RGPD en X-ROAD

Publié par Emmanuel PESENTI le

RGPD et French Road

Si la France était en X-Road, voici, comment serait perçu RGPD : « Un non évènement ». Et pourtant, en France début 2018, on est mal !

Pourquoi  ?

À compter du 25 mai 2018, la mise en application du RGPD – Règlement Général sur la Protection des Données (ou GDPR – General Data Protection Regulation), sera obligatoirement appliquée, et voici ce qu’elle impliquera :

RGPD : les points à respecter

1. Le consentement renforcé et la transparence

Ce n’est pas un problème en French-Road

Les données sont nativement de la propriété des personnes. Cela signifie que vous accordez vous-même l’accès à vos données, explicitement. Les personnes autorisées viennent les « consommer » là où elle sont stockées. De plus, chaque citoyen sait quand ses données sont regardées/consommées, comment et par qui. Il peut contrôler à tout moment leur usage, car on vient obligatoirement les chercher chez lui. Ce faisant, cela laisse une trace indélébile dans votre espace privé DLT* (journal distribué de type blockchain).

2. Le droit à la portabilité

Ce n’est pas un problème en French-Road…

Le RGPD impose de pouvoir récupérer ses données sous une forme facilement réutilisable pour pouvoir, facilement les transférer.

Vos données sont à vous, chez vous, et lisibles dès que vous êtes authentifiés, tout simplement. Elles sont rangées de façon décentralisées dans les différents systèmes d’information par famille (ministères). Par exemple, vos données d’identification seraient a priori stockées sur plusieurs nœuds de réseau, et exposées par tout organisme habilité. La grande confiance qui est offerte est que cet organisme ne peut absolument pas accéder à vos données sans laisser une trace dans votre DLT1. C’est ça qui induit de la confiance numérique : si quelqu’un accède à vos données sans votre consentement, vous le voyez, immédiatement, vous pouvez porter plainte immédiatement.

3. Les mineurs

Ce n’est pas un problème en French-Road…

À la naissance, les enfants sont enregistrés avec l’ID du ou des parents. Les parents disposent d’un ensemble d’enregistrements numériques équivalant au livret de famille. Chaque membre de la famille a un ID, mais les enfants mineurs sont inscrits sur la data de la personne morale « Parent », qui peut être mono parentale.

4. Le droit à réparation

Ce n’est pas un problème en French-Road…

Le droit à réparation du préjudice subi en cas d’intrusion, de vol ou de mauvaise utilisation des données est conforté grâce au renforcement de la preuve.

En X-road, l’atteinte aux données est gravée indélébilement dans le DLT «Journal privé distribué » du citoyen et fait office de preuve opposable.

En outre, le citoyen saura également si le responsable de traitement a respecté son obligation d’informer la CNIL de toute violation de ses données dans les 72 heures.

5. Le droit à l’oubli

Ce n’est pas un problème en French-Road…

Si toutes vos données personnelles sont rangées dans votre espace privé (crypté) et échangées sur des routes sécurisées (garanties par l’État), alors il ne reste plus de possibilité aux moteurs de recherche de référencer vos données. Bien sûr, le web hors X-Road pour aller sur Facebook ou Google… continue d’exister. Vous avez la possibilité d’y mettre vos données, avec les mêmes risques qu’aujourd’hui. Donc vous ne le ferez plus et utiliserez des avatars bidons pour profiter de Maps, Drive ou Gmail. Ces produits non sécurisés s’assècheront et deviendront payants pour continuer à exister, car jusqu’à présent le produit c’était vous.

6. Le principe de « privacy by design »

Ce n’est pas un problème en French-Road…

Le modèle X-Road met en œuvre le principe de « minimisation ». En effet, les seules données qui transitent par le réseau sont celles réellement utiles au service qui les consomme. Pour cela, X-Road utilise des ACL2, liste exhaustive de données nécessaires et suffisantes pour filtrer la data homogène requêtée par une API. Cela favorise le respect du « principe d’accountability »3 du RGPD.

Les principes RGPD en X-Road en résumé…

Principe 1 : Les données ne doivent pas être stockées ailleurs que là où elles sont produites. X-Road organise leur mise à disposition sous forme de web-service ou API ultra sécurisés en https à travers le web, selon le principe de « secutity by default« .

Principe 2 : Les données sont consommées avec l’autorisation du propriétaire. Toute consommation est indélébilement notifiée en DLT du propriétaire (DLT = Journal distribué de type blockchain)

Principe 3 : Les données sont consommées à la demande depuis leur source par le service, puis soumises à l’algorithme de traitement dans l’instant, et relâchées dans l’instant d’après (donc non stockées localement).

Principe 4 : Une donnée complexe doit être filtrée lors de sa consommation, avec des listes atomiques des données à filtrer (ACL en X-ROAD).

Alors ?
Avez vous toujours aussi peur de RGPD ?
En X-Road… pas nous !

Emmanuel PESENTI
Président French-Road

Rédigé avec François CAMPANA et la participation de Karl VERGER, Grégoire DAVID et Xavier SCHNEIDER

____________________

Distributed Ledger Technology

2 Access Control List. Une ACL est constituée de l’identifiant d’un membre (ID, sous système) et d’un ID de service (nom du service, version)

3 Le principe d’accountability défini par la CNIL désigne « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».


2 commentaires

Jean-Marc Rolland · 9 mars 2018 à 21 h 28 min

Excellent, j’adore la présentation «  » »Ce n’est pas un problème en French-Road… «  » » 😎

Laurent de BERLHE · 21 avril 2018 à 21 h 58 min

Site superbe, très fluide, j’aime le « French-Road se déploie » !
La FAQ déjà bien fournie…
Une page d’accueil épurée.
Et sur la RGPD « Ce n’est pas un problème en French-Road » c’est un très bon leitmotiv !!!
BRAVO !!!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.