La Blockchain, un levier dans la mise en œuvre du RGPD ?

Le RGPD (Règlement Général sur la Protection des Données), applicable depuis le 25 mai 2018 renforce les notions de consentement, de droit à l’oubli et de libre-accès et introduit le droit à la portabilité des données. Ce règlement induit de lourdes sanctions financières en cas de non-respect de ses principes.

Pour s’assurer du respect des nombreuses contraintes introduites par le RGPD, la blockchain peut constituer un levier puissant, notamment à travers deux use cases que nous recommandons.

Un renforcement des enjeux technologiques et réglementaires autour de la donnée

Le RGPD est structuré autour de 4 principes clés qui modifient radicalement l’utilisation de la donnée. Tout d’abord, le traitement des données doit être licite et légitime. De même, les personnes doivent bénéficier d’une information préalable au traitement et avoir des droits d’accès, de rectification et d’opposition.  Ensuite les données doivent être conservées pour une durée adéquate et proportionnée au traitement pour lequel elles ont été collectées. Enfin, elles doivent être protégées et la confidentialité assurée.

En cas de violation des « principes de base d’un traitement », la sanction financière encourue est majeure et peut atteindre 4% du Chiffre d’Affaires annuel mondial. En cas de non-respect du principe d’accountability, les sanctions peuvent atteindre 2% du CA annuel mondial.

La blockchain – en tant que registre distribué inviolable et du fait de sa dimension transactionnelle – présente de nombreux atouts pour faciliter la mise en œuvre du règlement RGPD.

Principes de la technologie blockchain

La blockchain est un registre de données décentralisé, partagé entre les utilisateurs, via un réseau. Ces utilisateurs peuvent ainsi réaliser des transactions (e.g. enregistrer un contrat, effectuer un versement d’argent, etc.) validées grâce à des procédés cryptographiques.

La blockchain se définit autour de 6 piliers, il est nécessaire de les appréhender pour comprendre son application règlementaire. Les tiers de confiance (i.e. intermédiaires notamment financiers) ne sont plus nécessaires pour effectuer une transaction. Les utilisateurs de la blockchain sont anonymes et n’importe quel internaute peut télécharger l’intégralité des informations de la blockchain et y accéder. Celle-ci est inviolable, grâce à un chiffrement asymétrique, et redondée, de par sa distribution entre de très nombreux nœuds rendant impossible toute erreur et/ou arrêt du service. Une fois qu’une transaction a été menée, elle est immuable.

Du fait de ses caractéristiques, cette technologie présente de nombreux atouts, à l’image de la sécurité et de la désintermédiation, afin de faciliter la mise en œuvre du Règlement général de protection des données personnelles.

La blockchain comme catalyseur digital des chantiers RGPD

Les équipes de Capgemini Invent ont identifié 5 cas d’application de la Blockchain au RGPD :

1. Gestion des accès – Une blockchain publique permet de contribuer à la sécurité des données exigée par le GDPR via la gestion des habilitations.
2. Gestion du Consentement – Le recueil et la gestion du consentement client préalable à certaines tâches de collecte et de traitement des données personnelles, préalablement anonymisées, peuvent être opérés via une blockchain.
3. Suivi des accès – La sécurité des données et leur traitement légitime est un axe majeur du RGPD. Une blockchain privée, interfacée avec l’ensemble des applicatifs, peut permettre de tracer l’accès aux données sensibles.
4. Suivi des workflows – Le RGPD permet aux personnes physiques d’effectuer une demande de rectification, complétion, mise à jour ou suppression de leurs données personnelles, et également d’être notifiées lors d’une violation des données. Une blockchain publique permet la notification et la transmission de preuves liées à ces processus par les parties impliquées.
5. Stockage des données – Le stockage des données clients sur une blockchain est un cas d’usage évident. Par ailleurs, des expérimentations récentes autour d’une blockchain privée altérable permet de résoudre l’incompatibilité entre le droit à l’oubli prévu par le RGPD et le principe d’immuabilité propre à cette technologie.

Nos retours d’expérience nous conduisent à préconiser la priorisation d’expérimentations de la blockchain autour de la gestion des accès (1) et de la gestion du consentement (2) afin de mutualiser les efforts autour de deux sujets critiques. Les coûts de la technologie et la vulnérabilité de l’écosystème sont encore trop élevés dans les 3 autres cas d’usage, le suivi des accès (3), le suivi des workflows (4) et le stockage des données (5).

La blockchain est un vrai facilitateur dans la mise en conformité. Aussi, nous recommandons fortement de se mettre à l’ouvrage dès à présent, en commençant notamment par les deux Proof Of Concept mentionnés ci-dessus.