Blockchain et RGPD : deux des mots clés les plus entendus dans le secteur du numérique ces derniers mois, voire ces dernières années. À Télécom SudParis, Maryline Laurent a décidé de les faire se rencontrer. Ses recherches mettent la blockchain au service de la gestion du consentement aux traitements des données personnelles.
Le RGPD est enfin entré en application ! Six ans se sont écoulés depuis que la Commission européenne a proposé pour la première fois de revoir les règles sur la protection des données personnelles. Entré en vigueur en avril 2016, le règlement européen a été décortiqué pendant plus de deux ans par les entreprises pour qu’elles puissent le respecter dès la date fatidique du 25 mai 2018. Parmi les 99 articles qui composent le RGPD, le septième est particulièrement important pour les consommateurs et utilisateurs de services numériques. Il précise que toute demande de consentement doit être effectuée de manière compréhensible, accessible et formulée en termes clairs. De plus, toute entreprise chargée du traitement des données personnelles d’un consommateur doit être capable de démontrer le consentement de celui-ci pour l’usage qui est fait de ses données.
Derrière ces principes simples se cachent de lourdes contraintes techniques pour les entreprises. Satisfaire ces deux conditions n’est pas chose aisée. Maryline Laurent, chercheuse en sécurité des réseaux à Télécom SudParis, s’est saisie de cette problématique. Dans le cadre de ses travaux pour la chaire Valeurs et politiques des informations personnelles de l’IMT — dont elle est cofondatrice — elle a travaillé sur une solution basée sur la blockchain dans un environnement B2C. Le principe repose sur des smart contracts [contrats intelligents] inscrits dans les blockchains publiques comme Ethereum.
Maryline Laurent décrit le début du processus de consentement qu’elle et son équipe ont imaginé entre un client et un fournisseur de service : « Le client contacte l’entreprise sous couvert d’une authentification, et reçoit de la part du fournisseur une requête contenant les éléments du consentement nécessaire au bon fonctionnement du service. » Sur la base de cette demande, le client peut préparer un smart contract dans lequel il précise des informations sur ce qu’il consent à autoriser vis-à-vis du traitement de ses données. « Il crée ensuite ce contrat dans la blockchain qui notifie au fournisseur de service l’arrivée d’un nouveau consentement » poursuit la chercheuse. L’entreprise vérifie que cela correspond bien à ce qui est attendu de sa part et elle signe le contrat. Par cette action, se trouve inscrit alors définitivement dans un bloc de la chaîne le fait que les deux parties ont approuvé le contrat. Une fois que le client a contrôlé que tout s’était bien déroulé, il peut fournir ses données. Tous les traitements qui seront faits par la suite sur celles-ci seront alors également inscrits dans la blockchain par le fournisseur de services.
Une telle solution permet à l’utilisateur d’être au fait du consentement qu’il donne. En rédigeant lui-même le contrat, il choisit directement les usages de ses données qu’il accepte. Le processus assure également plusieurs niveaux de sécurité. « Nous avons ajouté une dimension cryptographique spécifique aux travaux que nous menons » précise Maryline Laurent. Lorsque le smart contract est généré, il est accompagné d’un ensemble de matériel de chiffrement qui le fait apparaître au public comme indépendant de l’utilisateur. Impossible alors d’établir le lien entre le client du service et le contrat inscrit dans la blockchain, ce qui protège ses centres d’intérêt.
De plus, les données personnelles elles-mêmes ne sont jamais poussées dans la chaîne de blocs. Pour prévenir des tentatives d’usurpation d’identité, « une fonction de ‘hachage’ est appliquée sur les données personnelles » pointe la chercheuse. Cette fonction calcule une empreinte de la donnée qui ne permet pas d’y remonter. C’est la donnée hachée qui est alors inscrite dans le registre et qui permet au client de suivre les traitements qui sont réalisés sur ses données sans craindre une attaque extérieure.
Faciliter l’audit
Cette solution ne présente pas des avantages que pour le client. L’entreprise bénéficie également de l’utilisation d’un consentement basé sur une chaîne de blocs. Grâce à la transparence des registres publics et à l’inscription horodatée immuable qui caractérise la blockchain, les fournisseurs de service peuvent satisfaire aux obligations d’auditabilité. L’article 24 du RGPD oblige en effet tout responsable du traitement des données à « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement ». En somme : l’entreprise doit être capable de fournir des preuves qu’elle respecte le consentement de ses clients.
« Il existe deux types d’audit » explique Maryline Laurent. « L’audit privé est effectué par un organisme tiers qui décide de vérifier la conformité au RGPD d’un fournisseur de service. » Dans ce cas, l’entreprise peut fournir à l’organisme l’ensemble des consentements inscrits dans la blockchain, ainsi que les opérations qui y sont liées. Quant à l’audit public, il consiste à assurer suffisamment de transparence pour que n’importe qui puisse vérifier que tout semble en conformité depuis l’extérieur. « Bien sûr pour des raisons de sécurité le public n’a qu’une vision partielle, mais cela suffit à détecter des grosses irrégularités » assure la chercheuse de Télécom SudParis. Par exemple, tout utilisateur peut s’assurer ainsi qu’une fois le consentement révoqué, plus aucun traitement n’est opéré sur les données relatives.
Dans la solution étudiée par les chercheurs, le client est relativement familier des usages de la blockchain. Sans être nécessairement un expert, il doit tout de même utiliser un logiciel qui lui permet de s’interfacer avec le registre public. L’équipe travaille déjà à des solutions blockchain qui impliqueraient moins le client. « Nos nouveaux travaux seront présentés à San Francisco lors de la conférence IEEE sur le cloud computing qui se tiendra du 2 au 7 juillet. Ils mettent le client en périphérie du processus, et concernent plutôt deux fournisseurs de service dans une relation B2B » détaille Maryline Laurent. Le mécanisme serait alors plus destiné à des usages de transfert de consentement lorsqu’une entreprise fait appel à un sous-traitant de la donnée. « Le client n’aurait plus d’interaction avec la blockchain, et passerait par un médiateur qui s’occuperait d’inscrire tous les éléments consentis. »
Entre les applications pour les clients et celles pour les entreprises, ces travaux ouvrent la voie à une utilisation de la blockchain au service de la protection des données personnelles. Bien que le RGPD soit entré en vigueur, il faudra encore quelques mois à toutes les entreprises pour être à 100 % en conformité. Avoir recours à la blockchain pourrait ainsi être une solution à envisager. Du côté de Télécom SudParis, si ces travaux ont permis « de réfléchir à comment utiliser la blockchain dans un contexte nouveau et la mettre au service de la régulation », tout ceci appuyé par des prototypes de solutions, l’objectif de Maryline Laurent est de poursuivre ses réflexions en identifiant une manière logicielle d’automatiser la prise en compte du RGPD par les entreprises.
4 comments
Pingback: Veille Cyber N185 – 11 juin 2018 |
Pingback: Maryline Laurent - I'MTech
Pingback: L’IMT s’empare des défis de la blockchain - I'MTech
Pingback: Archives -Média 2013 – 2017 | Chaire Valeurs et Politiques des Informations Personnelles