L’agence espagnole sur la protection de données (AEPD) a ordonné à Tools for Humanity Corporation, la société responsable du projet controversé Worldcoin, de cesser la collecte des donnés biométriques des espagnols. L’AEPD indique avoir reçu plusieurs plaintes, citant notamment des préoccupations sur le manque de transparence, la collecte de données de mineurs, et l’impossibilité de retirer son consentement au traitement des données biométriques.
Un projet controversé
Quiconque est curieux d’observer des files d’adolescents s’étirant devant les centres commerciaux pour se faire scanner l’iris en échange de cryptomonnaie n’à qu’à se rendre sur cette page du site de Worldcoin pour trouver “l’orbe” la plus proche de chez lui. Ce sont ces orbes, au nom et à l’apparence dystopiques, qui enregistrent les données biométriques de volontaires attirés par la promesse d’un gain facile.
Le projet Worldcoin, lancé par Sam Altman (plus connu pour être le directeur de OpenAI, proposant le fameux outil d’intelligence artificielle ChatGPT) promet, à ceux qui acceptent de se faire scanner l’œil, un “revenu minimum de base” sous la forme de sa cryptomonnaie WLD. Malgré une communication qui se veut rassurante, l’ambition de Worldcoin soulève des préoccupations. Edward Snowden notamment s’inquiète de l’idée de conserver et cataloguer le “hash” (c’est-à-dire la signature cryptographique unique) du scan des iris des gens, qu’elle appelle l'”iris code”, et sur la base desquels elle propose d’émettre un “World ID” (passeport numérique).
This looks like it produces a global (hash) database of people's iris scans (for "fairness"), and waves away the implications by saying "we deleted the scans!"
Yeah, but you save the *hashes* produced by the scans. Hashes that match *future* scans.
Don't catalogue eyeballs. https://t.co/uAk0NYGeZu
— Edward Snowden (@Snowden) October 23, 2021
Edward Snowden écrit sur Twitter le 23 octobre 2021: On dirait qu’on produit une base de données mondiale de “hashs” – de signatures cryptographiques uniques générées à partir du scan des iris des gens (sous couvert “d’équité”) – mais qu’on en minimise les implications en disant: “on a effacé les scans!”. Certes, mais vous avez sauvegardé les hashs produits par les scans. Des hashs qui correspondront à d’autres futurs scans…. Ne répertoriez pas les globes oculaires!
Depuis son lancement en 2019, Worldcoin est engagée dans une campagne internationale visant à récolter les données biométriques du plus grand nombre possible d’individus (elle en aurait déjà récolté 4 millions). La société indique qu’elle ne stocke pas les scans des iris qu’elle récolte ; malheureusement cette promesse relève d’une certaine mauvaise foi, puisque Worldcoin admet en même temps conserver la signature cryptographique desdits scans. En d’autres termes, en se faisant scanner l’œil par Worldcoin, on donne tout de même à cette société (et ses partenaires) la capacité de nous identifier biométriquement. Peu importe que la société ne conserve pas l’image elle-même, dans la mesure où elle en conserve la signature unique, ce qui revient essentiellement au même.
L’ordre émanant de l’AEPD espagnole n’est pas le premier en son genre. En janvier déjà, le commissaire de Hong Kong à la protection de données a ordonné la perquisition de six des bureaux de Worldcoin, citant sa préoccupation grave que le scan des iris des gens pouvait conduire à une fuite de données personnelles. En Décembre 2023, la publication TechCrunch annonçait de surcroît que Worldcoin avait suspendu pour l’instant la collecte de données biométriques en Inde, au Brésil et en France, citant là encore des contraintes légales.
Sans nécessairement comprendre les dangers inhérents à cette technologie, une bonne partie du public reste méfiant à l’égard de cette “orbe” qui capture leur identité.
1/21
A thread on the dystopia of Worldcoin:
Sorry Sam, you guys: "underestimated the visceral reaction" to "Hey human, scan your eye in this death start looking silver orb so we can give you free money?"
What?! https://t.co/6axleNZboL
— Adam Cochran (adamscochran.eth) (@adamscochran) October 24, 2021
Adam Cochran a d’ailleurs réagi sur Twitter le 24 octobre 2021 dans un fil de discussions sur la dystopie du Worldcoin, en interpellant Sam Altman: “désolé les gars: vous avez sous-estimé la réaction viscérale (des gens) quand on leur dit: “hé, l’humain, scan ton œil dans cette orbe argentée qui ressemble à l’étoile de la mort (ndlr: référence au film Star Wars) pour qu’on te donne de l’argent gratuit?”
Sam Altman, le créateur du projet avait alors admis avoir sous-estimé cette réaction instinctive de rejet pour l’identification biométrique de l’identité.
L’ordre espagnol est temporaire
Dans son communiqué, l’AEPD indique qu’elle “estime qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes” et qu’elle est habilitée à “adopter des mesures provisionnelles ayant des effets juridiquement contraignants sur son territoire, et dont la durée de validité ne peut excéder trois mois”.
C’est donc ce qu’elle a fait, en adoptant ces “mesures urgentes ayant pour effet d’interdire temporairement les activités susmentionnées”, justifiées “pour éviter des dommages potentiellement irréparables”. Elle écrit finalement que “l’absence de telles mesures priverait les personnes de la protection à laquelle elles ont droit en vertu de la loi européenne sur la protection des données (RGPD)”.
Il reste donc à voir ce qui se passera dans 3 mois, lorsque ce délai aura expiré et que l’injonction sera levée. Dans l’attente, Worldcoin a annoncé faire recours contre la décision espagnole.
