La chaîne de blocs des consentements

Blockchaine technologie

Parfois dénoncée et parfois honorée, la Blockchain reste une technologie importante, qui ne laisse pas la CNIL indifférente. En effet, selon l’autorité de contrôle, la Blockchain peut soutenir le principe d’accountability (responsabilité) pour les organismes qui traitent des données à caractère personnel. Selon la CNIL, le fait que les actions réalisées sur la Blockchain restent les mêmes permet de répondre aux impératifs de traçabilité du consentement.

D’après le RGPD, lorsqu’un traitement se base sur un consentement, le responsable de traitement pourra prouver que la personne concernée a donné son accord pour l’exploitation de ses données personnelles, sans forcément nécessiter de précision, quant à la façon dont la preuve a été fournie.

Blockchain : une solution miracle pour tracer les consentements ?

Le registre des consentements

Pour avoir à disposition la preuve du consentement, la CNIL propose d’établir un registre des traitements RGPD. Ce document atteste que les personnes concernées ont bel et bien donné leur consentement de façon :

  • Libre : aucun contrat ne doit être lié au consentement.
  • Claire : elles savent à quoi elles consentent.
  • Significative : les finalités de traitement doivent être identifiées et acceptées successivement.
  • Univoque : l’expression du consentement doit être claire.

Les spécificités du registre

Le DPO externe ou le responsable des traitements peuvent rédiger un registre des consentements pour prouver que le consentement a été donné. Il comporte la date et l’heure auxquelles le consentement a été donné par la personne concernée, ainsi que l’identité de celle-ci et les finalités du traitement, sans oublier la date de retrait du consentement. L’utilisation d’un logiciel permet de mieux garantir le respect de ce consentement. Pour cela, renseignez-vous sur le prix logiciel RGPD.

Le contenu du registre

Plus concrètement, un registre des consentements doit contenir les données suivantes :

  • La date
  • Les informations sur la personne concernée
  • L’acquisition ou non du consentement
  • La façon dont il a été obtenu (voie électronique par exemple)
  • Les informations fournies à la personne concernée avant son choix de donner ou non son consentement
  • La date de retrait du consentement
  • L’objectif du traitement

La Blockchain des agréments

La Blockchain ou chaîne de blocs est une liste d’enregistrements reliés entre eux par cryptographie. Ces enregistrements constituent des blocs, dont chacun comporte un hachage cryptographique du précédent bloc, des données à conserver et un horodatage. De nombreux acteurs se partagent ces écritures d’opérations numériques, tel un réseau décentralisé, qui s’apparente à des dispositifs de peer-to-peer. Une majorité de participants au système peuvent se mettre d’accord pour la mettre à jour. En effet, il est impossible de modifier ou d’écraser une information lorsqu’elle est inscrite. De ce fait, ce système comporte un enregistrement sûr et vérifiable de l’information contenue.

Le principe de la Blockchain

La Blockchain repose sur deux principes :

  • La cryptographie symétrique
  • Le hachage cryptographique

C’est en les combinant que la Blockchain peut garantir que les actions réalisées sur la chaîne de blocs restent identiques.

La Blockchain constitue ainsi une piste à explorer pour les organismes qui réalisent des opérations de traitement de données personnelles. La création d’un registre peut constituer un traitement de données à caractère personnel en soi. Aussi, il convient de respecter les exigences du RGPD. De plus, la CNIL a énoncé quelques recommandations quant à l’usage de la Blockchain.

Les avantages de la Blockchain

L’utilisation de la Blockchain des consentements ne présente que des avantages pour l’entreprise et les utilisateurs :

  • Simplification de l’audit : la Blockchain permet à l’entreprise de prouver qu’elle respecte bien les droits et libertés des personnes concernées.
  • Consentement non-équivoque : les personnes physiques donnent leur consentement de façon claire et spécifique, ce qui leur permet de choisir comment leurs données seront utilisées.
  • Une mise en conformité réussie : la Blockchain peut être utilisée au service de la protection des données à caractère personnel.

Le droit à l’effacement des données

En principe, les données contenues dans les blocs de chaînes ne peuvent ni être effacées, ni rectifiées. Or, selon le RGPD, les personnes concernées doivent disposer du droit à l’effacement de leurs données à tout moment. La suppression d’une donnée requiert une collaboration de presque la moitié des nœuds du réseau pour reconstruire la Blockchain depuis l’endroit où la donnée a été effacée.

De ce fait, pour pouvoir utiliser la Blockchain des consentements, les responsables des traitements doivent mettre en place une solution permettant de garantir ce droit fondamental du RGPD. Quoi qu’il en soit, cette technologie reste essentielle en matière de protection des données personnelles, notamment en ce qui concerne le privacy by design.