Blockchain et GDPR: peuvent-ils s'entendre?

Blockchain se classe là-haut en tant que chouchou tech hype du moment. Bien que la blockchain soit beaucoup moins mature que disons, AI les responsables informatiques surveillent de près comment la blockchain peut remodeler les marchés verticaux (comme la finance) et les fonctions (comme la chaîne d'approvisionnement). Maintenant, certains observateurs de l'industrie demandent si la blockchain est en train d'entrer en collision avec le règlement général de l'Union européenne sur la protection des données (GDPR) . Les règles de confidentialité du GDPR entrent en vigueur aujourd'hui, le 25 mai, et sont applicables à de nombreuses organisations américaines et multinationales. Ce sont les changements de confidentialité les plus radicaux que la plupart des responsables informatiques ont connus à ce jour, avec des amendes potentiellement lourdes.

Quel est l'affrontement potentiel entre la blockchain et le manifeste de confidentialité?

Red Hat évangéliste technologique Gordon Haff a récemment noté la première caractéristique de blockchain qui en fait un ajustement intéressant pour les applications professionnelles est l'immuabilité. "Une fois que quelque chose a été mis sur une blockchain, il ne peut pas être enlevé ou modifié", note Haff. C'est une des raisons pour lesquelles blockchain a capturé l'imagination des développeurs pour les usages légaux, financiers et de la chaîne d'approvisionnement, ajoute-t-il.

GDPR, d'autre part, promet le droit d'être oublié. Un avantage pour un consommateur pourrait être qu'après une violation, vous ne devriez plus avoir à vous soucier du mot de passe que vous avez utilisé dans ce service ou magasin en ligne depuis longtemps oublié, par exemple.

[Voirnotrehistoireconnexe: Qu'est-ce que GDPR? 8 choses que les leaders devraient savoir . ]

Dans quels domaines les responsables informatiques et les chefs d'entreprise doivent-ils surveiller le GDPR, en ce qui concerne la blockchain? Voici cinq choses à surveiller:

Tout dépend du comportement des régulateurs:

Combien de blockchain et de GDPR dépendent de ce que les régulateurs poursuivent – et cela commencera à se jouer dès aujourd'hui, le 25 mai. "Comme beaucoup d'autres choses liées à GPDR, l'immutabilité de blockchain peut être un vrai problème. Ou peut-être pas », dit Haff.

"Une option consiste à stocker des informations personnellement identifiables sur la blockchain elle-même – c'est-à-dire, utiliser la blockchain pour stocker la transaction, mais pas tous les détails de la transaction", dit Haff. "Mais cela va au moins en partie à l'encontre de l'objectif d'utiliser une blockchain immuable en premier lieu. Alternativement, les données personnelles sur la blockchain pourraient être cryptées avec une clé privée qui pourrait être révoquée sur demande ou après un certain intervalle.

"Ce que nous pouvons probablement dire est que l'immuabilité doit être prise en compte pour décider quelles données doivent être stocké ", ajoute Haff. "Simplement supprimer un enregistrement de base de données à une date future n'est pas vraiment une option avec blockchain."

Blockchain est un tout-petit

"Il n'est pas rare que de nouvelles technologies et réglementations soient incompatibles", explique Simon Langton, VP de services professionnels, Avecto . "Nous pouvons voir cela se produire aujourd'hui autour de technologies telles que les voitures autonomes et les systèmes de régulation de la sécurité des transports."

[OùleGDPRaffectera-t-ilvotreorganisation?Voirnotrehistoireconnexe: GDPR: Les plus grands points de douleur, maintenant et plus tard .]

"Nous avons vu quelque chose il y a 20 ans environ, alors que la cryptographie a été réglementée comme une munition en tant qu'héritage de la Seconde Guerre mondiale et de la guerre froide », ajoute Langton. "En règle générale, les règlements sont mis à jour aussi."

GDPR entre en vigueur le 25 mai et blockchain lui-même est encore assez tôt dans son cycle de maturité. Comme Irving Wladawsky-Berger de l'Initiative du MIT sur l'économie numérique a déclaré lors du Symposium MIT Sloan CIO 2017: «L'Internet du début au milieu des années 90 était vraiment merdique. L'Internet dont nous sommes vraiment satisfaits aujourd'hui a pris encore 15 ans pour y arriver. Nous sommes au stade des tout-petits [with blockchain]. Les technologies de base prennent beaucoup de temps. "

GDPR aura des exceptions

Blockchain et les règlements GDPR" peuvent coexister pour les données de classe entreprise et pour le traitement, mais il doit y avoir une philosophie de données de base ", dit James Stickland, PDG, Veridium . "Ce serait bien pour GDPR d'avoir une ancienneté sur la sécurité pour le droit des utilisateurs."

Il y aura des exceptions: "Sur la surface, il semblerait [blockchain and GDPR] sont en conflit direct », explique Marc French, directeur fiduciaire et responsable de la protection des données, Mimecast ." Cependant, le "droit à l'oubli" comporte plusieurs exclusions qui permettent aux organisations de refuser de supprimer Par exemple, "Si vous regardez quelque chose comme bitcoin blockchain, qui est un enregistrement immutable d'une transaction financière, vous pouvez faire l'argument que l'intérêt commercial légitime est autour de quelque chose comme prévenir g le blanchiment d'argent, ce qui, à mon avis, l'emporterait sur la suppression d'un record », dit-il.

Mais d'autres implémentations de la technologie blockchain peuvent ne pas avoir la même position défendable, ajoute French. "Dans ces cas" moins défendables ", les préceptes de blockchain sont clairement en conflit avec les droits d'accès GDPR,"

Les risques et les experts juridiques de votre organisation vont équilibrer les coûts de conformité, les valeurs de l'entreprise et le risque dans ces cas. "Avec les GDPR et blockchain, on ne sait pas si un utilisateur peut vraiment être oublié, par opposition à l'anonymat permanent sans possibilité de lier la blockchain à un autre."

événement spécifique d'échange d'utilisateurs et de données », déclare Mayank Choudhary, vice-président, ObserveIT . Il s'agit d'un sujet de préoccupation, explique-t-il, alors que les organisations réfléchissent à la manière d'appliquer les contrôles blockchain et shape pour les ledgers de blockchain.

L'activité d'audit devrait être légère au premier abord

"Les gros titres se concentrent sur les ramifications financières de la non-conformité; Cependant, il y a beaucoup de latitude dans la réglementation quant à savoir si et comment une organisation va recevoir une amende », dit Choudhary. "La conformité à la GDPR n'est pas claire, et nous ne saurons vraiment pas avant la date limite si la vérification aboutira à des amendes ou simplement à des mesures correctives."

Le français de Mimecast envisage "très peu" d'activités d'audit la première année. "Les autorités européennes devront d'abord mettre en place le processus de certification et laisser aux entreprises le temps de s'adapter", déclare-t-il. "Si c'est une situation similaire à ce qui s'est passé avec PCI-DSS; »

Le temps nous dira sur les questions spécifiques sur lesquelles les régulateurs du GDPR ont choisi de se concentrer lors de la première année des audits.

[Participez à notre concours de mai pour avoir une chance de gagner l'un des [7909021] 7 livres incontournables des conférenciers du MIT Press et du MIT CIO Symposium . ]