Le code monétaire et financier régit les exigences auxquelles doivent répondre les solutions de tenue des registres dématérialisés de mouvements de titre, dits « dispositifs d’enregistrement électronique partagés ».
"Le dispositif d'enregistrement électronique partagé mentionné au deuxième alinéa de l'article L. 211-7 est conçu et mis en œuvre de façon à garantir l'enregistrement et l'intégrité des inscriptions et à permettre, directement ou indirectement, d'identifier les propriétaires des titres, la nature et le nombre de titres détenus.
Les inscriptions réalisées dans ce dispositif d'enregistrement font l'objet d'un plan de continuité d'activité actualisé comprenant notamment un dispositif externe de conservation périodique des données.
Lorsque des titres sont inscrits dans ce dispositif d'enregistrement, le propriétaire de ces titres peut disposer de relevés des opérations qui lui sont propres."
Ainsi, s'agissant de la conservation des données des mouvements de titres, le texte susvisé impose :
que le dispositif puisse garantir l'intégrité des données.
qu'un plan de continuité d'activité impliquant la sauvegarde dans un dispositif externe de conservation des données soit mis en place.
Deux solutions techniques sont proposées actuellement sur le marché : l’utilisation d’une blockchain ou un service d'archivage électronique sécurisé. Mais ces deux solutions apportent-elles les mêmes garanties ? Permettent-elles de répondre strictement aux exigences fixées pour la tenue des registres de mouvements de titres dématérialisés ?
Exigence de garantie de l'enregistrement et de l'intégrité des inscriptions
Cette exigence posée à l'alinéa 1 de l'article R211-9-7 du code monétaire et financier implique que les données des registres ne puissent être modifiées / altérées de manière à garantir que le registre dématérialisé reflète fidèlement les opérations réalisées.
Les deux technologies de blockchain et de service d'archivage électronique ne semblent pas apporter les mêmes garanties :
1.1. L'intégrité des données conservées dans la blockchain peut-elle être garantie ?
La blockchain est une technologie de stockage et de transmission d’informations.
Cet ensemble est composé d’une chaine de blocs liés les uns aux autres, chaque bloc comportant une ou plusieurs transactions, et cette chaine est recopiée sur l’ensemble des serveurs (appelés nœuds) du réseau ce qui garantit en principe l’immuabilité du registre.
Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création. Il faut différencier deux types de blockchain : les blockchains publiques ouvertes à tous, et des blockchains privées, dont l’accès et l’utilisation sont limitées à un certain nombre d’acteurs.
1.1.1 Hypothèse de l'utilisation d'une blockchain publique
Une blockchain publique repose sur un véritable système décentralisé (réseau ouvert) de manière à ce que n’importe quel utilisateur et participant au réseau puisse soumettre une transaction et devenir utilisateur et acteur du réseau en hébergeant un nouveau nœud.
Le principal avantage d’une blockchain publique réside indubitablement en sa transparence : Elle est ainsi non restrictive, ne requiert aucune autorisation (« permissionless ") pour inscrire des données et être consultée et apparait ainsi plus résiliente et résistante à la censure qu'une blockchain privée.
Les blockchains publiques nécessitent des règles de consensus qui reposent sur une incitation économique (cryptomonnaie) pour les nœuds faisant fonctionner le réseau.
S'agissant de la sauvegarde sur une blockchain publique des données de registres légaux :
La sauvegarde consiste en l'inscription sur la blockchain publique d'un hash (empreinte numérique) de la transaction saisie sur la plateforme de tenue des registres légaux. Un hash est une série de lettres et de chiffres sans aucune signification textuelle et ne permet aucunement de déduire les données d’origine.
Ainsi, ce ne sont pas les informations de la transaction elle-même, ni documents associés, qui sont sauvegardés, mais l'empreinte correspondant à ce lot de données.
Grâce à cette action, dite « ancrage », il est possible par la suite de comparer les informations figurant dans la solution de tenue des titres, en recalculant leur empreinte, avec l’empreinte inscrite sur la blockchain. Compte tenu de l’impossibilité théorique d’avoir deux empreintes identiques correspondant à deux données différentes, la comparaison démontrera la validité des données, ou permettra de détecter une éventuelle modification, respectant dès lors l’exigence d’intégrité pour ces données.
Or, pour vérifier une empreinte dans la blockchain, il est nécessaire de connaître la série de lettres et de chiffres qui la composent. Il n’est pas possible en effet de retrouver les informations relatives à un mouvement de titre dans une blockchain autrement que par l’empreinte exacte.
Un problème se pose alors si les données sont modifiées ou altérée sur la plateforme de registres dématérialisés : Si les données sont malencontreusement (ou sciemment) effacées par un administrateur de la solution ou par un piratage, le hash correspondant ne sera plus disponible pour l'utilisateur et l'on ne saurait le retrouver par conséquent retrouver l'empreinte sur la blockchain.
Ainsi, l’utilisation d’une blockchain publique permet certes de garantir l’intégrité d’un enregistrement inscrit dans le dispositif d’enregistrement elctronique partagé (tant qu’il y figure) mais ne permet pas de garantir l’intégrité de ce dispositif dans son ensemble.
1.1.2 Hypothèse de l'utilisation d'une blockchain privée
Une blockchain privée s'appuie sur un système partiellement ou totalement centralisé (réseau fermé) où l'autorisation d'un tiers de confiance est nécessaire pour interagir et soumettre des transactions. Ainsi, un membre d’une telle blockchain pourrait avoir uniquement la permission pour lire les informations présentes sur la base de données là où un autre membre aurait la permission d’y inscrire des opérations.
On ne peut retrouver dans une blockchain privée la transparence et résistance à la censure des blockchains publiques. Constituée de moins d'acteurs et de noeuds, la blockchain privée est également moins sécurisée car ses administrateurs peuvent s'entendre pour supprimer des données.
S'agissant de la sauvegarde sur une blockchain privée des données de registre légaux :
Comme pour la blockchain publique, la sauvegarde consiste en l'inscription sur la blockchain d'un hash (empreinte unique d'identification) de la transaction saisie sur la plateforme de tenue des registres légaux, et non de l'inscription et sauvegarde de documents.
A la différence de la blockchain publique les administrateurs de la blockchain privée peuvent décider de modifier ou effacer des empreintes inscrites sur la blockchain.
Ainsi, et à plus forte raison que pour la blockchain publique, l'intégrité des données ne peut être garantie lorsque l'inscription est réalisée sur une blockchain privée.
Cette solution technologique utilisées par les plateformes de gestion de registres dématérialisés ne répond donc pas à l'exigence de garantie de l'intégrité des données fixée à l'article R211-9-7 du code monétaire et financier.
1.2. L'intégrité des données conservées dans un système d'archivage électronique sécurisé peut-elle être garantie ?
Le Système d’Archivage Electronique (SAE) permet d’archiver les métadonnées et documents sur le long terme (maintien de la valeur probante et de leur lisibilité) et d’y accéder à tout moment et en toute sécurité.
Le SAE a spécifiquement pour objectif de garantir l’intégrité des documents grâce à un processus unique en quatre étapes appliqué lors du versement des archives :
Validation au moment du dépôt du document et des données : vérification des métadonnées définies comme obligatoires sont bien indiquées afin de garantir que le document sera identifiable et retrouvable via celles-ci. La vérification du format et de la taille permet d’assurer la lisibilité du document dans le temps.
Construction de l'archive : attribution d'une date certaine au document et attribution d'un Identifiant Unique d’Archive (IUA).
Scellement de l’archive : Elle permet de rendre l’archive non-modifiable et de tracer toutes les actions effectuées sur le document.
Fin du processus de versement : Le document est écrit simultanément sur 4 supports répartis sur deux sites distants actif-actif, ce qui vous permet de disposer de 4 originaux d’archives.
Cette intégrité est toujours garantie : l’empreinte numérique scellée dans l’archive est contrôlée à chaque consultation garantissant ainsi que l’objet d’archive présenté est bien identique à celui déposé.
S'agissant de la sauvegarde dans un SAE des données de registre légaux :
La sauvegarde des données des registres est réalisée auprès du SAE selon le processus précité afin de garantir l'intégrité des documents et des données.
A la différence de l’inscription de l’empreinte numérique des données dans une blockchain, l’utilisation d’un service d’archivage électronique sécurisé permet de garantir l’intégrité du dispositif d’enregistrement électronique partagé dans son ensemble.
En effet :
Toutes les données, y compris les documents éventuels, sont archivés ;
Chaque information figurant dans le dispositif d’enregistrement électronique partagé peut, à tout moment, être comparée avec les informations figurant dans l’archivage (même principe ici que l’empreinte avec la blockchain) ;
Si une donnée venait à disparaître de la solution, il sera toujours possible de comparer les données figurant dans le dispositif d’enregistrement électronique partagé et les données figurant dans l’archivage ;
Si l’administrateur de la solution demandait au service d’archivage d’effacer les données préalablement archivées, cette suppression serait tracée, permettant ainsi de respecter le principe d’intégrité.
Exigence d'un plan de continuité d'activité impliquant la sauvegarde dans un dispositif externe de conservation des données soit mis en place.
Cette deuxième exigence fixée par l'article R211-9-7 du code monétaire et financier implique que les données, sauvegardées dans un dispositif externe, demeurent accessibles de manière permanente.
Elle implique a fortiori que la solution de registre dématérialisé garantisse cet accès permanent en toutes circonstances, y compris dans l'hypothèse catastrophe de sa propre disparition technique ou économique.
2.1. Le plan de continuité d'activité peut-il être garantie par la sauvegarde des données conservées dans la blockchain ?
Il convient de rappeler que :
seule une empreinte numérique de la transaction saisie sur la plateforme de tenue des registres légaux est « ancrée » sur la blockchain (et non les informations de la transaction elle-même ou les documents associés) ;
l’empreinte numérique est une série de lettres et de chiffres sans aucune signification textuelle, qui ne permet aucunement de déduire les données d’origine et les information de la transaction opérée.
Si les données ou la solution de registre dématérialisés utilisant la blockchain disparait, aucun plan de continuité ne peut être assuré.
La blockchain seule saurait ainsi répond pas à l’exigence posée par l’article R211-9-7 du CMF d’un dispositif externe de conservation périodique des données.
2.2. Le plan de continuité d'activité peut-il être garantie par la sauvegarde des données conservées dans un système d'archivage électronique sécurisé ?
Quand le dispositif externe de sauvegarde des données saisies sur la solution de registres est un système d'archivage électronique (SAE), les documents archivés et les éléments de preuves de chaque document archivé sont accessibles et consultable en ligne 24h sur 24 et 7j sur 7 non seulement sur la solution mais également directement auprès du SAE : Vous pouvez à tout moment avoir accès aux fichiers de preuve archivé : les données de scellement au format XML, à l’attestation de conformité, au journal de cycle de vie.
Ainsi, la solution de registre dématérialisée reposant sur un SAE permet de garantie de plan de continuité d'activité exigé par la loi, car même dans l'hypothèse de la disparition ou d'inaccessibilité de la solution, les données des registres sont accessibles et consultables auprès du SAE.
Pour toutes ces raisons, VIKTA a décidé d'utiliser comme dispositif de sauvegarde externe pour vos registres légaux dématérialisés un système d'archivage électronique sécurisé et non la blockchain.
Comments