Selon lui, plusieurs institutions financières du Canada permettent à leurs données de sortir du pays, ces données étant sécurisées par des technologies d’encryptage. Certaines sociétés d’infonuagique, ou cloud, par exemple, ont créé des infrastructures selon des spécificités très particulières afin d’entreposer des données.
«Dans la blockchain, comme on ne parle pas d’un contrat avec une seule tierce partie comme c’est le cas classique dans notre industrie, les données étant plutôt décentralisées et distribuées auprès de chacun des utilisateurs, il n’y a pas d’entités auprès de laquelle je pourrais exiger des spécificités liées à l’entreposage des données, par exemple en matière géographique», illustre Chadi Habib.
Selon la Loi sur la protection des renseignements personnels dans le secteur privé, une entreprise ne peut héberger de données à l’extérieur du Québec à moins de veiller à ce que le mandataire à qui elle les confie assure un niveau de protection équivalent à celui qu’elle est elle-même tenue de respecter, indique Nicolas Vermeys, professeur agrégé à la Faculté de droit de l’Université de Montréal.
Ceci étant, une entreprise privée, et c’est le cas pour une banque, doit informer son client de l’endroit où son dossier sera détenu ainsi que des droits d’accès ou de rectification.
«Par exemple, si je veux héberger toutes mes données en Chine, je peux simplement l’indiquer dans le contrat, ce qui donne un choix théorique au consommateur de faire affaire avec une autre entreprise, illustre Nicolas Vermeys. Avec le cloud, je sais que mon serveur est situé à telle adresse à New York, alors qu’avec la blockchain, les données sont répliquées sur toute la planète, ce qui complique la tâche pour informer le consommateur du lieu d’hébergement et lui permettre de faire un choix éclairé.»
Défis règlementaires
Même si la technologie de type blockchain a le potentiel d’apporter de nombreux avantages tant pour les consommateurs que pour les participants de marché, des problèmes techniques liés à la confidentialité des données et à la cybersécurité, de même que des obstacles sur les plans de la gouvernance et de la réglementation doivent d’abord être réglés, confirme la Banque du Canada.
Les promoteurs de cette technologie devront nécessairement convenir de règles en matière de gouvernance, ce qui pourrait s’avérer problématique étant donné les intérêts divergents des diverses parties prenantes, a soutenu Carolyn Wilkins, première sous-gouverneure de la Banque du Canada, dans un discours prononcé à Calgary, en juin 2016.
L’Autorité des marchés financiers (AMF) est d’avis que pour voir les avantages de la technologie blockchain se concrétiser et se déployer dans un modèle de masse acceptable pour le régulateur, les règles de gouvernance associées devront respecter certains fondements non négociables de la législation et de la réglementation.
«La protection des renseignements personnels et la cybersécurité constituent des bases importantes de toute infrastructure technologique, que celle-ci soit sous forme de registre distribué, infonuagique ou traditionnelle», précise Sylvain Théberge, directeur des relations médias de l’AMF.
Le choix du registre
Les règles de gouvernance associées aux registres distribués empruntent différentes formes, mais trois modèles qui présentent un profil de risques et d’avantages propre, se distinguent. Il s’agit des registres distribués sans permission, des registres distribués avec permission et des registres distribués hybrides.
L’AMF est d’avis que chacun de ces modèles «essaie d’atteindre un équilibre fonctionnel entre protection des renseignements personnels et transparence, entre immuabilité, irrévocabilité et flexibilité ainsi qu’entre aucun point de défaillance unique et gouvernance efficace».
En matière de protection des renseignements personnels, les registres distribués sans permission impliquent généralement qu’il n’y a aucune transmission ou entreposage de renseignements personnels non cryptés, et l’intérêt concerne uniquement la validation d’un état de fait. Par exemple, dans le cas du bitcoin, le registre distribué conserve uniquement l’historique des transactions effectuées, incluant une identification des émetteurs et des récepteurs.
Concernant les registres distribués avec permission, leur cadre de gouvernance est plus flexible, ce qui leur permet d’entreposer des données plus sensibles. «Il est plus facile de partager des renseignements personnels lorsque les participants se font déjà confiance, par exemple s’il s’agit d’un gouvernement, d’une banque ou d’un intermédiaire de marché pour lequel il existe des règles prudentielles», selon l’AMF.
Les modèles hybrides possèdent certaines caractéristiques des deux précédents et peuvent donc être sans permission pour certains aspects et avec permission pour d’autres aspects. «Il est probable que les cas d’utilisation en finance utiliseront un modèle avec permission ou hybride pour se satisfaire des obligations de protection des renseignements personnels et de cybersécurité», confirme l’AMF.
Un rapport de l’Institut C.D. Howe, publié en février 2017, suggère que les organismes de réglementation devraient se concentrer sur la conception d’un régime de réglementation fondé sur des principes qui fixent des normes de sécurité élevées et qui offre un environnement juridique stable, sans perturber le développement de la technologie.
«Compte tenu de l’incertitude quant à l’évolution de la technologie des chaînes de blocs, il semble raisonnable de se fonder uniquement sur un ensemble relativement restreint de principes directeurs, ce qui permettra à la technologie de se développer de façon flexible, dans des directions différentes, au fil du temps», peut-on y lire.
La question consiste donc à déterminer si la garantie en matière de stockage et de transmission d’informations sécurisées et cryptées, implicite à la technologie blockchain, est suffisante pour considérer que les renseignements personnels sont aussi bien protégés à l’étranger qu’ils le seraient par une loi quelconque.
«Avec la blockchain, la protection technologique viendrait-elle en quelque sorte remplacer la protection juridique ? Certains auteurs sont d’avis que oui, d’autres sont d’avis que non, moi personnellement, je pense que la rédaction actuelle du texte de loi ne permet pas de distinguer si la protection doit être de nature juridique ou technologique», estime Nicolas Vermeys.
Ceci étant, il faut savoir que la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information sont à l’étude pour d’éventuelles modifications, mentionne-t-il.