Blockchain : le délicat chemin de la confiance
Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée...
Aujourd'hui, Eric A. Caprioli nous exposent les forces et les faiblesses des blockchains.
Les forces
LA Blockchain (BC) est une technologie et il ne faut pas la confondre avec UNE blockchain dédiée à un projet. La BC est un registre distribué de façon décentralisée et partagé. Elle repose notamment sur deux technologies reconnues : échanges en peer-to-peer et cryptographie asymétrique. Les blockchains se déploient dans divers secteurs d’activité : banque, finance, gestion des droits de propriété intellectuelle, registre foncier, état civil, gestion des données de santé, etc. A la vérité, il existe des blockchains distinctes : publiques (ex : Bitcoin ou Ethereum), privées ou hybrides (R3 CEV qui regroupe 25 banques internationales) ou de consortiums (LaBChain de la CDC).
Sa force réside sans doute dans cette diversité. En principe, avec la clé privée, on signe la transaction, et il est fondamental de la conserver secrète. Or, le risque majeur consiste précisément en la conservation sécurisée de la clé privée par le titulaire, puisque sa disparition entraînera soit la perte de monnaie virtuelle (ex : bitcoin ou litecoin ou namecoin), soit l’impossibilité de signer des contrats ou des transactions ce qui pourra être réalisé par celui (l’usurpateur) qui aura la possession (indue) de la clé.
Les faiblesses des blockchains publiques
Après la faillite de MtGox en 2014, où 850.000 Bitcoins ont disparu suite à une fraude interne, puis, toujours en 2014, de Flexcoin, intermédiaire spécialisé dans l’échange et le stockage de Bitcoins, fermée après le vol de 600.000 US$ (en Bitcoins) et la faille de The DAO en juin 2016, le 6 août 2016, c’est au tour de Bitfinex d’être volé de 119.756 Bitcoins. On peut dès lors s’interroger sur l’organisation de la sécurité dans ces BCs. Dans le cas Bitfinex, la plate-forme d’échange de Bitcoins n’assurait aucun stockage hors ligne et laissait à chaque détenteur le soin de sécuriser ses Bitcoins.
Ainsi, la sécurité est fondamentale à deux niveaux : pour ce qui concerne la gestion de la BC elle-même et pour les utilisateurs titulaires de crypto-monnaie ou d’autres valeurs économiques (ex : titres, valeurs). Car dans la BC publique, il n’y a pas de mécanisme de révocation de clé tel que cela existe dans les infrastructures de gestion de clés (Liste de Certificats Révoqués ou OCSP) étant donné qu’il n’y a pas d’autorité de certification centralisée. Aussi, comment gérer les crypto-périodes des clés (période de sa validité) sans politique de certification sachant que la durée de vie de la clé dépendra aussi des avancées technologiques. D’ailleurs, on peut se demander ce qu’il se passera lorsque les algorithmes de hachage utilisés seront affaiblis dans la durée (ex. SHA 256 horizon 15 ans) permettant de générer une collision ? A la lumière de la crise de "The DAO" de juin 2016 ou la dernière en octobre 2016 (attaque DDos/saturation de la BC) qui décide de ce qu’il faut faire et quand ? Quid de la migration des algorithmes cryptographiques pendant la crypto-période ? Les questions de l’organisation et de l’exercice des pouvoirs (quelle personne morale, qui dispose des droits, quels pouvoirs, quelles règles de majorité ?) doivent être posées dans de nombreuses BC.
Blockchain et services de confiance
Le règlement européen eIDAS sur l’identité et les services de confiance contient à la fois des règles juridiques et des normes techniques de sécurité. De plus, il est non moins essentiel que les transactions réalisées dans la blockchain répondent aux nouvelles exigences du code civil, spécialement en matière de contrats, preuve et signature électroniques.
- Identification et anonymat : A défaut, d’identification, le contrat pourrait être privé de ses effets juridiques voire être annulé. Dans les BC publiques, l’identité est auto-déclarée, la clé n’étant pas certifiée par une autorité de certification. De plus, l’authentification du titulaire repose sur l’adresse qui est connue (clé publique) et qui se trouve dans la transaction figurant dans le bloc attestant que telle transaction a bien été réalisée et vérifiée. Dès lors, comment bénéficier d’une signature électronique avancée (art. 26-a)) ou qualifiée ?. L’anonymat des parties pose des problèmes juridiques connexes, tels que par ex. intérêt à agir, mise en jeu des responsabilité et des garanties.
- Horodatage : Ce service est fondamental pour assurer la traçabilité et la validation des blocs, il ne semble pas que les BC suive les règles et normes énoncées dans le règlement eIDAS (TSP / RFC 3161).
- Preuve : A l’évidence, les preuves (de travail ou de participation) ne sont pas des preuves d’actes juridiques conformes au code civil, sauf en ce qui concerne la preuve libre (faits juridiques ou contrats inférieurs à 1.500 euros) ou si un texte en dispose autrement.
- Sécurité : En vertu de l’article 19 du règlement, les prestataires de services de confiance (PSCo) sont tenus de prendre des mesures garantissant que le niveau de sécurité est adapté pour assurer la gestion des risques, de notifier les failles de sécurité et les violations de données personnelles ou pour les PSCo qualifiés de disposer d’un plan de continuité d’activité (art. 24-2, i).
Blockchain et vie privée
Le "droit à l’oubli" que l’on retrouve à l’article 17 du règlement du 27 avril 2016, prévoit que les individus peuvent demander l’effacement de certaines données les concernant. Ce principe a été consacré par la Cour de justice de l’UE dans l’affaire Google Spain du 13 mai 2014. Dans le cadre de la blockchain, l’application de ce principe est prise en défaut du fait même de la technologie utilisée. En effet, la blockchain est un registre public qui suppose la conservation des données dans le registre sans possibilité de les effacer. Cette conservation est sans limite. D’ailleurs, cela interroge sur qui doit procéder aux formalités et plus généralement qui est le responsable de traitement ? Comment établir une durée de conservation si la blockchain ne le prévoit pas ? Et quelles sont les mesures de sécurité ?
N’oublions pas que le droit est la première science d’organisation et par conséquent, l’organisation d’une BC doit reposer sur des règles juridiques (statuts, règlement intérieur). Quand le droit et la technique sont l’écho l’un de l’autre, ils contribuent ainsi à la sécurité et la confiance. Si tout est fondé sur la seule technique – "Code is Law" – alors le déséquilibre est flagrant, la sécurité ne peut être assurée et la défiance risque d’apparaître.
Par Eric A. Caprioli,
Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
