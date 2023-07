Une semaine après son lancement, le projet Worldcoin suscite déjà les craintes des autorités de protection des données personnelles. Vendredi 28 juillet, la Cnil a confirmé avoir ouvert une enquête sur ce token lancé par Sam Altam, le fondateur et patron de la start-up OpenAI, qui sert de base à un système d’identification par l'intermédiaire d’un scan de l’iris.

Dossier transmis en Allemagne

"La légalité de la collecte des données semble douteuse, tout comme les conditions de stockage des données biométriques”, souligne le gendarme français, qui explique avoir transmis ses interrogations à son homologue bavarois. Celui-ci semble en effet être le régulateur de référence de Worldcoin en Europe dans le cadre du guichet unique prévu par le Règlement général sur la protection des données (RGPD). Interrogée par l’AFP, l’autorité bavaroise reconnaît avoir ouvert une enquête.

En Europe, le projet Worldcoin a été lancé dans quatre pays : la France, l’Allemagne, l’Espagne et le Royaume-Uni. L’ICO, autorité britannique de protection des données qui ne fait plus partie du guichet unique européen, s’est également saisie du dossier. La cryptomonnaie est disponible dans une vingtaine de pays dans le monde, mais pas aux Etats-Unis, où les autorités surveillent de très près les crypto-actifs.

Pas d'analyse d'impact

Trois éléments principaux devraient être étudiés par les régulateurs européens. D’abord, l’absence d’une analyse d’impact relative à la protection des données, obligatoire au sein de l’Union européenne et au Royaume-Uni avant le lancement de tout nouveau produit “susceptible d’engendrer un risque élevé pour les droits et libertés”.

Cette analyse est imposée pour toutes les entreprises disposant d’un bureau sur le continent, ce qui est le cas de la start-up Tools for Humanity, qui a développé le token et son application associée. Mais qui assure ne pas s'occuper de la gestion des données, une tâche qui revient à la Worldcoin Fondation, basée, elle, aux Iles Cayman, en dehors de la juridiction européenne.

Pas de suppression des données

Deuxième élément : la légalité du scan de l’iris. Comme il s’agit d’une donnée biométrique, sa collecte est soumise à des règles encore plus strictes dans le cadre du RGPD. Celle-ci doit faire l’objet d’un consentement “éclairé” et “libre”. Cela signifie que les utilisateurs doivent avoir accès à plusieurs informations, en particulier l’identité du responsable du traitement et les finalités poursuivies. Mais aussi qu’ils peuvent refuser la collecte de ces données, sans perdre l’accès au service - ce qui ne semble pas être le cas de Worldcoin.

Enfin, les autorités européennes regarderont ce qui se passe une fois le scan de l’iris effectué. Si les données sont envoyées hors de l’union européenne, l’entreprise les ayant collectées doit s’assurer que la législation locale a bien été reconnue comme “adéquate par la Commission européenne”. En outre, le RGPD permet aux utilisateurs européens de demander la suppression de leurs données personnelles, ce qui n’est aujourd’hui pas possible avec le projet Worldcoin.