L’autorité espagnole de protection des données a ordonné à Worldcoin de cesser temporairement de collecter et de traiter les données personnelles du marché. Il doit également cesser de traiter les données qu’il y collectait précédemment.
Le projet controversé de crypto-monnaie blockchain à balayage oculaire, fondé par Sam Altman, a démarré ses opérations sur le marché en juillet dernier, dans le cadre d’un déploiement mondial.
L’autorité espagnole utilise les pouvoirs de « procédure d’urgence » contenus dans le Règlement général sur la protection des données (RGPD) de l’Union européenne pour l’ordonnance de cessation temporaire du traitement des données — ce qui signifie que l’ordonnance peut avoir une durée maximale de trois mois (donc jusqu’à la mi-juin).
« L’Agence espagnole de protection des données (AEPD) a ordonné une mesure conservatoire à l’encontre de la société Tools for Humanity afin de cesser la collecte et le traitement de données personnelles qu’elle effectue en Espagne dans le cadre de son projet Worldcoin, et de procéder au blocage du déjà données collectées », a écrit la DPA dans un communiqué de presse. [in Spanish; this is a machine translation].
Le RGPD réglemente la manière dont les données personnelles des citoyens de l’UE peuvent être traitées et exige que les entités traitant des informations telles que les noms des personnes, leurs coordonnées, leurs données biométriques et autres identifiants disposent d’une base juridique valide pour leurs opérations. Les violations de ce régime peuvent entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial. Les autorités chargées de la protection des données peuvent également exiger l’arrêt d’un traitement illicite, y compris temporairement si elles craignent que les droits des personnes soient gravement menacés, comme c’est le cas ici.
L’AEPD a déclaré avoir reçu plusieurs plaintes concernant Worldcoin depuis que l’entreprise a commencé à opérer sur le marché l’été dernier, notamment concernant le niveau d’informations sur le traitement fourni par Worldcoin ; la collecte de données auprès de mineurs ; et comment le retrait du consentement n’est pas autorisé.
« Le traitement des données biométriques, considéré dans le [GDPR] comme bénéficiant d’une protection particulière, comporte des risques élevés pour les droits des personnes, compte tenu de leur caractère sensible. Par conséquent, cette mesure conservatoire est une décision fondée sur des circonstances exceptionnelles, dans lesquelles il est nécessaire et proportionné d’adopter des mesures provisoires visant à mettre fin immédiatement à ce traitement de données personnelles, à empêcher son éventuel transfert à des tiers et à sauvegarder le droit fondamental au respect de la vie privée. protection des données », écrit-il.
La controverse a entravé les efforts de Worldcoin pour inscrire les gens à un système biométrique exclusif dont les créateurs prétendent qu’il leur permettra d’utiliser un identifiant unique, alias le World ID, pour vérifier leur humanité en ligne. La crypto entre dans le mix car elle fournit des jetons éponymes comme quasi-paiement pour les scans de l’iris qui génèrent l’identifiant unique.
Les préoccupations en matière de vie privée et de protection des données sont nombreuses, compte tenu du caractère sensible des données traitées (scans du globe oculaire) ; la finalité présumée (créer un identifiant unique et irrévocable) ; l’opacité autour des entités responsables du traitement des données des personnes (qui comprennent un mélange d’entreprises à but lucratif et de fondations, y compris un « type d’organisation à but non lucratif » autoproclamé incorporé aux îles Caïmans) ; et l’utilisation de la blockchain et de la cryptographie, pour n’en citer que quelques-uns.
En décembre dernier, l’AEPD a confirmé à TechCrunch qu’elle avait reçu une plainte contre Worldcoin – qu’elle nous avait alors dit qu’elle « analysait ». Nous avons posé des questions à l’autorité aujourd’hui, mais elle semble avoir reçu d’autres plaintes depuis lors, ce qui a conduit à la décision d’activer les pouvoirs de l’article 66 du RGPD.
Le déploiement régional de Worldcoin – qui a pris la forme d’un certain nombre de sites d’analyse contextuelle dans une poignée de marchés européens, y compris sur plusieurs sites en Espagne – a rapidement attiré l’attention des régulateurs européens de la vie privée.
Une enquête a été ouverte par l’autorité française de protection des données l’année dernière. Mais la présence d’une filiale de Worldcoin en Allemagne signifie que l’enquête a été transférée à la DPA de Bavière – les régulateurs ayant déterminé que le mécanisme de guichet unique (OSS) du RGPD était appliqué. (Le communiqué de presse de l’AEPD confirme également : « La société Tools for Humanity Corporation a son implantation européenne en Allemagne. »)
En juillet, la DPA bavaroise a déclaré à TechCrunch que son enquête sur Worldcoin visait à « clarifier les questions concernant la transparence et la sécurité du traitement des données » – notamment si les personnes concernées reçoivent ou non suffisamment d’informations pour bien comprendre le traitement de leurs données et les finalités du traitement ; si les droits des personnes concernées (y compris le droit à l’effacement et à l’opposition ; et la possibilité de retirer leur consentement) sont garantis ; et si l’entreprise a mis en place une protection suffisante contre l’accès non autorisé aux données.
Elle a également déclaré à l’époque qu’elle chercherait à vérifier si Worldcoin avait procédé à une évaluation d’impact sur la protection des données.
Nous avons contacté les autorités bavaroises au sujet de l’état d’avancement de leur enquête et mettrons à jour ce rapport avec toute réponse.
Le fait que les autorités espagnoles aient ressenti le besoin de prendre des mesures unilatérales pour protéger les utilisateurs locaux suggère des divergences d’opinions parmi les APD quant à la meilleure ligne d’action à adopter. Elle pourrait également s’inquiéter du temps qu’il faudra aux autorités bavaroises pour conclure leur enquête.
Au moment de la rédaction de cet article, le site Web de Worldcoin répertorie toujours 29 endroits en Espagne où les gens peuvent subir un scanner du globe oculaire avec l’un de ses orbes exclusifs.
Nous avons contacté Tools for Humanity, l’entreprise technologique à but lucratif qui a dirigé le développement de Worldcoin et qui exploite l’application World, au sujet de l’action de l’AEPD – et pour lui demander de confirmer si elle a arrêté ou non le scanner oculaire en Espagne. Il n’a pas répondu à cette question mais a envoyé une déclaration par courrier électronique, attribuée à Jannick Preiwisch, son délégué à la protection des données (DPO) basé en Allemagne, qui a déclaré : « WNous sommes toujours disposés à dialoguer avec les régulateurs, à examiner leurs commentaires et à répondre à leurs questions.
Dans la déclaration, Preiwisch affirme en outre : « World ID a été créé pour donner aux gens accès, confidentialité et protection en ligne », le qualifiant de « solution la plus respectueuse de la vie privée et la plus sûre pour affirmer l’humanité à l’ère de l’IA ».
Sa déclaration fait référence à l’enquête ouverte sur Worldcoin menée par l’autorité bavaroise de protection des données, qui, selon lui, est la principale DPA de la Fondation Worldcoin et de Tools for Humanity dans le cadre de l’OSS du RGPD — affirmant qu’elle a été « engagée » avec l’autorité bavaroise. Pendant des mois ». Mais Preiwisch ne confirme pas si l’autorité a conclu ou non son enquête.
Au lieu de cela, le DPO de Worldcoin passe à l’attaque, accusant l’AEPD de «contourner le droit de l’UE avec leurs actions aujourd’hui » ; et prétendant que l’autorité espagnole est «diffuser des allégations inexactes et trompeuses » sur sa technologie.
Voici le reste de la déclaration de Preiwisch :
L’autorité espagnole de protection des données (AEPD) contourne aujourd’hui la législation européenne par ses actions, qui se limitent à l’Espagne et non à l’ensemble de l’UE, et diffuse des allégations inexactes et trompeuses sur notre technologie à l’échelle mondiale. Nos efforts pour collaborer avec l’AEPD et leur fournir une vision précise de Worldcoin et de World ID sont restés sans réponse depuis des mois. Nous sommes reconnaissants d’avoir désormais l’opportunité de les aider à mieux comprendre les faits importants concernant cette technologie essentielle et légale.
Nous avons demandé à l’AEPD si elle souhaite répondre aux accusations de Worldcoin. Mais en ce qui concerne l’affirmation selon laquelle l’autorité « contourne le droit de l’UE », Preiwisch voudra peut-être réviser l’article 66 du RGPD — qui permet aux autorités de contrôle d’« adopter immédiatement des mesures provisoires » au niveau local, pour une durée pouvant aller jusqu’à trois mois, lorsqu’elles constatent « un il est urgent d’agir pour protéger les droits et libertés des personnes concernées ».
En décembre, il est apparu que Worldcoin avait cessé de scanner les globes oculaires en France, en Inde et au Brésil – bien que la société ait cherché à faire retraite en guise de réduction temporaire.
Dans un autre revers l’année dernière, l’autorité de protection des données du Kenya a interdit le traitement local de Worldcoin. Le gouvernement du pays a ensuite pris un décret lui ordonnant de suspendre les analyses. Cette ordonnance de suspension est toujours en vigueur.
Au total, le site Web de Worldcoin.org répertorie actuellement neuf pays où son balayage du globe oculaire est disponible : l’Allemagne, l’Espagne et le Portugal en Europe ; l’Argentine et le Chili en Amérique latine ; le Japon et Singapour en Asie ; Le Mexique et les États-Unis
Le site Web de Worldcoin.org répertorie toujours 29 sites d’analyse du globe oculaire en Espagne aujourd’hui (Capture d’écran : Natasha Lomas/TechCrunch)