RGPD : 4 usages de la certification blockchain

RGPD et Blockchain

Depuis le 25 mai 2018, le RGPD – Règlement Général sur la Protection des Données – entrera en application en France. Ce règlement vise à encadrer l’utilisation des données personnelles grâce à la création de nouveaux droits pour les utilisateurs. Parmi ces droits figurent notamment : le droit à l’information (informer un individu de l’utilisation qui va être faite de ses données), le droit d’accès (fait pour un individu de demander des informations relatives au traitement de ses données) ou le droit à l’oubli (fait pour un individu de demander l’effacement de ses données).

De ces droits découlent plusieurs obligations pour les entreprises. Ces obligations sont rappelées dans ce document rédigé par le Correspondant Informatique et Liberté du CNRS. Dans cet article nous avons identifié les obligations qui peuvent être traitées par l’utilisation de la blockchain en tant que “notaire virtuel” pour certifier les données ou fichiers numériques.  

Pour comprendre la certification sur blockchain et les points abordés dans cet article, vous pouvez au préalable lire notre article explicatif 5 questions pour comprendre la certification blockchain.

1/ Preuve du consentement de l’utilisateur

La blockchain pour créer des preuves de consentement est l’utilisation la plus simple à mettre en place au sein des entreprises. L’objectif est de créer des preuves d’authenticité à chaque fois que  le consentement d’un utilisateur est enregistré par une entreprise. L’intérêt de la blockchain est alors le suivant : disposer d’une preuve d’intégrité horodatée et infalsifiable. Une entreprise pourra ainsi apporter la preuve du consentement de l’utilisateur en produisant devant le juge les certificats d’intégrité.

2/ Tenue du registre des traitements

Par essence, la blockchain est un registre de données qui a la spécificité d’être décentralisé. Concrètement, cela signifie que les données ne sont pas stockées sur un serveur unique mais dupliquées sur plusieurs serveurs. Les données ainsi enregistrées sur une blockchain sont inaltérables, c’est à dire qu’elle ne peuvent être supprimées ou modifiées à posteriori.

La blockchain appliquée aux données personnelles nécessite cependant de chiffrer les données afin de ne pas stocker “en clair” des informations sensibles, ce qui est fait grâce à la certification sur blockchain.  

3/ Intégrité et confidentialité des données personnelles

La confidentialité des données personnelles est définie comme la protection des données afin que ces dernières ne soient pas accessibles à des tiers non autorisés. La confidentialité des données ne peut pas être gérée sur la blockchain. Il convient aux entreprises de mettre en place les mesures de sécurité nécessaires à la protection de ces données.

En revanche, l’intégrité des données peut, elle, être effectuée par la blockchain. C’est l’idée centrale de la certification sur blockchain. L’idée est de créer une empreinte numérique pour chaque donnée et de l’ajouter sur une blockchain publique (Ethereum, Bitcoin, etc). Ainsi, une fois l’empreinte numérique enregistrée sur la blockchain, les entreprises disposent d’une preuve d’intégrité associée à chaque donnée.

4/ Traçabilité de l’utilisation des données personnelles

Cette application consiste à inscrire sur une blockchain publique l’utilisation qui est faite des données personnelles d’un individu. Ces données personnelles sont identifiées par un hash unique. Chaque fois que ces données personnelles sont utilisées, le hash est inscrit dans la blockchain avec les informations suivantes : qui a utilisé les données ? Comment les données sont-elles utilisées ? Dans quel but ? Le fait d’ajouter ces informations sur la blockchain permettra de les horodater et ainsi d’avoir une date certaine liée à l’utilisation de ces données.

Pour ces cas de figure, les entreprises peuvent utiliser Datatrust, notre solution de certification des données et fichiers numériques. Elle permet notamment de réduire considérablement les coûts en comparaison d’une solution centralisée.

Les entreprises peuvent choisir d’utiliser la plateforme Datatrust ou d’implémenter l’API Datatrust à leurs systèmes d’information. Dans les deux cas, notre équipe saura répondre à vos questions et vous accompagner dans l’utilisation de Datatrust.

5 questions pour comprendre la certification blockchain

5 questions pour comprendre la certification blockchain

La blockchain est un registre numérique qui conserve l’historique des transactions entre des individus et permet ainsi de vérifier qui possède quoi à quel instant. A l’origine, la blockchain est d’abord été utilisée par Bitcoin pour permettre des échanges de monnaies virtuelles. Le registre blockchain peut cependant être utilisé bien au-delà de cette application, en particulier pour certifier l’intégrité d’une donnée ou d’un fichier numérique.

Découvrez en 5 questions/réponses le fonctionnement de la certification sur blockchain :

1/ Qu’est ce que la blockchain ?

Il faut considérer la blockchain comme une base de données qui conserve l’historique des informations qui y sont inscrites et qui bénéficie de 3 propriétés essentielles :

  • Résilience : le registre de la blockchain est décentralisé en étant répliqué sur différents noeuds (semblables à des serveurs, mais avec des caractéristiques spécifiques aux réseaux décentralisés). De ce fait, l’information reste accessible même en cas de panne de noeuds.
  • Transparence : les informations inscrites sur la blockchain sont accessibles partout, à tout moment, par tous ses utilisateurs.
  • Infalsifiable : les informations inscrites ne peuvent pas être modifiées ou supprimées.

2/ Comment la blockchain est-elle utilisée pour certifier des données ou des fichiers numériques ?

La blockchain est utilisée comme un « e-notaire » : son registre infalsifiable permet d’affirmer avec certitude quel était l’état d’une donnée à un instant T.  

3/ Quelles informations sont disponibles sur la blockchain ?

Les fichiers et données numériques ne sont pas directement inscrites sur la blockchain. Seule leur empreinte numérique, une suite de caractères hexadécimale unique, est inscrite sur la blockchain.

Cette empreinte numérique seule ne permet pas de retrouver le fichier initial; c’est l’association de la donnée/ du fichier numérique et de l’empreinte numérique inscrite sur la blockchain qui permet d’affirmer qu’une donnée ou un fichier a bien été certifié. Ainsi, même les documents confidentiels peuvent être certifiés sur la blockchain.

Processus certification blockchain
Processus certification blockchain

4/ Quel est l’intérêt d’utiliser la blockchain pour certifier une donnée ou un fichier numérique ?

La blockchain en tant que registre décentralisé, résilient et infalsifiable, permet de générer des certificats d’intégrité en quelques minutes, de manière sécurisée et à moindre coûts en comparaison des solutions existantes telles que l’enveloppe e-soleau qui oblige notamment à révéler le contenu certifié à des tiers.

De plus, les preuves créées sur une blockchain publique ne seront jamais effacées, même si votre prestataire de certification venait à disparaître, les preuves resteraient accessibles.

5/ Quelle est la valeur juridique d’une certification sur blockchain ?

Aujourd’hui, la certification sur blockchain d’une donnée ou d’un fichier numérique constitue un commencement de preuve par écrit au même titre qu’un email. Pour cela, deux conditions doivent être respectées :

  1. Garantir l’identité de la personne qui a initié la certification

  2. Conserver une version du fichier certifié

Le certificat établi sur blockchain permettra devant un juge de prouver l’intégrité et l’antériorité d’une donnée ou d’un fichier numérique.

Quelques exemples :

Les secteurs d’activité concernés sont très nombreux. En voici une sélection accompagnée d’exemples concrets :

> Mode et  Luxe : certification des dessins et modèles

Aujourd’hui les dessins et modèles sont déposés à l’INPI une fois achevés. Avant leur dépôt, ces derniers sont précieusement protégés par les règles de sécurité mises en pratiques au sein des entreprises. Parfois cependant, ces dessins et modèles sont usurpés et utilisés par un contrefacteur. Dans ce cas, la certification des étapes du processus de création et la production de ces certificats permettront, en étant présentées devant un juge, de prouver quelle entreprise est véritablement à l’origine de la création d’un dessin ou d’un modèle.

Sachant que les industriels du secteur sont confrontés à un dilemme : pour vendre leurs nouveaux tissus ou leurs modèles, il leur faut les montrer, mais les dévoiler, c’est aussi s’exposer à la copie.

> Santé : certification des ordonnances médicales numériques

Les ordonnances médicales numériques sont autorisées depuis 2004 (voir l’extrait du texte de loi), mais elles ne sont pour l’instant pas utilisées, notamment parce que les solutions de certification de l’intégrité de ces données sont coûteuses et compliquées à mettre en place.

La certification sur blockchain est une solution pour répondre à ce problème : elle permettrait à un pharmacien ou un professionnel de santé de vérifier l’intégrité du document présenté par un patient et de s’assurer que ce document numérique a bien été rédigé par un professionnel de santé.

> Secteur public : certification des extraits de K-BIS

En 2017, nous avons développé pour le Canton de Genève une solution de certification sur blockchain qui permet de vérifier l’intégrité d’un KBIS. Lorsqu’une entreprise fait une demande de KBIS, elle peut gratuitement demander une version numérique de ce dernier. Ainsi, en plus du KBIS, l’entreprise reçoit un certificat d’intégrité qui permet à ces interlocuteurs de vérifier l’intégrité du document et de vérifier que le document a bien été émis par le canton de Genève.

Extrait commande KBIS Canton Genève
Extrait commande KBIS Canton Genève

A propos de Datatrust

Datatrust est une solution de certification des fichiers numériques qui utilise la technologie blockchain. Notre plateforme a été conçue pour s’adapter aux besoins des grandes entreprises, des cabinets d’avocat et des startups. Datatrust leur permet de certifier leurs données en quelques clics et d’éditer un certificat au format PDF.

Consulter nos offres ou Demander une démo

La blockchain : une réponse à la directive secret des affaires

La blockchain : une réponse à la directive secret des affaires

Directive secret des affaires

A compter de juin 2018, les entreprises seront en mesure de protéger leurs “savoir-faires et informations commerciales de valeur”, aussi appelés secrets des affaires, grâce à une directive européenne du 8 juin 2016. Cette directive fera l’objet d’une transposition en droit français au plus tard en juin 2018. Dès lors, la protection du secret des affaires sera renforcée juridiquement.

L’idée de cette directive est de construire un cadre juridique uniforme qui permette aux entreprises de protéger de manière quasi-automatique les éléments confidentiels à l’origine d’une innovation et ainsi développer les collaborations entre les acteurs économiques des pays membres de l’Union Européenne.

I – Qu’est ce que le secret des affaires ? Définition juridique

La Commission Européenne définit le secret des affaires comme “les savoir-faires et informations commerciales de valeur qui ne sont pas divulgués et qu’on entend garder confidentiels”. Plus précisément, elle dresse trois conditions de validité permettant de caractériser un secret des affaires :

  • Condition 1 : Il s’agit d’informations secrètes dans la mesure où “elles ne sont généralement pas connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question”
  • Condition 2 : “Elles ont une valeur commerciale parce qu’elles sont secrètes”
  • Condition 3 : “Elles ont fait l’objet […] de dispositions raisonnables […] destinées à les garder secrètes.”

A titre d’exemple, il s’agit entre autres, des connaissances technologiques, des données commerciales relatives à des clients ou des fournisseurs, des business plans, des études stratégiques, et tout autre donnée ou processus permettant à une entreprise de dégager des bénéfices.

II – Comment mettre en oeuvre les “dispositions raisonnables” à la protection du secret des affaires ?

La condition de validité n°3 de la directive européenne définit que la personne doit apporter la preuve que les informations secrètes permettant de définir le secret des affaires doivent avoir fait l’objet […] de dispositions raisonnables […] destinées à les garder secrètes.

Or, l’ordonnance ne précise pas quelles dispositions raisonnables doivent être mises en oeuvre  pour protéger ces informations secrètes. Les accords de confidentialité sont une manière de répondre à cette exigence. La sécurité informatique des données confidentielles en est une autre. Mais au-delà de cette protection technique, la première étape consiste à assurer la preuve de cette information secrète en l’horodatant et en la certifiant.

Dans un cas concret, si un salarié subtilise les maquettes d’une entreprise A avant de les emmener dans une entreprise B, comment prouver que l’entreprise A est bien à l’origine des maquettes ? Ici, la certification et l’horodatage des maquettes par l’entreprise A permettrait de prouver au juge que les maquettes ont été subtilisées.

III – La blockchain pour horodater et certifier l’intégrité du secret des affaires

Par essence, la blockchain est un registre numérique qui fonctionne sans organe central de contrôle. Sur ce registre, plus besoin d’un tiers certificateur tels que le notaire, l’enveloppe Soleau, etc. qui sont chargés de créer des certificats d’authenticité ; ces derniers sont générés grâce à un réseau d’ordinateurs qui stockent la preuve d’existence et d’intégrité d’une donnée.

Cette technologie intéresse de près les entreprises qui y voient un outil de certification des données numériques. Elle permet en effet d’horodater et de créer la preuve d’intégrité d’une donnée de manière sécurisée, pérenne et à faible coût en comparaison des solutions existantes.

Pour le secret des affaires, il suffirait de rédiger la description de toutes les informations  confidentielles qui le caractérisent et de créer leur empreinte numérique , équivalent de l’empreinte digitale mais pour les données : chaque donnée a sa propre empreinte numérique. Si une donnée texte sur un document PDF est modifiée, ne serait-ce que d’une virgule, son empreinte numérique sera totalement différente. Ensuite, cette empreinte numérique est ajoutée à la blockchain, ce qui permet de l’horodater et d’en garantir l’intégrité.

Datatrust est une solution de certification des fichiers numériques qui utilise la technologie blockchain. Notre plateforme a été conçue pour s’adapter aux besoins des grandes entreprises, des cabinets d’avocat et des startups. Datatrust leur permet de certifier leurs données en quelques clics et d’éditer un certificat au format PDF.

Consulter nos offres ou Demander une Démo

Source  : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0943&from=FR