Retour Actualité des adhérents
Blockchain et eIDAS 2.0 : le point de vue de Gilles Cadignan, CEO de Woleet
Gilles Cadignan, CEO et fondateur de Woleet, solution de signature électronique via la blockchain, explique pourquoi il se montre déçu par eIDAS 2.0, notamment sa définition du registre électronique, et ce que ce règlement européen peut changer dans le secteur de la blockchain.
La deuxième mouture du règlement eIDAS devrait consacrer les registres électroniques, et donc la blockchain, comme service de confiance. Pour vous, et pour Woleet, c’est une bonne nouvelle ?
Pas réellement… Pour moi, ce texte ne va pas dans le bon sens. Le nouveau règlement eIDas parle de registre électronique avec une « gouvernance plus décentralisée », ce qui va à l’encontre du principe même de la blockchain : un registre complètement décentralisé, que personne ne contrôle. Cette réglementation va donc faire la part belle aux structures privées, aux blockchain privées. Personnellement, j’aurais aimé que la propriété d’horodatage de bitcoin soit consacrée, avec une valeur probante. Ce n’est pas le choix qui a été fait, les blockchains publiques sont un peu exclues de ce nouveau texte, alors que les blockchains privées pourront être certifiées. On s’éloigne de l’invention qui cherche à minimiser la confiance qu’on porte dans un acteur en particulier, pour un système ouvert, et consultable par tous. C’est assez symptomatique, comme l’oraison funèbre de la blockchain récemment sur un média… Contrairement à ce qu’on entend parfois, une blockchain n’est pas une base de données gérée par des tiers, ce vocabulaire écarte de nombreux usages technologiques de la blockchain.
Cette définition de la blockchain répond aussi à un problème de responsabilité juridique : qui est responsable d’une blockchain publique ?
Oui je saisis bien, mais c’est une erreur de vouloir trop étendre la responsabilité. Il suffit de comprendre comment l’on utilise une blockchain publique : chez Woleet par exemple, nous lions à un block, l’empreinte numérique d’une donnée confiée par nos clients, nous créons le lien. Il y a une constatation de ce lien, et ça s’arrête-là. Nous avons un rôle d’agrégation, mais nous ne gérons pas le résultat final, puisque la blockchain est autonome, toute l’invention réside dans ce procédé… Ce que ce texte, et les législateurs plus globalement, ne parviennent pas à saisir.
Dans le cas d’une blockchain privée, il est normal que les acteurs aient une responsabilité très large, puis qu’ils sont responsables de la blockchain. Cette large responsabilité leur permettra d’être certifiés, mais je trouve dommage d’avoir éradiqué les consensus autonomes distribués de cette législation, alors que c’est précisément l’innovation de la blockchain.
Les blockchains privées essaient de faire quelque chose qui ressemblent à de la décentralisation, c’est le cas pour IBM par exemple. Des consortiums d’entreprises font des nœuds… Mais dans les faits, c’est très compliqué. Plus il y a d’acteurs au sein d’une blockchain privée, plus la gestion de l’infrastructure est difficile.
Sur bitcoin, il y a un niveau d’immuabilité et de robustesse qui est prouvé, avec un audit constant, et dans dix ans, la donnée sera toujours disponible et vérifiable, c’est capital pour nous qui agissons dans le domaine de la preuve. C’est le moins le cas avec d’autres blockchains, avec lesquelles il est parfois difficile de vérifier ce qui a été enregistré il y a cinq ans, souvent à cause de changements de consensus. Mais il ne faut pas mettre tous les « ledger » (les registres distribués) au même niveau, tous ont des compromis différents, des mécanismes différents.
Les services liés à la blockchain vont se développer grâce à ce nouveau règlement européen selon vous ?
Non, je ne pense pas. D’ailleurs une entreprise estonienne Guardtime a réussi à être agréé eIDAS en utilisant la blockchain, avant eIDAS 2.0. C’est un tiers, avec un mécanisme de cryptographie et de confiance, mais qui est une blockchain privée. Pour ce genre d’acteurs, la certification est totalement logique. Mais cette reconnaissance par le règlement eIDAS ne va pas révolutionner le secteur.
Connait-on les exigences pour devenir un prestataire de service de confiance qualifié pour le ledger ?
Non, pas complétement, mais cela devrait a priori ressembler aux exigences connues dans les domaines de l’horodatage ou de la signature électronique. Ce sont des audits de sécurité classique, sur la cryptographie et la cybersécurité. Il est possible également que l’on demande le respect d’une norme ISO, comme la 307 sur les chaines de blocs. Ce texte est en préparation depuis de nombreuses années, mais normaliser des technologies qui ont toutes des mécanismes différents, n’est pas simple…
Woleet a-t-elle pour ambition de devenir PSCO ou PSCQ de ledger ?
Non pas pour le moment, c’est reconnaissance demande un coût assez important et pour l’instant nous préférons développer notre activité, nous sécurisons des millions de données, la technologie est de plus en plus utilisée… Nos preuves se retrouvent même dans des contentieux, Il n’y a pas encore de jurisprudence, mais c’est utilisé. La preuve est effective de facto.
Le temps de compréhension de la technologie par la régulation est trop long. Cela aura lieu, mais plus tard… Et en attendant nous devons travailler. Nous nous intéressons beaucoup par exemple au marché de la facture électronique et de la conformité fiscale. Mais selon Bercy, nous ne rentrons pas dans le processus prévu pour la dématérialisation des factures… Nos technologies peuvent toutefois permettre à des solutions de facture électronique d’être conformes aux exigences de Bercy. Nous ne travaillons pas pour être reconnu, mais plutôt pour aider des solutions à être reconnues.
Le registre distribué va-t-il servir de base pour l’identité numérique, également évoque dans le nouveau règlement eIDAS v2 ?
Il est techniquement possible d’utiliser la blockchain pour créer des identités numériques, nous le faisons d’ailleurs chez Woleet pour lier des identités à des signatures, des possessions de mails ou de téléphones, mais il est possible de faire autrement.
Si l’on parle d’identité au sens régalien, le registre doit être centralisé, avec une autorité qui tient le registre. La blockchain peut aider dans ce but, mais ce n’est pas la solution parfaite. Il y a actuellement beaucoup de projets d’identité décentralisées sur blockchain, notamment ethereum, mais tous les problèmes ne sont pas encore résolus.
La blockchain a été créée au départ pour le bitcoin : eIDAS aura-t-il un effet sur les cryptomonnaies ?
Non pas du tout, les crypto existaient déjà avant eIDAS, et continueront après. La mise en place de ce règlement ne va ni aider ni handicaper les monnaies numériques, qui se sont développées en parallèle de toute réglementation, il y a d’ailleurs une incompatibilité presque théorique, de principe, entre les cryptomonnaies et la régulation… C’est également un problème politique : après une opposition presque frontale à toute monnaie numérique, la Banque centrale a lancé son projet, qui constituait d’abord une réponse à Meta et à son projet Libra. Mais aujourd’hui, on ne sait pas encore quelle forme prendra l’euro numérique, on en revient à un vieux débat entre jacobins et girondins, entre centralisation et décentralisation…