La décision du bouclier de Politique de confidentialité de l'UE est une opportunité et un casse-tête pour les technologies décentralisées

La semaine dernière, la Cour de justice de l’Union européenne (CJUE) a invalidé un accord clé de partage de données entre les États-Unis et l’Union européenne, avec des implications possibles pour les sociétés américaines de blockchain qui servent les clients de l’UE.

L'accord de 2016, connu sous le nom deBouclier de Politique de confidentialité, permet aux entreprises américaines d'autocertifier leur conformité aux lois sur la Politique de confidentialité des données, telles que le General Data Protection Act (RGPD). Le RGPD donne aux utilisateurs finaux un plus grand contrôle sur les données détenues par des entreprises comme Google et Facebook.

Steven Blickensderfer, avocat spécialisé dans les Technologies et la Politique de confidentialité au sein du cabinet Carlton Fields, a déclaré que la décision modifie radicalement la manière dont les entreprises peuvent traiter les données et a un impact non seulement sur les États-Unis, mais aussi sur d'autres pays dotés d'une surveillance renforcée, notamment la Chine et la Russie.

« La Cour exhorte les autorités européennes de protection des données à ne plus rester les bras croisés face à des transferts illégaux de données », a-t-il déclaré. « La Cour a appelé le contrôleur de la protection des données à agir. »

Les entreprises qui traitent les données personnelles d'un Européen sont censées les partager uniquement avec des entités situées dans des pays disposant de protections similaires. Les États-Unis ne disposent pas d'une législation fédérale solide en matière de protection de la Politique de confidentialité et ont une longue tradition d'agences de sécurité, comme la NSA, qui surveillent secrètement de vastes pans de données personnelles, en vertu de la loi. des justifications douteuses.Lorsqu’une personne dans l’UE utilise un service comme Facebook ou Google, elle envoie ses données en dehors de l’UE.

Prochaines étapes pour les entreprises

Plus de 5 000 entreprises américaines ont été certifiées dans le cadre de l'accord Politique de confidentialité Shield, y compris Facebook, Twitter, Amazon et Google,Cela signifie qu'elles devront peut-être désormais prendre des mesures importantes pour protéger les données des clients de l'UE et se conformer au RGPD par d'autres moyens. Cela représente un défi pour les petites entreprises, a déclaré Blickensderfer, compte tenu des mesures nécessaires pour comptabiliser les données et du nombre de tiers impliqués.

Une alternative consiste à s'assurer que les utilisateurs donnent leur consentement éclairé, afin que leurs données soient traitées aux États-Unis et que les données personnelles puissent être utilisées à des fins commerciales. Cependant, a déclaré Blickensderfer, il est peu probable que les conditions d'utilisation existantes couvrent ce point. Une autre option consiste à revoir la formulation des contrats types, en précisant plus clairement comment, par exemple, le gouvernement américain peut accéder aux données.

Coinbase, plateforme d'échange de Cryptomonnaie de premier plan, a été certifiée conforme au Politique de confidentialité Shield. Interrogée sur l'impact potentiel de cette certification sur ses clients européens et sur les plateformes d'échange et les entreprises blockchain qui devraient envisager des alternatives, elle a répondu que rien n'avait changé pour l'instant.

« Nous avons suivi de près l'évolution de la situation concernant le bouclier de Politique de confidentialité UE/États-Unis et, à la lumière de la récente décision de la CJUE, nous continuerons à utiliser des mécanismes de transfert de données approuvés... pour garantir que Coinbase fournisse des services aux clients de l'UE sans interruption », a déclaré un porte-parole de Coinbase.

Voir aussi :L'UE crée un régime réglementaire pour les cryptomonnaies, déclare le directeur économique

Max Schrems,Un avocat et militant autrichien a porté l'affaire devant la CJUE, craignant la légalité de l'utilisation de ses données par Facebook. La Cour a jugé que les lois américaines sur la surveillance étaient contraires aux droits fondamentaux de l'UE.

« Ce jugement n’est pas la cause d’une limitation des transferts de données, mais la conséquence des lois américaines sur la surveillance », a déclaré Schrems.a déclaré dans un communiqué« On ne peut T reprocher à la Cour d'avoir dit l'inévitable : quand la situation devient critique, on ne peut T reprocher à la Cour elle-même. »

De manière déroutante, le secrétaire américain au Commerce, Wilbur Ross, a déclaré dans undéclaration Le ministère du Commerce continuera d'administrer le programme Politique de confidentialité Shield, notamment en traitant les demandes d'autocertification, en recertifiant les cadres du Politique de confidentialité Shield et en tenant à jour la liste des pays Politique de confidentialité . Tout cela malgré l'invalidation immédiate du programme par l'UE, qui semble donc peu utile.

« C'est la principale réponse implicite à cette déclaration du secrétaire au Commerce », a déclaré Blickensderfer. « Pourquoi voudriez-vous rester dans ce programme si vous ne bénéficiez pas des avantages qu'il vous procure par ailleurs ? »

RossditIl était déçu par la décision et espérait « limiter les conséquences négatives sur la relation économique transatlantique de 7,1 billions de dollars ».

Entrez dans la technologie de Politique de confidentialité

Selon Blickensderfer, les entreprises qui utilisent une Technologies axée sur la confidentialité et incluent des fonctionnalités telles que le cryptage de bout en bout pourraient avoir plus de facilité à se conformer à la nouvelle réalité.

« Les technologies décentralisées et les outils comme la blockchain peuvent aider à établir l'existence de protections suffisantes – ou de « mesures supplémentaires », pour reprendre Analyses de la Cour – pour garantir l'adéquation des protections nécessaires pour satisfaire au RGPD », a-t-il déclaré.

Dans le même temps, la conformité au RGPD représente un défi pour ces technologies en raison du conflit apparemment inévitable entre l’immuabilité d’ une part et le droit à l’oubli, ou à la restriction du traitement, d’autre part.

« Dans le cadre des transferts transfrontaliers relevant du RGPD, ces technologies peuvent certainement s'avérer utiles », a déclaré Blickensderfer. « Mais d'autres conflits potentiels sont inévitables… lorsqu'on envisage l'adoption massive de cette Technologies pour démontrer la conformité au RGPD. »

Voir aussi :À l'ère de la surveillance, il faut se tourner vers la conception, et non vers les lois, pour protéger la Politique de confidentialité

Le chiffrement de bout en bout empêche les appareils de surveillance étatiques de contraindre les entreprises à accéder à ces données et à les partager avec eux. De plus, les technologies décentralisées ne disposent T d'un point de contrôle centralisé, ce qui signifie qu'il existe très peu de moyens pour un acteur d'accéder par force brute à toutes les informations du réseau ou du protocole.

Raullen Chai, PDG d' IoTeX, qui utilise la blockchain pour sécuriser l'Internet des objets, a déclaré que les personnes qui souhaitent préserver leur Politique de confidentialité n'ont eu d'autre choix que de s'appuyer sur des politiques d'entreprise permissives et des réglementations inefficaces.

« Au cœur du problème se trouve la propriété des données », a déclaré Chai. « La décentralisation offre un moyen de ne plus centraliser le stockage des données et de permettre aux individus et aux entités de devenir propriétaires de leurs données. »

Huang Lin, directeur technique de Suterusu, qui travaille au développement d'une protection de la Politique de confidentialité sur les contrats intelligents, les transactions et les données pour les réseaux blockchain, a déclaré qu'un nouveau cadre de transfert de données transatlantique donnant aux individus plus de contrôle sur la Politique de confidentialité de leurs données est nécessaire de toute urgence.

« La tendance actuelle en matière de réglementation des transferts de données privées, illustrée par le RGPD européen, est que les données seront de plus en plus régies par le code numérique », a-t-il déclaré. « En un mot, le code fait loi. »

Au cours des prochaines années, il voit les plateformes de contrats intelligents évolutives adopter activement une variété de technologies cryptographiques avancées.Preuves à divulgation nulle de connaissance, ou des protocoles qui permettent de partager des données sans mot de passe, ou toute information associée à la transaction, est ONEune de ces Technologies.

Une autre méthode est le calcul multipartite sécurisé, dans lequel plusieurs appareils informatiques distincts mais connectés effectuent un calcul conjoint sans connaître les autres entrées, mais uniquement les sorties. Cette méthode protège contre les intrusions, car aucun tiers de confiance ne gère l'ensemble des données concernées.