Le comité de normalisation technique international ISO/TC 307 Blockchain and distributed ledger technologies vient de publier un nouveau rapport technique – ISO/TR 23244:2020 Blockchain and distributed ledger technologies — Privacy and personally identifiable information protection considerations portant sur la gestion des données à caractère personnel par des systèmes reposant sur les technologies blockchain.
Les blockchains, ou registres distribués (distributed ledgers), sont des bases de données partagées implémentées de telle sorte que la capacité technique de modification des données soit répartie entre les acteurs impliqués. L’exemple typique d’une blockchain est la base de données sous-jacente à certaines monnaies virtuelles : la base, publiquement accessible, retrace toutes les transactions existantes entre les participants, et ce depuis la création du système. La robustesse du mécanisme repose sur le fait que la plupart des acteurs impliqués stockent une copie de la base et la réactualisent en temps réel. Ainsi, les transactions sont publiques, et leur historique est normalement à l’abri de tout acte malveillant visant à le modifier.
La gestion de données à caractère personnel (DCPs) liée à un tel système pose dès lors des problèmes complexes. Ils proviennent par exemple du fait de l’impossibilité de modifier les entrées du registre qui rend ainsi le droit à l’oubli délicat à implémenter, ou encore du fait que le stockage de la base de données par des acteurs situés dans des zones géographiques différentes, place les DCPs sous des régimes légaux potentiellement incompatibles avec le traitement initialement prévu de ces DCPs. Même la simple identification d’un contrôleur ou d’un processeur de DCPs peut être ardue dans des blockchains où les identifiants sont créés de sorte à rendre les acteurs quasi-anonymes.
Le nouveau rapport technique ISO/TR 23244:2020 Blockchain and distributed ledger technologies — Privacy and personally identifiable information protection considerations donne une vue d’ensemble des problèmes concrets posés par les registres distribués du point de vue des DCPs. Il évalue notamment les risques connus et les moyens mis en œuvre pour les atténuer, en proposant d’abord un cadre général pour la protection des DCPs dans le contexte d’une blockchain, puis en décrivant les aspects à prendre en compte pour évaluer l’impact sur la vie privée et gérer la protection de celle-ci. Il permet ainsi aux acteurs du marché, qui se lancent dans cette technologie, de mieux cerner les considérations dont il faut tenir compte en termes de protection de la vie privée.
Vous souhaitez participer à l’élaboration de normes ?
Le Luxembourg participe déjà activement aux travaux de normalisation dans le domaine de la Blockchain et des registres distribués via son comité d’étude national ISO/TC 307 qui compte actuellement 17 délégués nationaux en normalisation. Pour rejoindre ces experts, vous pouvez soumettre une demande d’inscription à l’Organisme Luxembourgeois de Normalisation (ILNAS OLN). Cette participation, proposée gratuitement au Luxembourg, offre la possibilité de contribuer activement à la rédaction des documents normatifs et de prendre position dans le processus d’élaboration des futures normes dès leurs premiers stades de développement.
Pour plus d'informations, vous pouvez nous contacter par email à l’adresse anec@ilnas.etat.lu ou par téléphone au (+352) 247 743-70. Vous pouvez également contacter directement le Dr. Jean Lancrenon, président du comité d’étude national ISO/TC 307, à l'adresse suivante : jean.lancrenon@ilnas.etat.lu.