LA BLOCKCHAIN : Accélératrice de business pour les Petites et Moyennes Entreprises

La blockchain, une technologie réservée à des startups innovantes ou à des grandes entreprises ? La barrière technique à l’entrée pourrait le suggérer, mais cela n’est pas si sûr. Talium présente les enjeux de cette technologie pour les PME au prochain forum Révolution et Business du 5 juillet dédié à la Blockchain, organisé avec le soutien de la CCI d’IdF. Plus d’infos sur : revolutionetbusiness.com

La blockchain pourrait en effet présenter bien des avantages pour les TPE et les PME, en leur ouvrant de nouvelles perspectives de business et en leur permettant de faire des économies.

Les petites et moyennes entreprises pourraient bénéficier d’une infrastructure et d’une force de frappe qui les place sur un mode de concurrence plus sain avec les gros acteurs.

Créer des clusters vertueux, accélérateurs de croissance

Le premier bénéfice que les PME peuvent tirer de la blockchain est de booster leur activité en créant des clusters vertueux où les entreprises peuvent partager les informations nécessaires à leur croissance ; sécuriser les transactions, accroitre leur visibilité et fidéliser leurs clients en utilisant une infrastructure partagée à moindre coût.

Les Data Marketplaces

Les data marketplaces sont ainsi une utilisation des blockchains qui pourrait particulièrement bénéficier aux PME tout en introduisant une utilisation respectueuse des informations clients. Au lieu de devoir acquérir de coûteuses listes de contact, parfois mal calibrées, les entreprises pourraient partager un accès sélectif à leurs propres données clients sans divulguer leurs identités (nom ; adresse mail ; téléphone) pour permettre la circulation d’offres ciblées en fonction de caractéristiques fines démographiques/intérêts/besoins etc. La technologie blockchain permet à la fois de protéger la confidentialité des identités clients et de tracer de manière sécurisée le succès de ces actions marketing. On peut alors envisager un modèle de valorisation des données basé sur l’impact réel d’une campagne. Les entreprises seraient par là même incitées à mieux documenter leurs bases de données clients, avec des informations plus pertinentes, décuplant l’efficacité du réseau. L’autre effet vertueux de ce type d’utilisation pour les petites et moyennes entreprises est de permettre une plus grande indépendance par rapport aux géants de la donnée que sont les GAFA et de faire jouer la force d’un réseau décentralisé. L’impact disruptif de ce modèle qui va dans le sens d’une plus grande protection des données et qui combat leur appropriation par quelques acteurs centraux, pourrait même être supérieur à l’action du régulateur (cf. RGPD).

Désintermédiation des marketplaces

De même la blockchain permet une plus grande indépendance des petites et moyennes entreprises vis-à-vis des GAFAs en ouvrant la voie à la désintermédiation des marketplaces. La gestion de ces marketplaces, décentralisée et donc sans intermédiaire, est rendue possible au travers du mécanisme de consensus qui garantit l’intégrité et la cohérence du contenu du registre partagé entre les différents nœuds distribués du réseau. Les règles de gestion sont donc immuables sans le consentement des acteurs. Les PME ont tout à y gagner : suppression des commissions, et diminution ou élimination des frais bancaires grâce à l’utilisation de porte-monnaie électroniques (wallets) interconnectés et sécurisés via la blockchain. Certaines technologies blockchain permettent même des transactions à coût pratiquement nul, ouvrant la voie aux micro-paiements que les frais bancaires rendaient jusqu’alors prohibitifs.

Renforcement du lien client

D’autres utilisations des blockchains pourraient dynamiser des réseaux de PME et ouvrir la voie à des outils de fidélisation puissants. On pourrait ainsi envisager de créer des campagnes de fidélisation attractives par le lancement de token récompensant les achats mais également le partage de l’expérience client via les réseaux sociaux, décuplant ainsi l’exposition médiatique de l’enseigne. Ces tokens numériques pourraient avoir des caractéristiques permettant de les céder ou de les échanger, de les utiliser auprès de multiples acteurs du réseau, les rendant plus attractifs que des cartes de fidélité traditionnelles, et permettant au réseau d’améliorer la connaissance des habitudes clients avec toujours comme point central le respect de la vie privée. La blockchain permet, sur le même principe que les campagnes de fidélisation, la création simplifiée de monnaies complémentaires qui ont elles aussi la vocation de dynamiser un réseau d’acteurs.

Créer de l’efficience

Le deuxième enjeu majeur pour les PME avec l’adoption de cette technologie est de multiplier les pistes de réduction de coûts et de simplifications administratives.

Mutualiser les ressources

En premier lieu, la blockchain rend possible la mutualisation de biens ou de services : espaces de bureaux, équipements, et même fonctions support, la blockchain permet de tracer de manière transparente et irréfutable l’usage de ressources mises en commun (via notamment le recours à des connecteurs et des réseaux IoT) et d’allouer automatiquement les charges aux acteurs impliqués. Pourquoi investir pour un usage unique si on peut partager et mieux rentabiliser les actifs ? Au-delà de ces ressources physiques, il est également possible de partager les ressources numériques, et notamment les espaces de stockage : au lieu d’acheter des services cloud à prix fort à AWS ou Google ou de recourir à de coûteuses architectures centralisées, les entrepreneurs ont maintenant le choix de louer des services blockchain d’hébergement décentralisés  . Ils peuvent dimensionner ce service selon leur besoin, l’espace étant réservé sur le réseau d’utilisateurs de proximité et son utilisation tracée par la blockchain. Ce type de services donne accès aux standards cryptographiques blockchain permettant aux utilisateurs de garantir la confidentialité de leurs informations clients. D’une manière générale, les entreprises utilisant la blockchain s’assurent une sérieuse ligne de défense contre les hackeurs potentiels. Les cyberattaques coûtent aux entreprises un temps et des ressources précieuses, dont la majorité des PME n’ont pas le luxe.

Moderniser la relation client/fournisseurs/partenaires via les smartcontrats

Les technologies blockchains peuvent d’autre part être exploitées pour une approche moderne de la relation client, rendue accessible aux petites et moyennes entreprises. Grâce aux smart contrats, qui sont des programmes informatiques garantissant l’exécution de clauses contractuelles en cas d’occurrence de certaines conditions, beaucoup de tâches de gestion peuvent être automatisées : facturation, paiement des factures clients, exécution des polices d’assurance, fixation des taux d’intérêt. Imaginez le temps gagné pour de petites structures qui n’ont parfois pas d’organisation adaptée pour absorber un surcroît d’activité : beaucoup de problématiques liées aux effets de seuils pourraient ainsi être résolues. Cette efficience accrue dans les procédures de recouvrement de créance client couplée avec la possibilité de s’affranchir de l’intermédiation bancaire (et des frais associés) pour garantir des paiements plus rapides, parfois en temps réel pour certains services justifiant des micro paiements, pourrait être clé pour faciliter la gestion du cash des PME. 36% des petites et moyennes entreprises ont en effet recours à des lignes de crédit de trésorerie (source Banque de France avril 2018), les enjeux sont donc énormes.

Moderniser les professions réglementées

Les gains en efficience concernent également les professions réglementées ou les activités soumises à des labels/certifications. La mise en place de smart contrats dans le cadre des opérations de ces entreprises permettrait de simplifier, améliorer et rendre moins coûteuses les procédures d’audit. Le respect des règles métiers ou des contraintes imposées par les labels serait en effet de facto traçable par la blockchain.

Faciliter les contrats de performance

De la même manière, il est envisageable d’automatiser les procédures de prise en charge de garantie, parfois sources de contentieux dans la relation client : tout ce qui est traçable et vérifiable par la blockchain est rendu incontestable et permet l’exécution du contrat. Si on va plus loin, les smart contrats permettent la mise en place de contrats de performance, qui conditionnent une transaction par la survenance de certaines conditions : par exemple, un gestionnaire immobilier pourra être commissionné sur la base d’un taux minimum d’occupation des locaux sous sa responsabilité, la blockchain garantissant précisément la traçabilité de l’occupation physique de ces biens. A l’inverse, des pénalités financières pourront être calculées automatiquement en cas de non atteinte de performances énergétiques. L’avantage outre la simplification administrative est de garantir la transparence des pratiques commerciales et de renforcer des relations de confiance entre clients, fournisseurs et partenaires.

Ces multiples exemples montrent que les blockchains offrent de vastes possibilités pour les petites et moyennes entreprises.  L’enjeu dans les prochaines années va être de développer et mettre à disposition des services et applicatifs rendant accessible ces technologies aux écosystèmes PME (et Talium, en tant qu’acteur majeur du développement de solutions blockchain en France compte bien y contribuer !).

Un rôle important pour les acteurs fédérateurs des métiers

Les fédérations de métiers, les chambres de commerce, les cercles d’entreprise ont un important rôle à jouer pour faire connaître ces avantages qui ne seront peut être  pas spontanément mis en avant par les acteurs prédominants que sont les banques, les assurances ou les gros acteurs d’internet, mais également pour rassembler les acteurs afin de permettre le développement d’outils. La blockchain nous ouvre en effet les portes d’une économie différente, plus efficiente, plus sécurisée et plus collaborative.

Traçabilité carbone, crédits carbone et Blockchain

Talium intervient activement sur les réflexions visant à mettre au point des outils pour faciliter les stratégies bas carbone, en tant que conseiller sur les technologies blockchain.

Alors que différents projets utilisant les technologies blockchain et proposant des moyens innovants de consommer l’énergie sont en cours d’expérimentation, la blockchain est également considérée pour la traçabilité des crédits carbone et des garanties d’origine.

Un crédit-carbone est une unité correspondant à une tonne d’équivalent CO2 sur les marchés du carbone. Les crédits carbone permettent de réduire les coûts d’adaptation de son industrie à la baisse aux émissions de CO2. Dans un écosystème de firmes A et B, le principe est de récompenser par des crédits les firmes A pouvant plus facilement réduire leurs émissions. Les firmes B pour lesquelles l’effort de réduction est beaucoup plus coûteux peuvent quant à elles racheter ces crédits. L’effet escompté est d’atteindre le quota d’émission de CO2 pour l’écosystème A+B à un coût global inférieur à celui qui aurait été investi pour chacun des sous-ensembles pris indépendamment.

Plusieurs initiatives ont récemment communiqué sur leurs intentions ou avancées afin de mettre à disposition des plateformes pour la « tokenisation » des crédits carbone, c’est-à-dire la possibilité d’acheter des jetons convertibles en crédits carbone.

Ainsi IBM a annoncé le 15 mai son partenariat avec la fintech environnementale Verifium Labs Ldt. pour la « tokenisation » de crédits carbone. Ces jetons pourraient être échangés sur une exchange place utilisant la blockchain Stellar.

Dans une perspective de fidélisation client B to C cette fois-ci, Ben & Jerry’s ice cream a également communiqué fin mai sur son partenariat avec la fondation Poseidon pour lancer un pilote destiné à récompenser les achats de ses clients par l’achat de crédits. Pour chaque boule de glace achetée dans le quartier de Soho à Londres, un penny sera investi à l’achat d’un crédit carbone. Il sera également possible pour les consommateurs d’investir une somme supplémentaire. L’ambition de la fondation Poseidon est de sensibiliser le public aux enjeux climatiques en rendant accessible le marché des crédits carbone au plus grand nombre, alors qu’il est jusque-là réservé aux entreprises pour des achats en masse. Pour cette expérimentation, qui devrait aller en production en juin 2019, la blockchain Stellar a également été choisie pour faciliter les micro-paiements.

Il est à noter que même si Verifium Labs et Poseidon ont opté pour La blockchain Stellar pour leurs applications, principalement pour assurer des transactions rapides et peu coûteuses même pour des micro-paiements, d’autres blockchains sont également considérées dans le cadre des stratégies bas carbone.

La fondation Climatecoin avait déjà lancé en décembre dernier son ICO pour une plateforme de trading de crédits carbone ouvertes aux entreprises et aux particuliers et construite sur Ethereum.

Qu’apporte la blockchain dans le mécanisme d’échange des crédits carbone ?

Tout d’abord une traçabilité et une transparence complète sur les échanges de crédits : la technologie blockchain permet ainsi de s’assurer que ces crédits carbone ne sont achetés et vendus qu’une seule fois, et de tracer tous les acteurs : émetteurs et acheteurs.

Elle permet également de faciliter un marché dont l’efficacité est parfois remis en cause :

  • Difficulté d’estimer l’empreinte carbone à l’échelle d’une entreprise : selon les méthodes utilisées par les experts, les résultats peuvent être différents pour la même entité.
    La solution proposée par IBM et Verifium Labs vise à mettre à disposition un instrument de comptabilisation des émissions permettant de calculer automatiquement et « à la source » l’empreinte carbone, les entreprises pouvant s’affranchir ainsi de coûteux audits.
  • Difficulté d’organiser des places de marché pour l’échange des crédits carbone. Des systèmes d’échange existent à l’échelle régionale : À la suite du système européen d’échange de quotas, le SEQE-UE, une quarantaine de marchés de conformité régionaux ont vu le jour. Mais il est difficile d’organiser des échanges entre ces zones car les niveaux de contrainte pour atteindre les quotas d’émission peuvent être très différents en fonction des contextes économiques, industriels ou politiques : un crédit carbone n’a donc pas forcément la même valeur d’une zone à une autre. Sur un plan purement technique, la blockchain peut permettre de faire le lien entre différentes régions et différents registres.
  • les projets pilote en faveur de la préservation de l’environnement de type Redd+ (Réduction des émissions liées à la déforestation et à la dégradation des forêts) génèrent des crédits carbone ouverts aux entreprises mais faute de structures d’échange adaptées, ont pour principal débouché à ce jour les marchés volontaires qui répondent à une politique de RSE dont la capacité d’absorption est limitée.
    Là également, les places de trading construites sur la blockchain peuvent permettent de développer ces initiatives.

La blockchain s’impose donc comme une technologie permettant le développement des échanges de crédit carbonne. De même, cette technologie peut être utilisée pour la gestion des garanties d’origine où un registre des GO distribué pourrait faire intervenir l’ensemble des producteurs et des fournisseurs d’énergie.

Du fait de son expérience dans les projets blockchain et énergie, Talium intervient activement sur ces réflexions, notamment sur des solutions à forte composante IoT basées sur les mesures de compteurs communiquants. Nous participons le 14 juin au séminaire de Recherche « Stratégie Bas Carbone » organisé par l’ADEME, avec nos partenaires Sunchain et Avenir 4. Nous travaillons également avec nos partenaires sur une méthodologie permettant de connaître, en temps réel ou a posteriori, le contenu carbone de l’électricité consommée. Cette méthode pose l’hypothèse que le « registre » des GO pourrait être décentralisé, fiabilisé par une blockchain. Nous communiquerons très prochainement à ce sujet.

Blockchains publiques et applications grand public

Blockchains publiques (vs privées) : un outil privilégié pour les applications grand public

Il existe deux grands types de blockchains, les blockchains publiques d’une part qui sont consultables par tous et qui ne présentent aucune restriction quant à la participation au réseau. Les blockchains privées d’autre part où il est nécessaire d’obtenir une permission ou de faire partie d’une communauté pour s’impliquer.

Alors que les blockchains publiques sont des outils très performants pour le développement de services d’intérêt commun, de par leurs propriétés de gouvernance collective, de transparence et d’ouverture, elles sont essentiellement utilisées aujourd’hui en production pour des services financiers comme les plateformes d’échange de cryptomonnaies.

Leur utilisation pour les services visant le grand public présente de nombreux intérêts qu’il nous semble pertinent de partager au travers de l’expérience de notre collaboration sur le projet BCDiploma – un service destiné au plus grand nombre et utilisant une blockchain publique : Ethereum.

BCDiploma, ainsi que l’exprime son CEO Luc Jarry-Lacombe « répond à une attente des établissements d’enseignement supérieur en créant le standard pour la certification des millions de diplômes émis chaque année dans le monde ». Un diplômé pourra ainsi prouver à un tiers l’obtention de son diplôme grâce à un URL et/ou un QRcode qui rendra celui-ci lisible et vérifiable, cette information étant stockée de manière immuable dans la blockchain.

Le choix d’une blockchain publique est au cœur de la philosophie de ce projet et trouve sa logique dans le souci d’adoption par les partenaires institutionnels de l’enseignement supérieur très attachés à la transparence et à une forme d’indépendance. La blockchain publique, combine un modèle open source au caractère public de l’ensemble de ses nœuds et garantit ainsi transparence et pérennité. BCDiploma a de surcroît développé un framework opensource EvidenZ au cœur de sa solution. Un tel projet pourrait plus difficilement trouver de légitimité sur une blockchain privée, sans accès au code source et régie par un seul acteur ou consortium. La blockchain publique permet la mise en place d’un écosystème open source où les écoles/universités restent propriétaires de leurs données et auraient la possibilité de les utiliser indépendamment de l’éditeur de la solution. Ils peuvent également avoir accès au framework opensource qui régit le traitement de leurs données.

Les blockchains publiques  et l’environnement opensource présentent donc les avantages d’introduire de la transparence dans les services proposés et de s’affranchir d’une dépendance envers le prestataire ou envers la blockchain elle-même. Ces avantages sont absolument déterminants dans le cadre d’un projet d’envergure internationale  faisant intervenir des acteurs institutionnels, et dans l’intérêt du grand public.

D’un autre côté, l’utilisation de blockchains publiques induit certaines contraintes que nous partageons ci-dessous et qui se sont présentées dans le cadre du projet BCDiploma :

  • Coût d’utilisation
    Ethereum comme beaucoup de blockchains publiques utilise un consensus par preuve de travail via le minage. Plus on stocke de données dans la blockchain, plus on rajoute de blocs à la chaîne, plus on sollicite les mineurs et plus on utilise les ressources de stockage des registres. Ces opérations ont un coût non négligeable, répercuté dans la cryptomonnaie de la blockchain et donc sujet à une fluctuation de change. Il est donc primordial d’optimiser la quantité d’information injectée dans la blockchain, et c’est là un des gros sujets de R&D du projet. Le stockage des données offchain est exclu car il réintroduit de l’opacité via un système de base de données centralisée. Nous avons donc recours à un smart contract dont l’objet est de recréer le diplôme final à partir d’une quantité de données minimale enregistrée dans la blockchain.

 

  • Garantie de l’identité des acteurs
    Dans le modèle opératoire de BCDiploma, il est particulièrement important de garantir l’identité de l’entité émettrice des diplômes. Sans cette garantie, le risque est d’ouvrir la possibilité à l’usurpation d’identité d’organismes de formation et l’émission frauduleuse de diplômes. Alors que des solutions KYC avancées ont été élaborées dans le cadre des fintechs, peu de services décentralisés blockchain se sont penchés sur des solutions pour l’authentification des personnes morales. C’est même une cause de défaillance potentielle d’expérimentations dans ce domaine menées des organismes comme le MIT, la Holberton School, ou l’ESILV en France. Pour garantir l’identité des écoles, le framework EvidenZ de BCDiploma intègre un smart contract « SmartValidation » dans lequel est impliqué un tiers « validateur ». Ce tiers garantit l’existence de l’école et autorise l’émission d’un certificat d’identité. Ce dernier permet à l’école d’enregistrer les données des diplômes dans Ethereum et garantit l’authenticité des diplômes en lecture.

 

  • Sécurisation et protection des données
    Lorsque l’organisme de formation est prêt à charger de nouveaux diplômes sur la blockchain, il a accès à une DApp (Decentralized App) open source qui va lui permettre d’encrypter les informations des diplômes dans ethereum, à l’aide d’une master key elle-même stockée dans un module HSM. Via l’application sont créés des nombres aléatoires correspondant à l’ID du diplôme, l’ID du diplômé et la clé de persistance. La clé du diplôme est elle-même créée par dérivation de la master key et d’une clé intermédiaire issue de la concaténation de la clé de persistance et de l’ID du diplômé. La sécurisation du projet est donc assurée par cet algorithme cryptographique complexe qui permet de garantir l’unicité de chaque clé et de réduire au maximum le risque de hacker le système pour créer un faux diplôme.
    Un point critique est la qualité des nombres aléatoires générés. En effet, il est essentiel pour la sécurité des fonctions cryptographiques mises en œuvre que ces nombres soient parfaitement aléatoires. Reprenons le cas du célèbre hacking de la console PS3 : En 2010, un groupe de personnes a mis en évidence une anomalie dans la console de jeu PS3. Celle-ci vérifie la légitimité des jeux utilisés grâce à l’algorithme de signature ECDSA. Elle intègre donc un générateur de nombres aléatoires. L’appel à ce générateur était dans ce cas mal implanté et produisait toujours le même nombre «aléatoire». À partir de la connaissance de ce nombre et de deux signatures, il est possible de retrouver la clef privée. Une fois cette clef connue, il est possible de signer n’importe quel jeu (par exemple piraté) correctement.
    Dans le cadre du développement du projet BCDiploma, nous utilisons l’état de l’art des algorithmes de génération de nombres aléatoires, ce qui permet de sécuriser le projet contre les utilisations frauduleuses, et d’assurer sa pérennité avec un potentiel d’émission de milliards de diplômes. La sécurisation du système doit également couvrir les données stockées off chain, dans notre cas les clés de persistance qui sont gérées via la solution cloud Microsoft Azure. Le rôle de l’intégrateur est alors de mettre en place la solution cloud la plus performante et sécurisée pour les besoins du projet, les clés de persistance étant utilisées à la fois dans l’algorithme cryptographique, la lecture des diplômes et la mise en œuvre du droit à l’oubli.

 

  • Compatibilité RGPD et droit à l’oubli
    La technique la plus « simplement » compatible avec les directives RGPD en matière d’effacement des données personnelles dans le cadre d’un projet blockchain est de stocker ces données hors de la blockchain, dans une base de données hébergée de manière centralisée ou décentralisée. La blockchain n’intègre alors que le hash des transactions. Mais comme nous venons de le voir, ce n’est pas le cas dans le projet de notre partenaire BCDiploma, où le stockage dans la blockchain est la garantie de l’intégrité des données. Afin d’assurer la comptabilité GDPR et la possibilité d’exercer le droit à l’oubli, la solution utilisée est de donner au diplômé la possibilité de détruire la clé de persistance associée à son diplôme. Cette clé étant nécessaire à la lecture du diplôme, sa destruction interdit définitivement l’accès à celui-ci, ce qui permet l’exercice du droit à l’oubli.

 

  • Indépendance par rapport à la blockchain
    Un dernier point critique pour l’adoption de la solution par les partenaires de formation est la possibilité de pérenniser le projet sans dépendance vis-à-vis du prestataire ou de la blockchain utilisés. Comme nous l’avons vu, l’application étant open source, les organismes de formations peuvent continuer à l’utiliser en s’affranchissant de l’auteur de la solution. De même, nous avons été impliqués dans le projet pour permettre la portabilité du projet dans une autre blockchain en cas de besoin. La totalité des données serait ainsi préservée et transférable en cas de nécessité de migration.

Le choix d’une blockchain publique présente donc de nombreux atouts pour la transparence et la pérennité d’un projet d’intérêt commun.  Il convient simplement au concepteur et à l’intégrateur de trouver les bons compromis pour assurer l’intégrité des données et le respect des réglementations, sécuriser le système contre les fraudes, et permettre la portabilité des données dans un contexte d’environnements technologiques en pleine évolution.

Si ce sujet vous intéresse, venez-vous immerger dans  l’univers blockchain pendant les BlockDays & LedgerDays les 11 et 12 juin 2018 à l’école 42 à Paris. L’occasion de poser vous questions à BC Diploma : https://www.eventbrite.fr/e/billets-blockdays-ledgerdays-1-11-et-12-juin-2018-a-42-46188397741

Cet événement est ouvert à tous : https://matrice.io/blockdays-ledgerdays-1.pdf

Merci à Luc Jarry-Lacombe, CEO de BCDiploma, Vincent Langard, CTO de BCDiploma et Marc Majewski, Blockchain Engineer chez Talium pour leur contribution.

Plus d’informations :

 

RGPD et Blockchain

La réglementation RGPD qui est applicable à partir du 25 mai 2018 a été élaborée pour un monde où la donnée est collectée, stockée et traitée de manière centralisée, habituellement par un organisme auquel l’usager accorde sa confiance pour en faire bon usage.

Les risques que le RGPD adresse sont les fuites de données personnelles ou leur traitement abusif.

La blockchain a pour but principal la réplication de données sur des registres distribués dont le contrôle est assuré par des entités différentes, afin de s’affranchir d’un tiers de confiance unique. Ses propriétés facilitent les transactions de pair à pair, de même que l’absence d’un responsable des traitements unique permet d’éviter les pratiques de profilage systématique.

Il apparaît donc que la réglementation RGPD tout comme les blockchains rendent possible la protection de l’intérêt des individus contre la gouvernance excessive des GAFAM et autres entreprises adeptes du Big Data dont les modèles économiques sont partiellement construits sur le traitement des données utilisateurs.

Paradoxalement, les propriétés des blockchains les rendent difficilement compatibles avec certaines des obligations RGPD.

  • L’accès libre aux données stockées dans les registres distribués de la blockchain
    Ceci peut entrer en conflit avec les obligations RGPD de protection des données
  • La propriété immuable de la blockchain
    Cette propriété coexiste difficilement avec les directives RGPD de droit à l’oubli et de conservation limitée dans le temps
  • La gouvernance partagée / Elimination des tiers de confiance
    Cet aspect est en contradiction avec la directive RGPD de nommer un délégué à la protection des données. Qui est le référent des utilisateurs s’il n’y a pas de responsable au traitement des données ?
  • Le traitement automatique des données via les smart contrats
    En effet, RGPD vise à combattre des décisions fondées exclusivement sur un traitement automatisé et affectant les utilisateurs de manière significative.

Le vote du Cloud Act par le congrès américain d’autre part rend pratiquement impossible l’application extraterritoriale du RGPD. Les données stockées sur des registres distribués d’une blockchain publique situés sur le sol américain peuvent tomber sous le coup d’une investigation des autorités américaines et entrer en contradiction avec la disposition interdisant les transferts ou divulgations non autorisés par le droit de l’Union.

De plus, les obligations RGPD n’ont pas les mêmes répercussions selon les types de blockchains utilisés. 2 cas principaux se distinguent :

  • Les blockchains publiques – open permissionless
  • Les blockchains privées, permissionnées ou permissionless

 

  • Les blockchains publiques

Les données contenues dans les blocs, encryptées ou non, même au travers de simples condensats ou hash (dont la présence prouve l’existence de données potentiellement privées), peuvent contenir ou être dérivées d’informations personnelles. On peut donc dire que les blockchains publiques contiennent des données personnelles qui restent accessibles dans les registres distribués.

Le mécanisme de signature des transactions et leur vérification se fait par un algorithme de chiffrement par courbes elliptiques qui joue un rôle crucial dans la technologie blockchain. Il assure aussi la génération des paires de clés (clé privée et clé publique) nécessaire aux signatures. Il est communément accepté que les ordinateurs quantiques pourront un jour (lointain, sans doute dans quelques décennies) casser les algorithmes de chiffrement, ou même remonter les clés privées appairées aux clés publiques, dans des délais devenant « praticables ».

Il serait possible d’utiliser des algorithmes quantum-proof qui pourraient assurer la confidentialité sur quelques décennies supplémentaires, cependant, comme tout projet informatique, ce type de choix technique doit se faire au vu d’autres paramètres dont la performance : les données sont-elles suffisamment critiques pour devoir les chiffrer ou même utiliser des algorithmes quantum-proof qui pourraient impacter la rapidité des transactions ?

De la même façon, l’immuabilité, la gouvernance partagée et la possibilité de faire tourner des « smart contrats » font des blockchains publiques des technologies peu adaptées à la conformité RGPD. La question se pose particulièrement pour les DAO (Decentralized Autonomous Organizations) qui sont des structures à la gouvernance décentralisée régies par des smart contrats, permettant à leurs contributeurs de proposer des projets et de voter pour ou contre leur financement. Une DAO ne dispose pas de personnalité juridique. Bien qu’elle soit constituée d’un ensemble de participants agissant comme une société, c’est-à-dire avec un projet commun ayant un but a priori lucratif, elle ne peut pas en tant que telle s’inscrire dans les cadres juridiques existants, et obtenir une personnalité morale.

En conséquence, les utilisateurs de ces organismes DAO ne sont théoriquement pas protégés par la réglementation RGPD. Plus généralement, les blockchains publiques elles-mêmes étant développées par des communautés open source, aucune entité légale ne les représente et pourrait se voir opposer ces directives européennes.

En théorie, on pourrait imaginer qu’une blockchain publique dans laquelle on aurait introduit de manière mal intentionnée des données personnelles à caractère sensible pourrait être mise à mal par la RGPD… il est cependant difficile d’appréhender les sanctions qui pourraient lui être imposées.

La responsabilité des données inscrites dans les blockchains publiques est donc transférée aux personnes proposant des services tiers et utilisant ces blockchains. En particulier, cela peut concerner tous les services d’exchange proposant des wallets de cryptomonnaie, qui doivent se conformer à toutes les réglementations du droit des entreprises, et notamment aux règles de KYC (Know Your Customer) appliquées aux fintechs. Plus largement, tous les services utilisant les blockchains publiques sont concernés.

Cependant, comme nous allons le voir plus loin, il existe des best practices pour utiliser les blockchains publiques et rester conforme aux directives RGPD.

  • Les blockchains privées

Dans le cas des blockchains privées, la responsabilité face aux directives RGPD est d’emblée portée par les entreprises utilisant ces blockchains dans le cadre de leurs projets. Les blockchains permissionnées ont la possibilité de restreindre la consultation des transactions.

Comme nous le verrons plus tard, certaines blockchains qui ont été conçues dans le but de protéger les données utilisateur (privacy-by-design) peuvent mettre en avant des avantages supplémentaires.

Dans tous les cas, le rôle de l’architecte et intégrateur dans la conception de ces projets est de concevoir des architectures garantissant la conformité RGPD.

 

Les points critiques à respecter sont les suivants :

  • Protection des données utilisateurs

Une des solutions de mise en conformité est d’anonymiser les données. Cependant les exigences liées sont élevées car l’anonymisation doit rendre strictement impossible tout lien permettant d’identifier les individus.

La manière plus couramment utilisée est la pseudonymisation. Différentes techniques sont possibles dont l’une des plus robustes est  l’émission de clés publiques renouvelées systématiquement à chaque transaction, ce qui permet de suffisamment brouiller le lien avec l’émetteur pour écarter l’identification.

Ainsi, La fondation Sovrin, dont le projet vise à diffuser « une identité auto-souveraine » et permet aux individus de prouver leur identité tout en gardant confidentielles (zero knowledge proof) les informations non requises pour leur identification, a mis en place un protocole pour l’émission d’une paire unique d’un pseudonyme utilisateur et clé publique à chaque transaction. Ce renouvellement fréquent de clés publiques rend extrêmement compliquée la corrélation d’un pseudonyme avec un individu.

La cryptomonnaie Monero utilise une autre technique d’anonymisation qui consiste à utiliser des adresses éphémères. Ces adresses éphémères ou furtives permettent aux destinataires des fonds de créer des adresses publiques uniques auxquelles les payeurs peuvent envoyer le montant désiré. Une fois la transaction inscrite dans la blockchain, le destinataire peut trouver l’adresse, l’utiliser pour générer une clé privée, et dépenser les fonds. Ce protocole rend quasi-impossible l’identification du destinataire de la transaction. Il rend également l’utilisation de Monero très populaire dans le milieu du numérique clandestin, pour des transactions illicites ou le blanchiment d’argent : l’anonymisation est donc vertueuse pour la protection de la vie privée mais doit s’associer à des règles visant à limiter les pratiques criminelles (du type KYC).

D’autres algorithmes cryptographiques comme le calcul multipartite permettent d’échanger des informations entre parties prenantes dans le cadre d’une transaction, sans dévoiler le contenu des données.

Il est à noter, comme nous l’avons déjà indiqué, que toute opération de chiffrement des données impacte la performance du système en production. Cette solution, n’est donc pas optimale pour optimiser la vitesse des transactions.

Ainsi, pour le projet de notre partenaire Sunchain dans le domaine de l’autoconsommation collective d’énergie photovoltaïque, les données de production et de consommation sont captées par des boitiers TIC au niveau des compteurs. Nous pouvons limiter l’usage de chiffrement (afin de ne pas impacter la performance de ce système à forte composante IoT) car la blockchain Hyperledger Fabric permet la mise en place de channels dans lesquels les données ne sont accessibles qu’aux contributeurs autorisés, le consentement des utilisateurs étant requis pour l’accès à leurs données. L’identité des utilisateurs n’est d’ailleurs pas visible dans la blockchain, une table de rapprochement de pseudonymes créés pour chaque enregistrement est nécessaire et gérée séparément en off-chain.

  • Droit à l’oubli

Du fait de l’immuabilité des données stockées dans la blockchain, ce point est probablement le plus critique.

La technique la plus « simplement » compatible avec les directives RGPD en matière d’effacement des données personnelles dans le cadre d’un projet blockchain est de stocker ces données hors de la blockchain, dans une base de données hébergée de manière centralisée ou décentralisée. La blockchain n’intègre alors que le hash des transactions.

Mais stocker les données directement dans la blockchain est pour certains projets une propriété importante sinon nécessaire. Alors comment faire ? Dans le projet de notre partenaire BCDiploma, une solution que nous implémentons consiste à chiffrer les données dans la blockchain à l’aide d’une clé qui résulte d’un tryptique de clés : une clé liée au diplôme (personnelle), la clé privée (master key) de l’organisme de formation et une clé dite de persistance, sur laquelle le diplômé a pouvoir de destruction. S’il la détruit, l’accès aux données du diplôme est définitivement prohibé, ce qui revient à l’exercice du droit à l’oubli.

  • Délégués à la protection des données

Dans le cadre d’un service du domaine privé tournant sur une blockchain publique ou privée, il est communément compris que ce délégué doit être nommé par le responsable du projet.

Dans le cadre d’une organisation décentralisée et autonome, une solution possible serait de mettre en place par consentement mutuel un traitement des données auto-souverain et de s’affranchir ainsi de la disposition RGPD.

  • Privacy-by-design

Dans la conception même de la solution blockchain, il est primordial d’intégrer en amont les protocoles et algorithmes correspondant aux exigences de confidentialité du projet qui doivent être traduites dans l’analyse de risques intégrée au cahier des charges. Ces choix techniques impactent véritablement l’application, ses performances, sa scalabilité et son évolutivité.

  • Smart Contrats

La réglementation RGPD prévoit que « toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. » Les services du domaine privé traitant des données utilisateurs par le biais de smart contrats ont donc tout intérêt à recueillir le consentement de ces utilisateurs… consentement dont la traçabilité est d’ailleurs idéalement garantie par l’usage de blockchain.

 

Dans tous ces points critiques, il est important de ne pas perdre de vue que l’objectif même des blockchains est de protéger les utilisateurs de dérives provoquées par les systèmes centralisés. Les smarts contrats permettent en effet de protéger les utilisateurs de par la transparence qu’ils introduisent dans l’exécution d’un traitement automatisé (s’ils sont open source et donc auditables par tous les contributeurs). Il est légitime d’attendre que l’autorité de protection des données juge également la compatibilité RGPD des projets blockchain sur les dispositions intégrées dans leur conception en fonction d’une analyse de risque objective. Ainsi un projet comportant des données personnelles sensibles donnera lieu à des contraintes d’anonymisation ou pseudonymisation forte, et une architecture différente d’un projet plus classique où la priorité ira à optimiser la performance du système. De même, les projets moins sensibles seront moins impactés par la possibilité du recours au quantum computing permettant de rétablir le lien, dans quelques décennies, avec les identités des utilisateurs. Si les services utilisant les blockchains font preuve de bonne foi pour garantir la robustesse de leur approche, il est probable que les autorités feront preuve quant à elles de pragmatisme.

Pourquoi choisir un expert middleware pour son projet blockchain?

Retour d’expérience sur 2 ans de R&D et intégration blockchain

Un projet blockchain, c’est en réalité un projet d’intégration systèmes avec une petite partie (autour de 20%) de tâches liées à la blockchain. La vraie complexité, c’est le reste, qui va apporter les propriétés faisant la différence entre un Proof of Concept (POC) et un projet pouvant passer en production : robustesse, scalabilité, performances, sécurité, haute disponibilité, évolutivité logicielle et système, bonne intégration à des logiciels, à des flux, à du hardware… tout en respectant des contraintes plus ou moins fortes selon les projets : coût, consommation d’énergie, fiabilité du système dans la durée, etc. La valeur ajoutée de l’intégrateur, outre le développement et les compétences spécifiques inhérents aux blockchains, est de construire l’architecture globale garantissant l’homogénéité des systèmes des différents acteurs impliqués, intégrant les contraintes, sans oublier la mise en place des outils analytiques ou de gouvernance permettant le pilotage du projet.

Notre partenariat technique avec la startup Sunchain, qui mène un des rares projets blockchain français aujourd’hui au stade de pilote avancé, nous a permis de tirer des enseignements précieux de plus d’un an et demi de travail de développement et d’intégration blockchain. Nous en partageons les principaux ci-dessous. Ce projet d’autoconsommation collective d’énergie solaire utilisant de l’IoT a remporté divers prix et labels prestigieux (cf.
https://www.linkedin.com/feed/update/urn:li:activity:6381728681106247681/).
Talium assure l’expertise et l’intégration blockchain.

 

Les producteurs (soleils) mutualisent leur énergie sur le réseau,
les consommateurs (prises) la partagent. Crédit : Sunchain.

  • De l’importance d’être agnostique en choix technologiques

Lorsque nous avons commencé le travail R&D en septembre 2016, nous avions effectué des benchmarks sur des blockchains adaptées au projet Sunchain et sa contrainte d’implication d’IoT. L’important était de pouvoir exécuter des smart contrats sans faire de minage, de manière à garantir la scalabilité et limiter la consommation d’énergie (la sobriété énergétique étant également un vrai choix en adéquation avec les valeurs portées par la start up Sunchain).

Notre choix s’est d’abord porté sur la blockchain Eris (aujourd’hui aussi appelée Hyperledger Burrow) de Monax Industries, qui intègre le consensus Tendermint et permet de faire tourner des smart contrats Solidity sur la machine virtuelle d’Ethereum. Ce choix semblait répondre au besoin, mais il a finalement été éliminé pour deux raisons. Tout d’abord, Tendermint s’est avéré trop bavard par rapport aux contraintes de bande passante, épuisant rapidement les forfaits 3G des nœuds de validation. Ensuite, nous avons dû porter Eris sur une architecture ARM, ce qui s’est à l’époque avéré très compliqué et inadapté, nous demandant de redémarrer périodiquement le système.

En veille permanente sur les nouvelles releases de blockchains pour perfectionner les réponses aux problématiques du projet, nous nous sommes intéressés et avons benchmarké dès début 2017 diverses blockchains sans minage, consommant peu d’énergie et ayant un grand potentiel de scalabilité tout en solutionnant d’autres problématiques (et permettant l’utilisation de smart contrats). Ethereum avec consensus Proof of Authority a retenu notre attention, mais nous avons finalement choisi Hyperledger Fabric, notamment du fait de sa stabilité par rapport à l’architecture. On en était au tout début, à une version pré-alpha 0,6 issue d’un hackathon. Nous avons réussi à stabiliser le système, tout en le faisant évoluer suivant les différentes versions d’Hyperledger : alpha, beta et 1.0 sortie 6 mois plus tard.

Le fait d’être technologiquement agnostiques nous permet donc d’être en veille permanente dans un  environnement en pleine évolution de faire les meilleurs choix blockchain pour les projets de nos clients.

  • Anticiper les contraintes de coût et les risques hardware

Quand nous sommes passés à Hyperledger, nous avons dû adapter  en partie notre architecture. Ce projet présente toutes les caractéristiques d’une architecture IoT où des boîtiers collectent et chiffrent les données au niveau des compteurs. Nous avons dû repenser le système dans son ensemble pour minimiser la consommation de bande passante et les coûts de télécommunication : une contrainte importante pour assurer la faisabilité économique des projets en production. Dans ce contexte techno très innovant, les architectures mises en place ont été monitorées pour vérifier l’impact réel sur le volume de communication. Egalement, notre préoccupation a été de minimiser les risques hardware : plus on met de software côté IoT, plus la maintenance et les mises à jour sont rendues complexes dans un contexte technique en évolution permanente.

L’architecture actuellement en place est très évolutive : la containerisation propre à Hyperledger Fabric simplifie le déploiement des nœuds et permettra, lors de l’industrialisation, d’assurer que le consensus est suffisamment distribué et d’envisager dans le futur un rôle accru de la part des utilisateurs dans le portage de nœuds validateurs et l’audit du système y.c. les smart contrats.

  • Vérifier la conformité avec la réglementation

Qui dit blockchain dit également stockage et transfert de données pouvant comporter un caractère personnel. C’est le cas dans ce projet d’autoconsommation collective où les données de consommation individuelles sont soumises  au « droit à l’oubli ». Ceci est rendu possible par l’anonymisation des données de consommation et une gestion séparée des tables de rapprochement. La blockchain ne stocke pas les numéros PRM des abonnés, garantissant la compliance RGPD.

  • Garantir une visualisation des données performante

Un des livrables d’un projet blockchain comme Sunchain et qui ne peut pas tout à fait être traité de la même manière qu’un projet IoT classique est la visualisation des données par les utilisateurs ou les partenaires qui viendront se connecter, majoritairement via un accès web. Afin de maximiser la performance de ce service, Talium a choisi de développer un nœud client spécifique pour mettre à disposition les données du smart contrat puis de les présenter via une plateforme permettant de concevoir des visuels pertinents, de programmer des alertes et de monitorer les transactions.

  • S’adapter aux besoins en data et en intégration aux SI des partenaires

Dans le cadre du projet d’autoconsommation collective de Sunchain, Enedis, le gestionnaire de réseau public de distribution d’électricité, interface ses systèmes avec la blockchain pour recueillir le bilan de la répartition des flux. . Notre rôle d’intégrateur a été de développer un système pour mettre à disposition les données certifiées par la blockchain. Nous avons donc mis en œuvre les outils d’interfaçage entre le SI d’Enedis et l’architecture blockchain diffusant les clés de répartition (c.à.d. comment l’électricité non consommée des producteurs a été répartie entre les utilisateurs consommateurs). Enedis combine la relève des courbes de charge des compteurs de chaque client avec ces taux de répartition et transmet les informations de facturation vers les autres acteurs. Enedis a par ailleurs développé un format de données disponible pour tous les acteurs souhaitant répliquer ce type de projet d’autoconsommation collective utilisant les blockchains. Du point de vue de cet acteur clé, standardiser ce format de données et l’interface entre ses Systèmes d’Information et les blockchains est essentiel afin de faciliter le déploiement industriel de ces solutions.

Les projets blockchain sont pour la plupart jeunes, ils démarrent souvent comme une start-up, la priorité initiale est de démontrer le concept applicatif et de convaincre les premiers clients et utilisateurs.

Mais si le succès est au rendez-vous, il faut passer à la phase d’industrialisation pour garantir la fiabilité et la sécurité du service. Pour cela il est impératif d’adopter une démarche d’expert intégrateur pour la conception de l’architecture et de respecter certains principes au risque de devoir plus tard apporter des patchs à son application et devoir affecter sa performance et sa sécurité.