Le droit de la blockchain

Le droit au service de la technologie

-->

Vie privée et blockchain

La plupart des applications de la technologie blockchain impliquent de collecter, à un moment ou à un autre, des données à caractère personnel. Dans le secteur de l’assurance, de la banque, de la finance, de l’éducation ou encore de l’immobilier, il sera sans doute nécessaire, à un moment ou à un autre, de collecter des données personnelles. Des métadonnées peuvent ensuite s’y ajouter, qui, compilées ou fusionnées avec d’autres fichiers, peuvent permettre l’identification de la personne concernée.

La blockchain constitue-t-elle un risque pour la vie privée de ses utilisateurs ? Peut-elle être en conformité avec la législation en la matière ? Si les données personnelles sont essentielles afin de fournir ces services, l’infrastructure technique de la technologie blockchain pose sans conteste des difficultés juridiques.

Qui est responsable de traitement ?

La désignation d’un « responsable de traitements » de données personnelles est problématique. En effet, un responsable de traitements est, au sens de l’article 3 de la loi Informatique et Libertés du 6 janvier 1978 et de l’article 4.7 du Règlement 2016/679 du 27 avril 2016, « l’autorité publique, le service ou l’organisme qui détermine les finalités et moyens du traitement ». Mais dans le cadre d’un registre distribué et décentralisé, les concepteurs des applications et des smart-contracts peuvent-ils être considérés comme des responsables de traitements de données personnelles ? Aujourd’hui, un certain nombre de tiers de confiance assument le rôle de responsable de traitement. Or leur disparition laisse une place vide que le droit a du mal à combler.

Le « droit à l’oubli » est-il possible sur la blockchain ?

Dans sa décision du 13 mai 2014[1]CJUE, gr. ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et a) , la Cour de Justice de l’Union Européenne (CJUE) consacre un droit à l’effacement de ses données. Cet arrêt, largement commenté, participe à l’élaboration d’un droit de maîtrise de ses données personnelles, de son identité numérique et plus largement de sa vie privée. Pourtant, un sein d’un registre distribué, si l’intégrité et la sécurité des données semblent assurées, la durée de conservation, la rectification et l’effacement des données personnelles sont problématiques.

vie privee

Comme a pu l’indiquer l’Open Data Institute (ODI) britannique [2]Open Data Institute, 2016 « Applying blockchain technology in global data infrastructure », ODI-TR-2016-001, pour supprimer une donnée, il faudrait que plus de la moitié des nœuds du réseau travaillent ensemble pour reconstruire la chaîne de blocs depuis le moment où la donnée a été ajoutée. Et pendant ce temps de résilience, qui peut être relativement long selon la taille de la blockchain, la donnée n’est pas actualisée. Surtout, cela signifie que toutes les données postérieurement enregistrées sur la blockchain seraient supprimées. Le risque, pour l’ODI, est alors que les données fausses ou incomplètes restent simplement sur la blockchain afin d’éviter que les données postérieures soient endommagés et perturbent le fonctionnement des programmes.

Plus généralement, c’est la question de la protection de la vie privée qui est posée

La blockchain crée une confiance réciproque entre utilisateurs. La création d’une telle confiance nécessite une vérification notamment basée sur l’historique transactionnel. Cet historique est alors à n’importe quel moment visible par l’ensemble des utilisateurs. Si l’on peut craindre une tyrannie de la transparence [3]M. Pingeot, La dictature de la transparence, Laffont, 2016, c’est pourtant une des forces de la technologie blockchain que celle de pouvoir tracer à tout moment et pour n’importe quel utilisateur les données nécessaires. Mais dans le même temps, des données personnelles peuvent figurer dans cet historique comme d’ailleurs dans l’ensemble des données nécessaires au fonctionnement du registre. Cette visibilité donne ainsi l’impression d’une porte ouverte sur la vie privée de nombreux utilisateurs.

Or, dans une économie de la donnée, l’enjeu est de taille : les GAFA sont régulièrement pointés du doigt en la matière, et les tiers de confiance collectent eux aussi une masse d’informations nominatives sur leurs clients. Beaucoup d’experts attendent donc la technologie blockchain au tournant sur ce point. La philosophie de la technologie de la chaîne de blocs, qui est celle d’une technologie réalisée par et pour les individus, qui se passe d’intermédiaires, apparaît d’ailleurs entièrement conciliable avec cet objectif de protection de la vie privée.

Pour faire mieux et aller plus loin en matière de protection de la vie privée, certaines recherches[4]Decentralizing privacy: Using blockchain to protect personal data”, in 2015 IEEE Symposium on Security and Privacy Workshops, SPW 2015, San Jose, CA, USA, May 21-22, 2015, pp. 180–184. pourraient apporter des réponses. Il est intéressant de noter une réelle préoccupation technique sur cette thématique, que ce soit pour les smart-contracts à travers le projet Hawk[5]A. Kosba, A. Miller, E. Shi, Z. Wen, C. Papamanthou Hawk: The blockchain model of cryptography and privacy-preserving smart contracts. Cryptology ePrint Archive, Report 2015/675, 2015., à travers le contrôle externe pour le projet Enigma[6]Zyskind, G., Nathan, O., & Pentland, A. Enigma: Decentralized computation platform with guaranteed privacy, 2015 ou par la pseudonymisation et l’anonymisation pour le projet Zerocash[7]E. Ben-Sasson, A. Chiesa, C. Garman, M. Green, I. Miers, E. Tromer, and M. Virza. 2014. “Zerocash: Decentralized Anonymous Payments from Bitcoin.” Proceedings of the 2014 IEEE Symposium on … Continue reading. Ces dernières recherches auraient l’avantage de permettre la mise en place de solutions de « data learning » et de « data science », de plus en plus indispensables dans ce domaine.

Blockchain et données personnelles de santé

Les données de santé sont considérées par le droit français[8]Article 8 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés comme par le droit européen[9]Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère … Continue reading comme des données particulières, dont le traitement est par principe interdit.

vie privee

Si la question de la qualification et de la délimitation du champ d’application des données de santé compte encore certaines zones d’ombres[10]L’article 4. 15 du Règlement européen du 27 avril 2016 appréhende en effet largement les données de santé, définies comme « les données à caractère personnel relatives à la santé … Continue reading, notamment par rapport aux « données de bien-être », le déploiement progressif du récent DMP (Dossier Médical Partagé) issu de la loi n° 2016-41 du 26 janvier 2016 de modernisation du système de santé, et dont les modalités ont été précisées par décret[11]Décret n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé, pourrait aller dans le sens de la blockchain. En effet, la procédure d’agrément des hébergeurs de données de santé, fixée par le décret du 4 janvier 2006 et instruite par l’ASIP, serait remplacée par une évaluation de conformité technique[12]Article 204 I. 5° c) de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé qui pourrait prendre en compte, comme c’est le cas dans d’autres pays[13]I. Allisson, « Guardtime secures over a million Estonian healthcare records on the blockchain », International Business Times, 3 mars 2016 les spécificités fonctionnelles d’une application de stockage et de sécurisation sur la blockchain. En effet, à l’étranger, des start-ups émergent déjà afin que les patients puissent, via la blockchain, partager leurs données de santé avec les chercheurs puis tracer l’utilisation qui en est faite[14]v. Blockchain Health voire suivre, auditer et vérifier ces données [15]v. les start-ups Tierion et Factom . Ces travaux participeraient donc à l’élaboration d’un système de gestion des données de santé respectueux de la vie privée des patients.

References

1 CJUE, gr. ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et a)
2 Open Data Institute, 2016 « Applying blockchain technology in global data infrastructure », ODI-TR-2016-001
3 M. Pingeot, La dictature de la transparence, Laffont, 2016
4 Decentralizing privacy: Using blockchain to protect personal data”, in 2015 IEEE Symposium on Security and Privacy Workshops, SPW 2015, San Jose, CA, USA, May 21-22, 2015, pp. 180–184.
5 A. Kosba, A. Miller, E. Shi, Z. Wen, C. Papamanthou Hawk: The blockchain model of cryptography and privacy-preserving smart contracts. Cryptology ePrint Archive, Report 2015/675, 2015.
6 Zyskind, G., Nathan, O., & Pentland, A. Enigma: Decentralized computation platform with guaranteed privacy, 2015
7 E. Ben-Sasson, A. Chiesa, C. Garman, M. Green, I. Miers, E. Tromer, and M. Virza. 2014. “Zerocash: Decentralized Anonymous Payments from Bitcoin.” Proceedings of the 2014 IEEE Symposium on Security and Privacy,May 18–21, 2014.
8 Article 8 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
9 Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
10 L’article 4. 15 du Règlement européen du 27 avril 2016 appréhende en effet largement les données de santé, définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
11 Décret n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé
12 Article 204 I. 5° c) de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé
13 I. Allisson, « Guardtime secures over a million Estonian healthcare records on the blockchain », International Business Times, 3 mars 2016
14 v. Blockchain Health
15 v. les start-ups Tierion et Factom

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.