Confidentialité et effacement
Agreely est bâti pour que prouver le consentement n'exige pas de détenir les données, et pour qu'effacer le consentement détruise la déclaration lisible plutôt que de le promettre. Cette page couvre deux droits distincts qu'il est facile de confondre, ainsi que la destruction de clé qui soutient l'effacement de la propre copie d'Agreely.
Le retrait n'est pas l'effacement
Deux droits différents se cachent derrière « cessez d'utiliser mes renseignements », et Agreely les tient séparés à dessein.
- Le retrait (article 8) met fin à un consentement actif. Il fait passer
l'enregistrement d'application à
revoked, et la toute prochaine vérification refuse. Le retrait conserve délibérément un registre : leconsentRef, le reçu et l'engagement ancré subsistent tous, car pouvoir prouver qu'un consentement a existé puis a été retiré est précisément la reddition de comptes qu'exige la Loi 25. - L'effacement (article 23) est une demande de destruction. Ce n'est pas un changement de statut : il détruit par la clé la propre copie lisible qu'Agreely détenait pour la cellule et produit une demande que l'entreprise doit honorer dans ses propres systèmes. Agreely ne peut pas atteindre votre base de données, de sorte que l'effacement est la part d'Agreely plus votre obligation, et non un seul interrupteur.
L'effacement, c'est la copie d'Agreely plus votre obligation
Effacer une cellule détruit la déclaration lisible qu'Agreely détenait pour elle. Cela n'atteint pas, et ne peut pas atteindre, les propres systèmes de l'entreprise. L'entreprise demeure le responsable de la protection des renseignements personnels pour les renseignements qu'elle détient et doit honorer l'effacement dans ses propres registres. Voir frontières honnêtes.
L'effacement par destruction de clé
Agreely met en oeuvre l'effacement de sa propre copie par cellule, comme une destruction de clé. Chaque cellule de consentement est liée par un engagement :
commitment = keccak256( JCS(claim) || salt32 )
Le salt de 32 octets est le seul secret de la cellule et la seule chose qui rend
l'engagement réversible vers la déclaration. Effacer une cellule détruit ce sel
(et les lignes de déclaration lisibles qui l'entourent), tout en conservant le
commitment afin que les cellules survivantes du même consentement continuent de
se vérifier par rapport à la racine de Merkle. La
vérification synchrone refuse par défaut
à l'instant où la transaction d'effacement est validée.
La frontière honnête
Il est tentant d'affirmer que l'effacement est instantané et total partout. Il ne l'est pas, et Agreely énonce la frontière clairement plutôt que de surpromettre.
L'affirmation exacte que fait Agreely
Base de données en service anonymisée immédiatement (aucune déclaration lisible de catégorie ou de finalité ne survit); destruction physique complète à l'intérieur de la fenêtre de conservation documentée.
Concrètement, à l'instant où la transaction d'effacement est validée :
- le sel a disparu de la ligne en service, de sorte que le
commitmentconservé est un hachage à sens unique qui n'est pas réversible vers la déclaration; - la ligne de déclaration lisible (le texte en clair de catégorie/finalité) est supprimée;
- la vérification synchrone refuse par défaut et le tableau de bord ne liste plus la cellule.
Ce qui subsiste encore, jusqu'à ce que la fenêtre de conservation s'écoule, est un
résidu illisible qui ne porte aucune déclaration de catégorie ou de finalité :
l'engagement sur la chaîne est un orphelin dont le sel est détruit, et le lien qui
demeure relie un DID à un consent_ref aléatoire opaque qui ne révèle rien. La
destruction physique complète s'achève à l'intérieur de la fenêtre de conservation
documentée.
Ce qu'Agreely n'affirme PAS
Agreely n'affirme pas « détruit de façon irréversible partout et en tout temps », et il ne dit pas à une personne « Agreely ne peut pas lire vos données ». Le libellé présenté au citoyen est délibérément plus restreint : « Agreely détruit son registre de ce consentement; ce qui demeure sur la chaîne est un orphelin illisible. » Le libellé exact, qui distingue la dépersonnalisation (article 12), état intermédiaire réversible, de l'anonymisation ou de la destruction (article 23 al. 2 à 3), est révisé par un conseiller juridique en protection de la vie privée avant le lancement.
Pourquoi le résidu ne porte aucune identité
L'effacement peut conserver un lien consent_ref-vers-DID comme frère de Merkle
sans que ce résidu porte une quelconque identité lisible, parce que le
consent_ref est une valeur aléatoire fraîche et opaque qui ne révèle rien sur
l'identité de la personne. Cette propriété est la
non-corrélation, et c'est elle qui permet à
Agreely de conserver la preuve cryptographique d'un consentement tout en
détruisant sa forme lisible. Le compte rendu complet, y compris la frontière
précise de ce que la non-corrélation cache et ne cache pas, se trouve sur sa propre
page.
Vérifiabilité indépendante
Rien de tout cela n'exige de faire confiance à Agreely. Les artéfacts que détient une personne ou un auditeur, soit le reçu, les documents DID et l'ancrage sur la chaîne, suffisent à vérifier un octroi de bout en bout. Voir la recette de vérification.
Ensuite
- Non-corrélation : le modèle complet de non-corrélation entreprise/citoyen.
- Frontières honnêtes : pourquoi « détruit partout et en tout temps » est une affirmation qu'Agreely refuse de faire.