Commander
TECHNOLOGIE

RGPD - La protection des données personnelles

Usage responsable pour les données personnelles
D’après le rapport de la CNIL sur la Blockchain publié en 2018
1. RESPONSABILITÉ

Les participants à la blockchain qui décident de soumettre une donnée à la validation des mineurs sont considérés comme responsable de traitement.
lorsqu’un groupe d’organismes décident de mettre en œuvre un traitement sur une Blockchain pour une finalité commune, tous les participants sont susceptibles d’être regardés comme ayant une responsabilité conjointe; sauf à désigner le participant qui prend les décisions pour le groupe comme responsable de traitement.

2. SOUS-TRAITANTS

Dans une Blockchain, le sous-traitant au sens du RGPD peut être le développeur de « smart contract » ou les mineurs qui valident l’enregistrement de données dans une Blockchain.


Minimiser les risques avec un traitement qui s’appuie sur la Blockchain
1. LE PRINCIPE
Toute transaction sur la chaîne de blocs implique :
- un envoi à tous les mineurs de la Blockchain d’une demande de validation d’une transaction;
- une mise à jour de la Blockchain par l’ajout du nouveau bloc dans la chaîne de bloc auprès de tous les participants.
Certains participants peuvent être situés en dehors de l’Union Européenne (UE) ou de l’Espace Economique Européen (EEE).
C’est pour assurer un niveau de protection des données suffisant et approprié que le Watch Certificate™ utilise la blockchain pour enregistrer l’empreinte des données et non pas les données personnelles elles-mêmes.

2. LE FORMAT
Les données collectées par Watch Certificate™ sont pertinentes, limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Le Watch Certificate™ considère que les données - à caractère personnel, ou non doivent être enregistrées dans la Blockchain, sous la forme d’une empreinte obtenue avec une fonction de hachage à clé, permettant d’assurer un haut niveau de confidentialité.
Le principe est que la donnée en clair est stockée ailleurs que sur la Blockchain (comme par exemple sur le système d’information du responsable de traitement) et que seule une information prouvant l’existence de la donnée y est stockée (empreinte issue d’une fonction de hachage à clé etc.).

3. LA DURÉE
Les données personnelles ne sont être conservées de façon indéfinie : la durée de conservation est déterminée en fonction de l’objectif poursuivi par le traitement de données. Pour le Watch Certificate™ cet objectif est de maintenir un lien entre l’objet de valeur et son propriétaire.
L’une des caractéristiques de la Blockchain réside dans le fait que les données qui y sont inscrites ne peuvent être techniquement modifiées ou supprimées : une fois que le bloc auquel est intégrée une transaction a été accepté par la majorité des participants, une transaction ne peut plus en pratique être modifiée.
C’est pour cette raison que le Watch Certificate™ utilise la blockchain pour enregistrer l’empreinte des données et non pas les données personnelles elles-mêmes. De cette manière elle se garantit d’assurer une conformité entière au RGPD.

4. IDENTIFIANTS
Chaque participant a un identifiant composé d’une suite de caractères alphanumériques qui semblent aléatoires et qui constituent la clé publique du compte du participant. Cette clé publique se rapporte à une clé privée que celui-ci est le seul à connaître. L’architecture même de la Blockchain fait que les identifiants seront toujours visibles, car ils sont indispensables à son bon fonctionnement.
C’est pour cette raison que le Watch Certificate™ se place en intermédiaire pour inscrire sur la Blockchain, protégeant ainsi les données personnelles des propriétaires des objets de valeur disposant d’un Watch Certificate™ .


Contrôle des individus sur leurs informations personnelles
Le Watch Certificate™ devra fournir une information concise, aisément accessible et formulée en des termes clairs à la personne concernée avant de soumettre à validation des mineurs une donnée à caractère personnel.
Il en va de même en ce qui concerne le droit d’accès et le droit à la portabilité.
Il est techniquement impossible de faire droit à la demande d’effacement de la personne concernée lorsque des données sont inscrites dans la Blockchain, c’est pour cette raison que le Watch Certificate™ n’y inscrit pas de données personnelles.
Le droit à l’information, le droit d’accès et le droit à la portabilité ne posent a priori pas de difficultés particulières liées à la technologie Blockchain.

Exigences en matière de sécurité
Les différentes propriétés de la Blockchain (transparence, décentralisation, infalsifiabilité, désintermédiation) reposent en grande partie sur deux facteurs : le nombre de participants et de mineurs, et un ensemble de fonctions cryptographiques d’autre part.
C’est pour cette raison que le Watch Certificate™ s’appuie sur la blockchain Ethereum qui est reconnue et utilisée entre autres par des gouvernements, des banques et des assurances, et par ailleurs qui dispose d’au moins 10 000 noeuds.
Par ailleurs le choix d’utiliser une Blockchain publique est stratégique puisque l’architecture du service ainsi conçu est « Privacy by design » et n’est ainsi pas sujet aux risques liés à la confidentialité pesant sur les Blockchains privées.
Où se situent les données ?
Les données sont hébergées chez Google, voici leur emplacement géographique :
- Cloud run : Sur 4 zones à Saint-Ghislain 7330, Belgique, Europe (europe-west1)
- Storage : multi-région en EU pour garantir la rapidité d’accès aux images
- Cloud SQL : Saint-Ghislain 7330, Belgique, Europe (europe-west1-d)

En savoir plus sur le centre de données de Google à Saint Ghislain en Belgique.

La conformité chez Google est décrite sur ce lien :
https://cloud.google.com/security

La protection des donnés chez Google est décrite sur ce lien :
https://cloud.google.com/security/transparency/data-protection

La confidentialité des données chez Google est décrite sur ce lien :
https://cloud.google.com/security/privacy
Formalités accomplies auprès de la CNIL
La société Tradee SAS (SIRET 800862112 00011) à effectué ses formalités d’inscription à la CNIL sous le numéro 1782668.
La preuve de cet enregistrement est accessible sur le site internet de la CNIL : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018