Aurélie Bayle, juriste et doctorante CIFFRE à l’Université de Montpellier, accompagne la start-up blockchain BCdiploma depuis sa création.
Attestations blockchain : définition et problématiques légales
- Les blockchain digital credentials sont des attestations numériques délivrées par une institution : diplômes, compétences ou transcripts pour le monde académique par exemple… et dont la blockchain permet de sécuriser et conserver les données et les preuves d’authenticité.
- Pourquoi la blockchain ? Ce nouvel outil dispose de tous les atouts pour répondre à l’enjeu de la dématérialisation des credentials, en termes de transparence, sécurité et pérennité.
- Quelle est la valeur d’une attestation sur la blockchain ? Le droit positif actuel ne fait état d’aucun « vide juridique » empêchant la recevabilité de toute preuve enregistrée sur un registre distribué.
- Les données personnelles sont-elles protégées ? Si la réglementation ne s’applique pas à la technologie en tant que telle, elle s’applique aux solutions l’utilisant. En l’espèce, BCdiploma fournit l’ensemble des outils permettant aux opérateurs de traitement de mettre en oeuvre le RGPD.
BCdiploma remercie Aurélie Bayle pour la note de recherche présentée ci-dessous.
De tous temps, l’Homme a toujours manifesté une volonté de poser par écrit, d’enregistrer, et de consigner certaines informations relatives à son quotidien ou encore ses échanges. Depuis les tablettes d’argile et après l’invention du papier, de l’imprimerie, de la reprographie, ou encore de l’informatique, l’heure est venue pour les registres tant affectionnés par l’homme de connaître une nouvelle ère.
Pourquoi la blockchain ?
La technologie blockchain est parfois obscure pour beaucoup : tout le monde en parle, mais peu saisissent la complexité technologique qui se cache derrière ce nouvel outil.
La Blockchain est souvent comparée à un grand livre de comptes sécurisé, public, inaltérable, détenu par l’ensemble des utilisateurs du réseau (donc décentralisé) et contenant l’ensemble des transactions ou actions effectuées depuis sa création. Ce nouvel outil semble ainsi disposer de tous les atouts requis en termes de transparence, sécurité et décentralisation.
Cette dernière, bien que médiatisée dans un premier temps sous l’angle financier et sous ses aspects transactionnels, mérite une attention toute particulière en ce qu’elle permet des cas d’usages divers et variés dans de nombreux secteurs. La blockchain ne se résume pas aux fluctuations du Bitcoin. Certains États ou institutions s’en sont même saisis pour des activités régaliennes, tandis que le secteur privé l’apprivoise dans le même temps, offrant de nouvelles possibilités et l’émergence de nouveaux modèles économiques. Les startups ont ici une place de choix pour démocratiser l’usage de cette technologie avec des cas d’usages toujours plus innovants et au service des individus.
C’est effectivement la logique retenue par BCdiploma, en octroyant une place de choix aux diplômes au sein de la blockchain publique Ethereum, et, plus récemment Binance Smart Chain. Le smart contract de BCdiploma est actuellement l’écosystème blockchain recensant le plus grand nombre d’institutions académiques. Le service de certification s’applique directement à des cas d’usages variés : diplômes, micro-certifications et Open Badges, formation continue, certifications ISO, attestations notariales, etc.
Mon diplôme et mes attestations sur la blockchain, quelle valeur ?
La blockchain répond en effet à des problématiques de traçabilité et d’horodatage : l’empreinte numérique contenue dans une transaction est conservée de manière infinie afin d’assurer l’immutabilité de cette donnée, ainsi que l’intégrité du document. Les débats sur la recevabilité de la blockchain comme mode de preuve ont rapidement éveillé l’intérêt des juristes. Rappelant le parallèle avec l’écrit électronique (consacré par la loi du 13 mars 2000 au rang de « preuve écrite », les enregistrements ayant la blockchain comme support méritent réflexion).
En effet, le droit commun ne fait pour l’instant pas obstacle à ce que cette authentification soit recevable à titre probatoire, et rien ne laisse présager que le législateur opte pour une position contraire, puisqu’il reconnaît de manière croissante le potentiel de la blockchain depuis quelques années maintenant (ordonnance des mini bons de caisse du 28 avril 2016, Vocabulaire Informatique du 26 mai 2017, projet de loi PACTE, réponse ministérielle du 10 décembre 2019, etc.). Le droit positif actuel ne fait état d’aucun « vide juridique » empêchant la recevabilité de toute preuve enregistrée sur un registre distribué.
Pour l’instant, le droit français consacre le principe de la liberté de la preuve pour les faits juridiques ou les actes sous seing privés dont le montant est inférieur à 1500€, et le Code civil énonce 5 modes de preuve : la preuve littérale, le serment, l’aveu, les présomptions et les témoignages. Si cette liste semble limitative, force est de constater que le juge dispose d’une latitude importante pour admettre de nouveaux modes de preuves, que certains juristes qualifient d’admission par « assimilation ou capillarité [V. Magnier, Enjeux de la blockchain en matière de propriété intellectuelle et articulation avec les principes généraux de la preuve, Dalloz IP/IT 2019 p76 ]». En l’absence de consécration légale de la blockchain comme mode de preuve à part entière et autonome comme a pu le faire l’Italie notamment pour l’horodatage, les enregistrements électroniques sur blockchain sont néanmoins considérés comme des commencements de preuve ou « éléments de preuve participant à un faisceau d’indices convergents », et des éléments de preuve contraires pourront lui être opposés et soumis au juge au même titre. L’ère des juges 3.0 doit alors s’ouvrir, ou implique qu’ils fassent appel à des experts désignés pour « traduire » les lignes de code au besoin.
En outre, au-delà de l’intime conviction du juge pouvant admettre la recevabilité et valeur d’une preuve basée sur la blockchain, les parties peuvent elles aussi influer sur l’admission de cette technologie à titre de preuve. En effet, l’ordonnance de février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations a ouvert la voie aux conventions de preuves longtemps disputées au sein de la doctrine.
Ainsi, pour les dispositions qui ne relèvent pas de l’ordre public, les parties peuvent librement prévoir l’admissibilité et la force probante d’un écrit enregistré sur la blockchain au même titre qu’un écrit électronique. C’est notamment la proposition intégrée par BCdiploma dans ses Conditions Générales d’Utilisation à destination des institutions utilisatrices de son service.
Quid des données personnelles ?
Le RGPD, entré en vigueur en mai 2018, est désormais le nouveau texte de référence en matière de protection des données personnelles, et a su inspirer la scène internationale pour initier des réglementations en matière de protection de la vie privée des individus.
Au cœur de la réglementation : les données personnelles. Ces dernières sont définies par le RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable », et force est de constater que le diplôme ou la clé publique (pseudonyme) des utilisateurs entrent sans difficulté dans cette qualification, aussi large soit-elle. Si la réglementation ne s’applique pas à la technologie en tant que telle et au protocole lui-même, elle s’applique en revanche aux tiers interfacés avec la blockchain, en l’espèce, BCdiploma.
En tant que sous-traitants soucieux de la conformité des traitements de données à caractère personnel, ce sont eux qui garantissent et implémentent les mesures techniques de sécurité quant au traitement des données chiffrées des diplômés. Sur ce point, les techniques de chiffrement standard (AES-256) et de cryptographie (tryptique de clés) utilisées par la solution sécurisent by design les données des utilisateurs. Ils ne disposent d’aucun accès aux données des diplômés et la clé persistante permettant d’exercer le droit à l’oubli d’un diplômé demeure stockée au sein de l’établissement. Les institutions délivrant le diplôme restent au demeurant les responsables de traitement de la délivrance du diplôme. Enfin, la fourniture de la solution technique décentralisée par BCdiploma est accompagnée d’un rappel aux établissements sur leurs obligations en termes de protection des données à caractère personnel (information des diplômés, accountability, etc).
Du point de vue des étudiants diplômés, si le terme blockchain peut laisser perplexe ou inquiéter avec sa complexité, tout a été pensé pour mettre en place un accès simple, gratuit et pratique, leur permettant de promouvoir leurs compétences authentifiées, sans pour autant perdre le contrôle sur cette donnée personnelle dont ils disposent librement et pour lesquels le RGPD et la loi Informatique et Libertés leurs confèrent des droits exclusifs.
Peut-on concrètement espérer l’exercice d’un droit à l’oubli sur la blockchain et se conformer aux principes dégagés par le RGPD ?
A première vue, blockchain et droit à l’oubli ne semblent pas forcément compatibles. Inaltérabilité et décentralisation impliquent non seulement que le registre soit ineffaçable, mais surtout partagé entre tous les utilisateurs disposant de copies historisées. En cas d’exercice du droit à l’oubli, on s’attendrait donc à devoir aller à l’encontre du principe même d’inaltérabilité de la blockchain, mais surtout de s’immiscer dans l’ensemble des registres de chaque utilisateur individuellement pour supprimer les données chiffrées souhaitées.
Avec son procédé de triple clé cryptographique (clé du diplômé/clé de persistance/clé établissement), BCdiploma a trouvé l’équilibre adéquat pour être en conformité avec le Règlement Européen : il suffit au diplômé de demander à l’établissement de supprimer la clef de persistance, et il demeurera impossible de déchiffrer ou même de remonter aux données chiffrées dans la blockchain, pour quiconque. L’illisibilité permanente et définitive de la donnée chiffrée s’interprète de manière analogue à l’effacement attendu à l’article 17 du RGPD.
Évidemment, le droit à l’oubli n’est pas la seule modalité du RGPD ayant vocation à s’appliquer, mais il est instinctivement la première des questions qui interpelle en matière de blockchain. Cette conformité dont fait preuve BCdiploma est un gage de crédibilité et de responsabilité vis à vis de ses clients et partenaires.
Aurélie Bayle
Juriste consultant de la business unit R&D be-studys au sein du groupe be-ys. Doctorante CIFRE à l’Université de Montpellier, en préparation d’une thèse sur la compatibilité des registres distribués à l’égard du Règlement européen sur la protection des données (RGPD) sous la direction du Professeur Mainguy.