Sont les systèmes Blockchain compatibles avec le RGPD? Est-ce que les systèmes Blockchain garantissent les droits des consommateurs octroyés par les règlements récents?
En analysant le nouveau RGPD et d’autres « lois de protection de données à caractère personnel et confidentialité », beaucoup d’organisations se rendent compte que la plupart des « Applications Blockchain » et « Projets Blockchain » ne respectent pas le règlement en vigueur de l’union européenne, ni d’autres juridictions octroyant des « droits des consommateurs » similaires.
Droits individuels généraux
L’application de ces règlements octroient aux individus plusieurs « droits clef pour pouvoir contrôler réellement leurs informations personnelles », comme :
- Droit à « s’opposer » à l’utilisation et stockage de ses informations
- Droit à « modifier » ses données personnelles
- Droit à « annuler » tout consentement préalable
- Droit à « supprimer » ses informations totale ou partiellement
- Droit à « être oublié » (suppression complète de toutes ses informations et enregistrements de tout fournisseur »
- Droit à la portabilité des informations personnelles (c’est-à-dire, que l’individu peut demander au fournisseur une copie de toutes ses données personnelles, et le fournisseur doit lui fournir les données sur un fichier électronique et sous un format lisible pour l’individu pour qu’il puisse ainsi fournir ses données à tout autre fournisseur de services de son choix).
- Droit à « révoquer » le consentement octroyé.
Obligation de communiquer
De l’autre côté du rapport, les entreprises « sont obligées » à communiquer aux personnes dont ses données ont été recueillies :
- « L’endroit » où les informations sont stockées
- « La personne » désignée par l’organisation pour gérer et garantir ses droits concernant ses informations personnelles
- Les fins pour lesquels ses données seront utilisées
- Jusqu’à « quand » seront stockées et gérées ses informations (une durée spécifique, une durée établie sur un contrat, etc.); après ce délai, quelle que soit, les informations des personnes doivent être supprimées des registres du commerce (à la fin du contrat, à la fin d’une campagne spécifique, après quelques années ou en fonction des conditions accordées et « accepté expressément » par l’individu).
- La réalisation de tout type de « Profilage » et «Traitement automatisé du profilage » à partir de ses données personnelles, tout en expliquant les « logiques » et « processus » du profilage automatisé, les « fins » de ce Profilage, ainsi que les résultats des informations (même à des fins statistiques).
- Les entreprises sont également tenues d’obtenir « l’autorisation expresse » des personnes pour recueillir, stocker et gérer ses données personnelles à des « fins spécifiques », ainsi que pour « pouvoir prouver » l’obtention de l’autorisation expresse (passée ou présente) et fournir aux personnes les outils appropriés pour exercer leurs droits.
Ceci dans le but de garantir la « sécurité et protection » des données personnelles propriété des individus.
Droits individuels pour s’opposer, modifier, révoquer
De toute évidence, l’individu a droit à « s’opposer » à l’un quelconque des processus précités et à demander la suppression partiale ou totale de ses données, ainsi qu’à établir ou modifier les limites des « fins » de l’utilisation de ses informations personnelles ou même à « révoquer » toute autorisation concernant ses informations personnelles.
Dès le début, un système tel que Blockchain ne permet techniquement ni simplement d’exercer quelques des droits et obligations précédentes concernant les données personnelles lors qu’elles sont stockées dans un Blockchain « immuable » :
- Pour « supprimer » toute information personnelle qui a été stockée
- Pour « modifier » toute information personnelle qui a été stockée
- Pour « garantir » l’endroit ou seront stockées les informations personnelles (car il s’agit d’un système distribué et reproduit).
- Pour « designer une seule personne » responsable de la gestion des données (de nouveau, le système est distribué et reproduit)
- Définir (et, dans la plupart des pays « déclarer et enregistrer devant les Autorités ») les « fichiers » et « bases de données » spécifiques, sous son format, structure des informations, type d’accès, à qui accéder, à quels fins et type d’informations contenus) que l’organisation utilise pour stocker tout type d’information personnelle.
- « Oublier un individu » …
Conclussions
En résumé, et pour le moment, toute Implémentation, application et projet Blockchain est probablement « NON-GDPR COMPLIANT », ainsi que « non conforme » à la plupart des règlements modernes et avancés de protection de données à caractère personnel déjà en place ou en cours de mise en place dans le monde.
(à suivre … )