Geoffrey Delcroix, Innovation & Foresight Project Manager au sein du laboratoire d’innovation de la CNIL (Commission Nationale de l’Informatique et des Libertés), nous livre son point de vue sur l’utilisation de la Blockchain dans le domaine médical par rapport au Règlement général à la protection des données, entrée en application le 25 mai 2018.
Dans quelle situation est la CNIL face à la blockchain ?
De plus en plus sollicitée sur le sujet de la blockchain, la CNIL constate, aujourd’hui, deux discours diamétralement opposés qui pourraient s’imposer, à tort, dans l’imaginaire collectif :
- D’un côté, l’idée que cette technologie tendrait à résoudre comme par magie de nombreux problèmes (voire tous les problèmes) liés à la gestion de données par sa traçabilité, le recours à la cryptographie et donc à une supposée sécurisation “parfaite”;
- D’un autre côté, d’autres discours affirment une sorte d’obsolescence (programmée) de la réglementation dans son ensemble. Selon ces discours, le Règlement général à la protection des données, entrée en application le 25 mai 2018, rentrerait irréductiblement en conflit avec les innovations et les nouveaux usages que la blockchain peut amener. La réglementation ne pourrait alors jamais permettre de libérer tout le potentiel de la blockchain, et bloquerait toute innovation.
Plusieurs réactions à ces idées reçues viennent à l’esprit. Tout d’abord, il est encore très difficile d’avancer de tels arguments tant la technologie est récente. Certes, la blockchain amène des solutions à de nombreux problèmes mais jusqu’à quel point ? Que permet-elle vraiment de résoudre plus efficacement que d’autres solutions techniques ?
Par ailleurs, voir la réglementation comme un frein à l’innovation est ici plus un présupposé qu’une démonstration. Le sujet blockchain sert alors de prétexte à qui veut dire que toute réglementation est forcément archaïque par nature. En réalité dans de nombreux cas, la réglementation permet, au contraire, d’accompagner l’innovation et de mieux la cadrer pour la rendre durable et soutenable dans le temps. C’est pour cela que la CNIL se pose de nombreuses questions quant aux usages de la blockchain dans le cadre de traitements de données personnelles et aux différentes garanties appropriées et aux différentes mesures qu’elle peut recommander aux organismes qui veulent recourir à cette technologie.
L’objectif de la CNIL est de rappeler que le Règlement général à la protection des données s’applique aux traitements de données personnelles, pas à des technologies particulières.
Un traitement de données personnelles qui s’appuiera en partie sur une blockchain devra donc être analysé par son responsable afin de faire en sorte que les caractéristiques intrinsèques à une chaîne de blocs ne soit pas un obstacle à la conformité du traitement de données au règlement. En somme, il s’agit d’appliquer le principe de “privacy-by-design” aux traitements de données personnelles devant s’appuyer sur une blockchain.
Cet impératif n’est que plus prégnant dans le domaine des données de santé, qui sont des données considérées comme particulièrement sensibles par la loi, et qui bénéficient donc d’une protection renforcée (voir le point sur les données de santé sur le site de la CNIL).
Les questions de transparence et de traçabilité, et d’irréversibilité
Les blockchains ont au cœur de leur mode de fonctionnement, du point de vue des données, des principes de transparence, de traçabilité et d’irréversibilité. En termes de protection des données, le choix de ces technologies telles qu’elles fonctionnent aujourd’hui ne sera donc pas anodin, tout comme il ne le sera pas en termes de ressources consommées, par exemple de puissance de calcul.
Plusieurs sujets sont à explorer :
Le premier sujet concerne la présence des données à caractère personnel dans la blockchain et la qualification des acteurs responsables du traitement de ces données dans ce cas. Actuellement, il existe dans les différents domaines liés aux traitements de données, différentes qualifications : celle de responsable de traitement et de sous-traitants par exemple. Ces qualifications sont importantes car elles permettent de définir les responsabilités de chacun vis–à-vis de la conformité au règlement. Dans le cas de la blockchain, il est difficile de placer par défaut et pour tous les cas d’usage ces étiquettes car le responsable de traitement est, par définition, celui qui a la maîtrise du traitement des données. Cette analyse peut donc diverger selon le type de blockchain (publique, privée, à permission…). Ce premier point amène logiquement à réfléchir à l’encadrement des transferts internationaux des données à caractère personnel. Dans un certain nombre de cas, il y a des règles qui doivent être mises en place pour empêcher ou permettre (de manière licite) les transferts internationaux qui interviendraient inévitablement dans de nombreux cas. Pour le cas d’une blockchain publique, cela peut poser d’importantes questions de responsabilité et de conformité.
S’interroger sur la nécessité de la présence de données personnelles directement “dans” la blockchain en elle-même est donc cruciale, car ce choix pourra avoir d’importante conséquences en termes de responsabilité juridique.
Le second élément qui semble primordial, porte sur l’irréversibilité de la présence des données dans la blockchain. “On ne peut plus supprimer la donnée qui est mise dans la chaîne de blocs” : cette affirmation est souvent mise en avant pour souligner l’incompatibilité de fait entre blockchain et le RGPD. En effet ce point pose question par rapport à des notions comme la limitation de la durée de conservation des données ou l’exercice des droits des personnes (ex : droit d’opposition ou droit d’effacement des données). Face à cela, il sera difficile pour un responsable de traitement, par exemple, de justifier simplement de son incapacité à pouvoir effacer de la donnée. Il faut alors penser dès la conception à des outils permettant de rompre le lien entre ce qui est inscrit dans la chaine de blocs et une personne identifiée ou identifiable, par exemple par l’intermédiaire de certains outils techniques (engagements cryptographiques, …)
Outre ces deux premiers sujets qui soulèvent de nombreuses interrogations, la blockchain offre également de nombreuses opportunités d’un meilleur contrôle des bases de données. En effet, le système permet à tout moment de déterminer l’identité d’un utilisateur, à quels types de données il peut accéder, dans quel but et selon (en théorie) quels types de droits… Actuellement, il n’existe pas de système aussi simple permettant de réaliser ce genre de certification et de sécurisation de la donnée. Un autre domaine où cette technologie peut aider les responsables de traitements est celui du consentement et de sa preuve. On pourrait ainsi imaginer des cas d’usage où l’on certifie avec une blockchain, que tel patient a consenti vouloir partager tel type de donnée en particulier pour un certain type d’usage.
Face à ces questions, il existe des solutions… pour peu que l’on intègre ces enjeux dans la conception des projets.
Le meilleur moyen de lutter contre les différents obstacles soulevés par la blockchain est de penser en amont les différents cas d’usages, “pain points”, techniques et garanties mises en place, etc. Afin d’avoir une longueur d’avance et d’éviter de se retrouver dans des situations désavantageuses. La CNIL joue et jouera pleinement son rôle d’accompagnement des acteurs, au terme d’une phase actuelle de réflexion et de cadrage du sujet dans toute sa complexité.
Où en est la CNIL ?
La CNIL multiplie les échanges avec des professionnels et les débats internes, afin de parvenir le plus rapidement possible à des positions publiques et des recommandations pratiques. Dans ces futures publications, la CNIL vise plusieurs objectifs :
- Faire une cartographie des différents cas d’usages dans lesquels blockchain et traitements de données personnelles interagissent, et s’interroger sur les partages de responsabilités entre les parties prenantes.
- Recommander les bons outils à mettre en œuvre pour réfléchir de manière structurée (étape par étape) aux données mises dans les chaînes de block et les outils cryptographiques qui doivent être utilisés.
Ce travail ne peut évidemment, en outre, être uniquement national, et la CNIL échange avec ses homologues européens sur le sujet.
Ce qu’il faut retenir dans les propos de Geoffrey Delcroix :
- Il est illusoire et trompeur de résumer le sujet à une simple question générale “La blockchain est-elle conforme au règlement général à la protection des données personnelles ?”, la loi ne visant pas à réguler des technologies mais leurs cas d’usages par les organismes privés comme publics
- La CNIL vise à traiter cette technologie comme un ensemble de procédures et de protocoles différents où différents niveaux de conformités et règles doivent être mis en place selon les cas. En aucun cas, la CNIL ne parviendra à une position “tamponnant” la blockchain comme conforme ou non dans son ensemble, pas plus qu’il ne serait logique de dire qu’internet est conforme au RGPD ou non.
- Un organisme qui voudra s’appuyer sur des blockchains dans un contexte de traitement de données à caractère personnel devra le faire en pleine conscience des effets des caractéristiques de la technologie sur ses responsabilités, en particulier la transparence, la traçabilité et l’irréversibilité des inscriptions.
- La logique mise en avant par le RGPD de “privacy-by-design” doit être au cœur du travail de tout organisme qui voudra s’appuyer sur la blockchain dans un contexte de traitement de données à caractère personnel, surtout dans le domaine des données de santé, pour lesquelles les citoyens bénéficient de protections particulières dues à la sensibilité de ces données. Ne pas prendre en compte ces enjeux avant de lancer un projet de blockchain liée à des données médicales, de santé ou de patients serait à n’en pas douter prendre un risque considérable.
Ce contenu est issu de l’exploration We Design Tomorrow Blockchain & Données Patients qui réunit de multiples acteurs de la filière santé pour concevoir et fédérer les usages des données de santé de demain, à travers les différents prismes actionnables dont la technologie de la blockchain. Cette exploration se concluera par la publication d’un rapport et une conférence de restitution qui aura lieu courant novembre. Bpifrance Le Hub est partenaire de ce projet aux côtés de :
Consultant Innovation et Design chez We Design Services, Nicholas Henderson est biologiste, designer et entrepreneur. Passionné de sciences et fort d’une expertise en Design Thinking, il accompagne les acteurs des industries de pointe dans leur transformation.