Dans un monde en constante et rapide mutation, je me demande si une grande partie de l'attrait de la blockchain ne réside pas dans sa durabilité, sa constance, son immuabilité. Et cette caractéristique — le fait qu'elle ne puisse pas être modifiée — est incontestablement l'un des nombreux avantages de la blockchain et des futurs services qui y seront basés. Éliminer d'un seul coup la corruption, les inefficacités, les fraudes et les simples erreurs humaines dans les transactions.
Mais que se passe-t-il lorsque l'attrait irrésistible de la blockchain, dont nous n'avons à peine commencé à explorer les possibilités, se heurte à l'obstacle immuable qu'est le Règlement Général sur la Protection des Données (RGPD) ? J'ai eu quelques os à ronger avec le RGPD par le passé, tant en ce qui concerne la charge probable qu'il impose aux petites et moyennes entreprises , que l'impraticabilité de le droit de demander l'effacement de son identification personnelle et les répercussions que cela peut avoir sur le fonctionnement réel d'une entreprise.
À présent, je me demande quel impact ce droit à l'oubli aura sur le potentiel de la blockchain, étant donné qu'il semble être entièrement en contradiction avec le fonctionnement de la blockchain et donc la valeur et la disruption qu'elle, en tant que registre décentralisé, peut apporter.
Un bref rappel. Le RGPD, qui n'est encore pour l'essentiel pas testé, donne aux individus le droit de demander à une organisation de supprimer leurs informations d'identification personnelle dans certaines circonstances. Celles-ci incluent le fait que les données ne sont plus nécessaires pour la raison pour laquelle elles ont été initialement collectées ; lorsque l'individu retire son consentement au stockage de ses données ou s'oppose à leur traitement ; si les données sont stockées en violation du RGPD ; pour se conformer à une obligation légale ; ou si les données personnelles appartiennent à un enfant.
Pour l'instant, il n'est pas clair ce que « effacer » signifie, surtout dans un contexte numérique. Cela signifie-t-il effacer entièrement ou simplement rendre inaccessible ? Dans mon article précédent j'ai discuté de certaines des répercussions que cela peut avoir dans le monde pré-blockchain, mais considérons maintenant ce que cela signifie pour un monde construit sur la blockchain.
Contrairement aux registres centraux contrôlés par une seule autorité, comme une banque, les grands livres blockchain publics sont répartis sur un certain nombre d'ordinateurs anonymes, connectés sur une base peer-to-peer. Les personnes impliquées n'ont pas à se connaître ni même à se faire confiance. Les transactions sont annoncées au groupe et enregistrées par tous. À intervalles définis, une section du grand livre, appelée bloc, est verrouillée de manière irréversible à l'aide de la cryptographie et d'une information du bloc précédent, puis ajoutée à la chaîne. En partant du principe que la majorité est honnête, si une copie du bloc sur le réseau ne correspond pas à celle des autres, elle est remplacée par les informations sur lesquelles la majorité s'accorde. En d'autres termes, la chaîne la plus longue est la vraie.
Bien que surtout connue pour alimenter les crypto-monnaies, la blockchain peut également être utilisée pour de nombreuses autres choses. Par exemple, Malte envisage un registre foncier et sanitaire basé sur la blockchain. Et les Estoniens peuvent se connecter à leur registre de santé blockchain et voir exactement qui a accédé à leurs informations. Les économies que la blockchain offre à elles seules sont stupéfiantes. Goldman Sachs estime que l'industrie des titres pourrait économiser 11 à 12 milliards de dollars en frais en utilisant la blockchain pour éliminer les erreurs dans la compensation et le règlement des titres en espèces.
Alors, que se passe-t-il, dans le cas de l'Estonie par exemple, lorsqu'un citoyen demande l'effacement de ses informations d'identification personnelle en conformité avec le RGPD ? Sans parler du chaos que cela créera dans sa capacité à accéder aux soins de santé, comment cela se déroule-t-il ? Tous les nœuds de la blockchain doivent-ils s'entendre pour revenir en arrière sur leur chaîne et modifier le bloc ? En principe, cela pourrait se produire, mais ce serait un processus long, et mettrait la chaîne hors service pendant la durée des opérations. Et que dire des blocs suivants qui contiennent des informations basées sur les données du bloc modifié ? Ou d'un ordinateur qui faisait partie de la chaîne originale mais qui l'a quittée depuis, pour quelque raison que ce soit. Il serait impossible de le retrouver pour vérifier si les données se trouvent encore quelque part sur son disque dur. Et que se passe-t-il si le réseau de nœuds blockchain refuse tout simplement ? Il n'y a vraiment rien pour eux, après tout, et cela va à l'encontre de l'esprit de la blockchain, qui est une chose farouchement protégée. De plus, qui l'UE ou les autorités nationales chargées du RGPD puniront-elles ? Qui sont maintenant les responsables du traitement et les sous-traitants des données ?
Bien sûr, les blockchains privées et à autorisation sont une question légèrement différente, car il peut être plus facile d'obtenir un consensus des nœuds pour une suppression. Mais là encore, cela commence à affecter la valeur de la blockchain et son immuabilité et sa nature décentralisée, tout en soulevant des questions de gouvernance : en tant que comptables, nous savons que l'on ne corrige pas un débit incorrect en le supprimant, mais plutôt avec un crédit.
Alternativement, et en maintenant un niveau de gouvernance, on trouve des solutions telles que celle qu'Accenture a prototypée, qui permet de modifier, de réécrire ou de supprimer des blocs sans casser la chaîne. De plus, la modification laisse une « cicatrice » afin qu'il soit clair que le bloc a été modifié. Accenture soutient que la possibilité de modifier la blockchain est nécessaire pour la rendre commercialement viable. Leur prototype, avancent-ils, ne rétrograde pas la blockchain au rang de simple base de données, car les organisations bénéficient toujours de la résilience, de l'intégrité et de la sécurité des données fournies par la cryptographie intégrée. Les puristes ne seraient certainement pas d'accord, et je dois dire qu'ils ont un point.
Néanmoins, c'est une illustration frappante de la façon dont la réglementation et la sécurité restent souvent à la traîne de l'innovation et, si nous n'y prenons pas garde, peuvent l'enliser ou l'arrêter complètement. Le RGPD étant encore dans ses balbutiements, avec pour plan de peaufiner la réglementation au cours des premiers procès, je ne voudrais pas être l'une des organisations pionnières cobayes sur lesquelles cela sera testé.
Publié dans Accountingweb – 28 novembre 2018
#GeneralDataProtectionRegulation #Accountingweb #Smallbusiness #GDPR #blockchain