actuellement cette idée dans l’espoir de transformer la blockchain en un conte de fées pour le GDPR.

Une de ces tentatives est un effort conjoint de l’Imperial College de Londres et de la Cornell University. Teechain est un projet qui utilise un matériel fiable pour permettre des transactions sécurisées et efficaces hors chaîne pour une blockchain publique. Il est important de se demander si on peut trouver la confidentialité des transactions sur toutes les blockchains publiques et pas seulement sur celles qui fournissent l’anonymat par défaut. Un projet alternatif, qui a également conduit à des démonstrations en direct, est la collaboration entre iExec et Intel initiée au sein d’Enterprise Ethereum Alliance (EEA).

L’article a été coécrit avec Joshua Lind, un Ph.D. Candidate en Informatique

Source : Source

N'oubliez pas de voter pour cet article !
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur web depuis 2009 et journaliste scientifique. Je suis également un blogueur dans la vulgarisation scientifique et la culture.

Je m'intéresse à des sujets comme les cryptomonnaie, l'activisme, mais également la politique. Je touche à tout et je le partage via mes blogs et mes réseaux.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *