Introduction
Article original par May Pang, Responsable de la Conformité.
Lorsque les protocoles DeFi se heurtent au droit à l’oubli prévu par le RGPD, et que les plateformes NFT sont confrontées au droit de retrait des données instauré par le CCPA, l’industrie de la blockchain se retrouve dans une collision dramatique entre l’idéal de décentralisation et la réalité réglementaire. Selon un rapport de Chainalysis, les amendes imposées à des entreprises blockchain dans le monde entier, en raison de non-conformités aux normes de confidentialité, ont connu une hausse de 240 % d’une année sur l’autre en 2023. Cet article explore comment les projets blockchain peuvent développer une stratégie de conformité efficace à l’ère du Web3.
Avec l’importance croissante des problématiques de confidentialité des données, le CCPA de Californie, la PIPL de Chine et le RGPD de l’UE sont devenus trois régulations représentatives à considérer. Bien que leur objectif commun soit de protéger les données personnelles, leur portée et leurs exigences spécifiques diffèrent considérablement. Le RGPD se révèle être le plus complet, offrant aux utilisateurs un droit à l’oubli et un droit à la portabilité des données. La PIPL impose des exigences strictes pour les transferts de données transfrontaliers, tandis que le CCPA favorise la transparence.
Le paradoxe de l’immutabilité et du droit à l’effacement
La caractéristique fondamentale de la blockchain, son immutabilité, est en conflit direct avec le droit à l’effacement prévu par les régulations en matière de confidentialité. Voici quelques solutions techniques explorées :
1.1 Réseau de souveraineté des données utilisateur : Protocole Ceramic
L’idée centrale est de découpler les données sensibles de la blockchain, ne conservant que des hachages. Les utilisateurs contrôlent leurs données originales, et la destruction de la clé privée rend l’accès aux données impossible.
1.2 Suppression logique : Arweave + ZK-Rollup
Cette méthode utilise un stockage permanent et une couche de conformité ZK-Rollup pour atteindre une invisibilité logique des données supprimées.
1.3 Permissions dynamiques sur chaînes de consortium : ensembles de données privées de Hyperledger Fabric
Cela permet aux membres d’une alliance d’avoir la possibilité de supprimer des données sensibles de manière dynamique.
1.4 Couche de confidentialité programmable : Mécanisme d’Option de Retrait d’Aleo
Cette méthode soutient une divulgation sélective avec une intervention réglementaire via des preuves à divulgation nulle.
Équilibre entre anonymisation et KYC
Les réglementations imposent des exigences strictes en matière d’anonymisation tout en requérant la vérification KYC. Voici trois solutions :
2.1 ENS + Identité Décentralisée (DID)
Cette méthode utilise ENS comme identifiant d’identité lisible, combinée à des protocoles d’identité décentralisés.
2.2 Polygon ID : Preuve à divulgation nulle (ZKP)
Cela permet aux utilisateurs de prouver leur conformité sans révéler d’informations personnelles.
2.3 Cadre TRUST de Circle
Ce protocole permet le partage sécurisé des données KYC sans exposition publique des identités.
Contrats intelligents et droits des sujets de données
Les contrats intelligents doivent respecter les droits des utilisateurs concernant leurs données. Voici deux solutions :
3.1 Aave : mécanisme d’évaluation d’impact sur la protection des données (DPIA)
Cela impose que les changements impliquant des données utilisateur soient votés par les membres de la DAO, avec une analyse d’impact requise.
3.2 Filecoin : mise en œuvre d’une gestion automatisée du cycle de vie des données
Filecoin permet la suppression et l’expiration automatiques via des contrats intelligents, garantissant que les données ne sont conservées que tant que nécessaire.
Perturbation de la transmission transfrontalière de la PIPL
Avec l’entrée en vigueur de la PIPL, des changements fondamentaux surviennent pour les entreprises chinoises. Voici quelques innovations :
4.1 Modèle de bac à sable réglementaire de Changan Chain
Cette architecture à deux niveaux permet de respecter les exigences de la PIPL tout en offrant des solutions pour le stockage de données.
4.2 Oasis Network Cadre de Confidentialité
Oasis est le premier projet blockchain étranger à réussir l’évaluation de sécurité de la PIPL, en utilisant la technologie TEE.
4.3 Plateforme Trusple d’Ant Chain
Trusple combine contrats intelligents et contrats standards pour assurer une conformité automatique.
Conclusion
L’intégration de la blockchain et des régulations sur la confidentialité nécessite une approche collaborative. Comme l’a dit Vitalik Buterin, “La prochaine génération de protocoles de confidentialité doit avoir la conformité intégrée dans son ADN.” Les projets qui traduisent les exigences réglementaires en fonctionnalités techniques définissent un nouveau paradigme pour l’ère Web3.
