RGPD : 4 usages de la certification blockchain

RGPD et Blockchain

Depuis le 25 mai 2018, le RGPD – Règlement Général sur la Protection des Données – entrera en application en France. Ce règlement vise à encadrer l’utilisation des données personnelles grâce à la création de nouveaux droits pour les utilisateurs. Parmi ces droits figurent notamment : le droit à l’information (informer un individu de l’utilisation qui va être faite de ses données), le droit d’accès (fait pour un individu de demander des informations relatives au traitement de ses données) ou le droit à l’oubli (fait pour un individu de demander l’effacement de ses données).

De ces droits découlent plusieurs obligations pour les entreprises. Ces obligations sont rappelées dans ce document rédigé par le Correspondant Informatique et Liberté du CNRS. Dans cet article nous avons identifié les obligations qui peuvent être traitées par l’utilisation de la blockchain en tant que “notaire virtuel” pour certifier les données ou fichiers numériques.  

Pour comprendre la certification sur blockchain et les points abordés dans cet article, vous pouvez au préalable lire notre article explicatif 5 questions pour comprendre la certification blockchain.

1/ Preuve du consentement de l’utilisateur

La blockchain pour créer des preuves de consentement est l’utilisation la plus simple à mettre en place au sein des entreprises. L’objectif est de créer des preuves d’authenticité à chaque fois que  le consentement d’un utilisateur est enregistré par une entreprise. L’intérêt de la blockchain est alors le suivant : disposer d’une preuve d’intégrité horodatée et infalsifiable. Une entreprise pourra ainsi apporter la preuve du consentement de l’utilisateur en produisant devant le juge les certificats d’intégrité.

2/ Tenue du registre des traitements

Par essence, la blockchain est un registre de données qui a la spécificité d’être décentralisé. Concrètement, cela signifie que les données ne sont pas stockées sur un serveur unique mais dupliquées sur plusieurs serveurs. Les données ainsi enregistrées sur une blockchain sont inaltérables, c’est à dire qu’elle ne peuvent être supprimées ou modifiées à posteriori.

La blockchain appliquée aux données personnelles nécessite cependant de chiffrer les données afin de ne pas stocker “en clair” des informations sensibles, ce qui est fait grâce à la certification sur blockchain.  

3/ Intégrité et confidentialité des données personnelles

La confidentialité des données personnelles est définie comme la protection des données afin que ces dernières ne soient pas accessibles à des tiers non autorisés. La confidentialité des données ne peut pas être gérée sur la blockchain. Il convient aux entreprises de mettre en place les mesures de sécurité nécessaires à la protection de ces données.

En revanche, l’intégrité des données peut, elle, être effectuée par la blockchain. C’est l’idée centrale de la certification sur blockchain. L’idée est de créer une empreinte numérique pour chaque donnée et de l’ajouter sur une blockchain publique (Ethereum, Bitcoin, etc). Ainsi, une fois l’empreinte numérique enregistrée sur la blockchain, les entreprises disposent d’une preuve d’intégrité associée à chaque donnée.

4/ Traçabilité de l’utilisation des données personnelles

Cette application consiste à inscrire sur une blockchain publique l’utilisation qui est faite des données personnelles d’un individu. Ces données personnelles sont identifiées par un hash unique. Chaque fois que ces données personnelles sont utilisées, le hash est inscrit dans la blockchain avec les informations suivantes : qui a utilisé les données ? Comment les données sont-elles utilisées ? Dans quel but ? Le fait d’ajouter ces informations sur la blockchain permettra de les horodater et ainsi d’avoir une date certaine liée à l’utilisation de ces données.

Pour ces cas de figure, les entreprises peuvent utiliser Datatrust, notre solution de certification des données et fichiers numériques. Elle permet notamment de réduire considérablement les coûts en comparaison d’une solution centralisée.

Les entreprises peuvent choisir d’utiliser la plateforme Datatrust ou d’implémenter l’API Datatrust à leurs systèmes d’information. Dans les deux cas, notre équipe saura répondre à vos questions et vous accompagner dans l’utilisation de Datatrust.