Après des mois d’attente, une décision cruciale en matière de confidentialité, qui pesait sur Worldcoin, la startup fondée par Sam Altman, vient enfin d’être rendue par l’autorité bavaroise de protection des données. Cette dernière a ordonné à la société de cryptomonnaie de permettre à ses utilisateurs européens de supprimer intégralement leurs données biométriques, un revers pour le projet d’identité numérique basé sur la reconnaissance de l’iris.
La Bavière impose le droit à l’effacement
Malgré une enquête ouverte depuis avril 2023, la décision n’a été communiquée que tardivement, juste avant la trêve des confiseurs de 2024. Mais le résultat n’est pas celui espéré par Worldcoin : l’entreprise a reçu l’ordre de mettre en place une procédure permettant à tous les utilisateurs ayant fourni leurs données d’iris d’exercer sans restriction leur droit à l’effacement, comme l’exige le Règlement Général sur la Protection des Données (RGPD) européen.
Tous les utilisateurs qui ont fourni leurs données d’iris à ‘Worldcoin’ auront à l’avenir la possibilité illimitée de faire valoir leur droit à l’effacement.
– Michael Will, Bureau d’Etat bavarois pour la supervision de la protection des données
Worldcoin a un mois à compter de la date de décision pour mettre en œuvre une procédure de suppression conforme au RGPD. L’autorité bavaroise exige également l’obtention d’un consentement explicite pour certaines étapes de traitement futures et la suppression de certaines données collectées sans base juridique suffisante.
Worldcoin va faire appel
Cette obligation de permettre aux utilisateurs de supprimer leurs données pose un sérieux défi au projet Worldcoin, qui vise à créer un système d’identifiants uniques et immuables pour vérifier l’identité à distance. Si une personne peut s’effacer de son registre sur simple demande, cela compromet son ambition de devenir une autorité mondiale de la vérification d’humanité.
Worldcoin a annoncé son intention de faire appel, en avançant que son architecture technique préserve la vie privée en anonymisant les données des utilisateurs. Selon Damien Kieran, directeur de la confidentialité de Tools for Humanity qui développe Worldcoin, l’objectif est d’accroître la confiance dans les interactions numériques :
Nous avons créé le premier passeport numérique anonyme au monde pour prouver l’humanité. Une personne peut vérifier de manière anonyme qu’elle est un véritable être humain sur une plateforme, résolvant ainsi les problèmes de bots. Pour cela, nous devions nous assurer d’anonymiser les données sous-jacentes, ce qui signifie qu’elles ne peuvent pas être supprimées.
– Damien Kieran, Directeur de la confidentialité de Tools for Humanity
Mais pour les régulateurs européens, la question n’est pas seulement technique. Le RGPD vise non seulement à protéger la vie privée des personnes, mais aussi à leur garantir une autonomie sur les informations les concernant.
Un défi pour les droits fondamentaux
L’autorité bavaroise a souligné que la procédure de vérification biométrique de Worldcoin comporte « un certain nombre de risques fondamentaux pour la protection des données pour au moins un grand nombre de personnes concernées ». Et même si des améliorations ont été apportées, des ajustements restent nécessaires, notamment sur :
- L’effacement intégral suite au retrait du consentement
- La révision du processus de consentement associé
Avec la décision d’aujourd’hui, nous faisons respecter les normes européennes en matière de droits fondamentaux en faveur des personnes concernées dans une affaire techniquement exigeante et juridiquement très complexe.
– Michael Will, Bureau d’Etat bavarois pour la supervision de la protection des données
L’appel de Worldcoin ne répond pas directement à cette question centrale de l’accès aux données. Il cherche plutôt à présenter le problème comme une question technique, sur la façon dont la loi européenne devrait définir les données anonymes. Mais tenter de convaincre les Européens qu’ils méritent moins de droits individuels risque d’être impopulaire dans la région.
D’autres autorités européennes sur le qui-vive
Worldcoin a déjà vu ses ailes rognées en Europe. Des mesures d’exécution prises par d’autres autorités de protection des données, notamment au Portugal et en Espagne, ont entraîné la suspension de ses opérations de numérisation de l’iris dans ces pays. Les deux autorités ont exprimé des inquiétudes particulières quant aux risques de collecte indélébile des données des enfants.
Le feuilleton européen de Worldcoin est donc loin d’être terminé. Si l’entreprise espère convaincre les régulateurs avec des arguments techniques sur l’anonymisation des données, la partie s’annonce difficile face à des autorités déterminées à défendre l’autonomie des individus sur leurs informations personnelles, un droit fondamental au cœur du modèle européen de protection des données.