19 Août Les Echos.fr RSE & « Ethics by design » : la nécessité de maintenir le Registre national de la CNIL dans une blockchain
Les Echos.fr – Avant, tout un chacun pouvait demander la liste des activités de traitements d’un organisme à la CNIL, la liste « article 31 » ou Registre national. Depuis le 25 mai 2018, ce registre a été gelé ! La démarche « Ethics by design » vise la transparence volontaire d’un organisme, de ses activités de traitement dans une blockchain pour conserver la confiance de ses utilisateurs.
Jusqu’au 25 mai 2018, la loi « Informatique et libertés » exigeait, pour tout organisme (public ou privé) d’effecteur des formalités préalables, et ce, préalablement avant toute mise en oeuvre d’un nouveau traitement de données à caractère personnel, pour servir au contrôle à priori de la CNIL.
Avant le RGPD : accès au registre de la CNIL ou du CIL
Cette liste des traitements déclarés à la CNIL, dite « Liste article 31 » ou « Registre national », pouvait être obtenue sur simple demande (écrite ou par mail) auprès de la CNIL, par tout un chacun.
De même, un organisme qui avait désigné volontairement un Correspondant « informatique et libertés’ (CIL) n’avait plus de formalités préalables à effectuer auprès de la CNIL, en échange de la tenue d’un registre de ses activités de traitement de données à caractère personnel.
L’accès au registre tenu par le CIL de l’organisme pouvant être obtenu sur demande (sans obligation d’en indiquer les raisons) par toute personne (salariés de l’organisme, organisme concurrent, client) et en obtenir une copie.
Force est de constater qu’avant le 25 mai 2018, il était possible pour tout un chacun de demander soit à la CNIL, soit au CIL, la liste des activités de traitements d’un organisme (public ou privé) !
Après le RGPD : accès au registre par la CNIL sur demande
Depuis le 25 mai 2018, date de l’application du Règlement général de protection des données (RGPD, c’est un véritable changement de paradigme :
– la tenue d’un registre des activités de traitement est désormais obligatoire pour tout organisme (public ou privé), même pour les petites structures de moins de 250 salariés, notamment parce que leurs traitements mis en oeuvre sont rarement occasionnels…
– la plupart des formalités déclaratives ont disparu en échange de la tenue du registre pour servir au contrôle à postériori de la CNIL.
– l’accès au registre d’un organisme (public ou privé) est réservé à la CNIL sur demande.
Dès lors, comment ne pas regretter la consultation à tout moment du registre national tenu par à la CNIL ou le cas échéant, le registre du CIL d’un organisme, quand l’inquiétude quant à l’usage qui est fait de nos données personnelles prend de l’ampleur ?
Plus que jamais, et surtout depuis l’affaire Facebook-Cambridge Analytica, il devient urgent pour tout organisme d’être le plus transparent possible concernant ses activités de traitement vis-à-vis de ses utilisateurs, afin de recréer de la confiance.
Recréer la confiance des utilisateurs
Car le RGPD doit s’entendre avant tout comme une règlementation porteuse de valeurs, de sens, visant à maintenir un équilibre entre les organismes (publics et privés) qui utilisent de plus en plus de données permettant d’identifier des personnes physiques (données personnelles) pour s’adapter aux enjeux du numérique, d’une part, et les personnes fichées qui exigent plus de transparence et de loyauté concernant la gestion de leurs données, d’autre part.
Depuis le gel du Registre national de la CNIL le 25 mai dernier, il n’est plus possible de recouper les activités de traitement d’un organisme (public ou privé) avec le Registre national de la CNIL, en cas de litige avec les personnes fichées, ou entre acteurs de traitements (responsables de traitement et sous-traitant).
Or, le registre des activités de traitement d’un organisme est l’outil de conformité par excellence d’un organisme, pour répondre à la contrainte d’accountability (responsabilisation) du RGPD !
Continuer à tenir le Registre national de la CNIL dans une blockchain
Dès lors, pourquoi ne pas envisager de maintenir à jour le Registre national de la CNIL (qui ne contient pas de données personnelles) dans une blockchain publique (pour une meilleure sécurité et solidarité) ?
A ce jour, il n’y a pas en France d’application concrète de la blockchain dans notre vie quotidienne, excepté la crypto-monnaie, réservé à des initiés.
Pourtant, la blockchain est la promesse du moment au point que l’Assemblée nationale a jugé utile de lui consacrer deux missions d’information, dont l’une porte plus précisément sur « les usages des blocs-chaînes (blockchain) et autres technologies de certification de registres ».
J’ai pu m’exprimer à ce sujet, sur l’intérêt de conserver le Registre national de la CNIL dans une blockchain (ou littéralement « chaine de blocs ») ; l’avantage de la blockchain est d’être un registre décentralisé et infalsifiable, de toutes les transactions effectuées depuis sa création car enregistrées par blocs successifs puis horodatés, ce qui instaure d’emblée la confiance dans cette technologie.
Là où la tenue du registre national reposait sur un acteur central, la CNIL, l’outil blockchain permettrait de transférer la tenue de ce Registre national vers des acteurs répartis sur internet, garant de la sécurité, de la datation et de l’intégrité des activités de traitement.
De toute façon, la CNIL n’a ni les moyens ni les effectifs pour continuer à assumer la tenue du registre national qui de toute façon n’est plus prévue dans ses nouvelles missions (au terme de la nouvelle loi du 20 juin 2018).
Une démarche « Ethics by design » comme gage de transparence de l’organisme
Continuer pour un organisme (public ou privé) à déclarer volontairement tout nouveau traitement, et ce préalablement avant sa mise en oeuvre, dans l’outil blockchain « Registre national », sera considéré par tout un chacun comme :
– un gage de transparence et une volonté d’ériger la confiance de son écosystème (utilisateurs et partenaires) comme priorité absolue ;
– une démarche « Ethics by design » pour apporter la preuve et être en mesure de démontrer par les faits.
À brève échéance, un organisme pourrait se distinguer, en adoptant la démarche » Ethics by design », à l’aide d’un label dédié, dans le cadre de la politique RSE de l’organisme. Ce label » Ethics by design » visera pour l’organisme à apporter un gage de transparence à ses utilisateurs, restaurer la confiance et par conséquent, gagner en efficacité et compétitivité.
Nathalie Chiche, fondatrice et présidente de Data Expert – DPO externe
En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-185890-rse-ethics-by-design-la-necessite-de-maintenir-le-registre-national-de-la-cnil-dans-une-blockchain-2198652.php