Worldcoin doit supprimer tous les enregistrements d’iris stockés en Espagne | Technologie

Le scanner de l’iris de milliers de citoyens européens réalisé l’année dernière par la société Worldcoin a violé le Règlement général sur la protection des données (RGPD), le règlement européen qui garantit la vie privée numérique des citoyens de la communauté. Ce problème a été résolu par BayLDA, l’autorité de protection des données de Bavière, en Allemagne, qui était l’autorité compétente dans cette affaire puisque la société Tools for Humanity, qui collectait les données sur l’iris en Europe pour le compte de la société américaine, était située sur ce territoire. . Worldcoin, récemment renommé World.

La résolution de BayLDA est conforme à la mesure de précaution imposée par l’Agence espagnole de protection des données (AEPD) en mars de cette année qui, compte tenu des indications de violations graves du RGPD, et « pour éviter des dommages potentiellement irréparables et protéger les droits des citoyens”, a ordonné dans une décision inédite à ce jour la cessation immédiate de la collecte et du traitement de données personnelles que l’entreprise effectuait en Espagne, ainsi que le blocage de celles qui avaient déjà été collectées (de certains 400 000 citoyens espagnols). Si la mesure de précaution n’était pas respectée, Worldcoin s’exposait à une amende comprise entre 20 millions d’euros et 4% de son chiffre d’affaires annuel.

L’entreprise s’est dans un premier temps conformée à la mesure de précaution de l’AEPD et a décidé de sa propre initiative de suspendre son activité en Espagne pendant quelques mois. Il a ensuite fait appel de la décision de l’AEPD devant le Tribunal national, qui a approuvé la mesure et rejeté l’appel. Ces derniers mois, l’agence espagnole attendait le verdict de l’autorité bavaroise de protection des données, qui marquerait la ligne d’action dans le reste de l’UE.

La résolution BayLDA ordonne l’élimination de tous les codes d’iris stockés depuis le début du projet, stockés sans les mesures de sécurité nécessaires au traitement des données biométriques. Elle ordonne également que le futur traitement de l’iris soit effectué sur la base du consentement explicite de l’intéressé, ce qui ne s’est pas produit au début, et ordonne qu’à l’avenir le droit à la suppression des données soit inclus.

D’autre part, la résolution confirme que l’entreprise n’a pas mis en œuvre de mesures adéquates pour empêcher le traitement des données des mineurs, ce qui a été l’un des éléments qui ont conduit à l’intervention immédiate de l’AEPD en Espagne. Cette affaire, détermine BayLDA, fera l’objet d’une enquête plus approfondie à une date ultérieure.

“Notre technologie est sécurisée, même si nous comprenons qu’elle est complexe et difficile à comprendre”, explique Damien Kieran, responsable de la gestion des données chez World (anciennement Worldcoin), dans des déclarations à EL PAÍS. Le dirigeant se plaint d’avoir essayé de rencontrer l’AEPD depuis huit mois pour leur expliquer comment ils fonctionnent et pourquoi leur technologie ne présente aucun risque pour les utilisateurs. « Nous n’avons reçu aucune réponse. C’est quelque chose qui ne nous est pas arrivé avec d’autres régulateurs européens, avec lesquels nous avons pu nous asseoir. »

Des sources de l’agence espagnole expliquent qu’elles n’ont pas l’habitude de rencontrer des entreprises pour lesquelles elles ont un dossier disciplinaire ouvert, encore moins si celui-ci a fait l’objet d’un appel, comme c’est le cas. En 2023, l’AEPD a ouvert 492 dossiers de sanction.

Les données biométriques, comme l’iris, sont particulièrement sensibles car immuables. Nous pouvons changer notre mot de passe ou notre adresse, mais le motif qui décrit la forme de l’iris de chaque personne est unique et ne change pratiquement pas au fil des années. L’iris est en effet une méthode d’identification plus efficace que le scan du visage réalisé par les systèmes de reconnaissance faciale. En raison de la sensibilité de ces données, elles sont traitées de manière particulièrement stricte par le RGPD. Ainsi, ces dernières semaines, de nombreux experts en matière de protection de la vie privée ne pouvaient pas croire qu’une entreprise puisse commencer à collecter des données sur l’iris à la vue de tous et sans donner pratiquement aucune information aux personnes concernées.

fièvre de l’orbe

Worldcoin a commencé à collecter des données sur l’iris en Espagne en juillet 2023 dans 14 centres commerciaux du pays. Pour ce faire, il a utilisé l’Orb, ou les orbes, une sphère métallique de la taille d’un ballon de futsal qui photographie les iris des personnes intéressées et leur donne accès à la monnaie numérique Worldcoin, cofondée par le créateur de ChatGPT, Sam Altman.

Jusqu’en février de cette année, les orbes n’attiraient pas beaucoup d’attention. Mais à un moment donné, de grandes files d’attente ont commencé à se former autour des 30 stands déjà installés par Worldcoin dans de grandes galeries. La raison : la valeur d’échange de la monnaie s’est élevée à un peu plus de six euros, de sorte que les 13 pièces Worldcoin émises après le scan de l’iris équivalaient à environ 80 euros. Ce crochet a provoqué un tel afflux de personnes, généralement des jeunes, que les personnes intéressées ne peuvent plus se faire scanner l’iris sans rendez-vous.

Pour utiliser un Orb, les utilisateurs devaient télécharger une application sur leur téléphone mobile et recevoir un code QR. La photo de l’iris faisait office de « preuve d’humanité » (le système assure que la demande est faite par une personne et non par une machine), mais pas seulement. Il était également associé au code QR, après quoi l’application se transformait en une sorte de passeport appelé World ID, le portefeuille où sont stockées les Worldcoins.

Selon Altman, le passeport et le portefeuille promus par son entreprise seront essentiels à la gestion financière, et peut-être à la perception d’un revenu universel, dans un avenir dominé par l’intelligence artificielle. La société s’est séparée de la crypto-monnaie cet été et a été rebaptisée World.