Le Règlement Général sur la Protection des Données (RGPD)[1] précise les conditions dans lesquelles il est nécessaire d’obtenir le consentement d’une personne physique avant tout traitement de ses données personnelles. Le nouveau texte, obligatoire à partir du 25 mai 2018, introduit également une nouvelle obligation, l’obligation de responsabilité : ainsi, les organisations doivent être en mesure de démontrer à tout moment, qu’elles effectuent des traitements de données personnelles conformément à l’ensemble des obligations définies par le RGPD.
Dans ce cadre, les travaux de recherche menés au sein de la Chaire VPIP ont défini une solution technique permettant à une organisation d’obtenir une preuve du recueil du consentement d’une personne préalablement au traitement de ses données. Pour ce faire, nous nous sommes appuyées sur la technologie blockchain qui présente des propriétés d’authenticité, de disponibilité et d’auditabilité des transactions enregistrées[2].
L’enjeu consiste à enregistrer les consentements dans la chaîne de blocs, tout en préservant la vie privée des personnes concernées, c’est-à-dire en assurant la confidentialité de leurs données personnelles, et en empêchant toute déduction quant aux caractéristiques des transactions effectuées (types, fréquence…).
Comme le schématise la figure 1 (étape 1), un « contrat intelligent » (connu sous le nom de smart contract) est conclu entre une personne physique (P) et une organisation (O1), l’objet de ce contrat portant sur le consentement de la personne à la collecte et à l’utilisation de ses données personnelles pour certaines finalités et dans certaines conditions. A cette fin, le contenu même de ce contrat, à savoir les conditions d’obtention du consentement, est accepté par l’organisation qui émet une signature électronique. Puis les conditions sont enregistrées par le smart contract (smart contract 1), via une transaction, dans la blockchain ; reste à l’organisation à enregistrer dans la blockchain l’ensemble des traitements réalisés sur les données personnelles (étape 2) conformément aux conditions fixées dans le smart contract.
Dans le cas d’un transfert de données personnelles à une seconde organisation (O2), l’organisation 1 en contact avec la personne concernée informe celle-ci de l’intention de transférer ses données personnelles (étape 3) : un second smart contract (smart contract 2), peut alors être conclu entre l’organisation 2 et la personne concernée. Cet accord est à son tour enregistré dans la blockchain.
Figure 1 : Architecture s’appuyant sur la blockchain retenue afin de pouvoir vérifier l’utilisation des données personnelles
Signalons qu’aucune donnée n’est inscrite en clair dans la blockchain, qu’aucun lien ne peut être fait, d’une part, entre le contenu de la blockchain et une personne déterminée et, d’autre part, entre deux transactions qui seraient générées par une même personne. Ce phénomène d’isolation, obtenu par l’utilisation de différents identifiants inassociables et uniques, protège la vie privée des personnes concernées et leurs données personnelles.
Grâce à cette solution, deux niveaux d’audit peuvent être réalisés :
- Un audit public basé sur les seules informations disponibles dans la blockchain et qui peut permettre de détecter certaines irrégularités.
- Un audit privé au sein même de l’organisation qui permet de vérifier la conformité des traitements de données personnelles réalisés en interne au regard des conditions associées aux consentements inscrits dans la blockchain.
Cette solution a été publiée et présentée par Nesrine Kaâniche lors de la 16ème édition du symposium international sur les réseaux et les applications, NCA 2018, à Cambridge aux Etats-Unis le 1er novembre 2017[3]. Elle a également été présentée par Maryline Laurent lors du colloque IMT « Entrons-nous dans une nouvelle ère de la cybersécurité ? » le 10 novembre 2017 et par Nesrine Kaâniche lors de l’atelier de la Chaire VPIP du 14 décembre 2017. La partie sur le smart contract a été développée par une première équipe d’élèves ingénieurs de Télécom SudParis dans le cadre d’un projet de l’option SSR (Sécurité des Systèmes et des Réseaux).
Un second travail, actuellement en cours de soumission, se base lui aussi sur la blockchain afin de permettre à une personne d’autoriser une organisation à accéder à ses données personnelles stockées dans un serveur distant. Dans ce cas, la blockchain est utilisée pour enregistrer le consentement de la personne et contribuer à l’établissement d’une session sécurisée entre le système d’information de l’organisation et le serveur hébergeant les données personnelles de la personne. Ce travail a été intégralement développé par une seconde équipe de l’option SSR.
Maryline Laurent, Professeur en sciences de l’informatique à Télécom SudParis et Membre fondateur de la Chaire et Nesrine Kaâniche, Post-doctorante en sciences de l’informatique au sein de la Chaire VPIP
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L 119/1 du 4 mai 2016
[2] Pour une meilleure compréhension du fonctionnement de la blockchain et de ses limites, nous invitons le lecteur à se reporter au chapitre 11 rédigé par M. Laurent « La blockchain est-elle une technologie de confiance ? », in Signes de confiance : l’impact des labels sur la gestion des données personnelles, édité par C. Levallois-Barth, 2e livre de la Chaire VPIP, mars 2018, pp. 180-198.
[3] N. Kaâniche, M. Laurent, « Blockchain-based Data Usage Auditing Architecture with Enhanced Privacy and Availability », The 16th IEEE International Symposium on Network Computing and Applications, NCA 2017, ISBN: 978-1-5386-1465-5/17, Cambridge, MA USA, 30 Oct. 2017 - 1 Nov. 2017.