Dans un communiqué de presse publié mercredi, l'AEPD déclare : « l'Agence espagnole de protection des données (AEPD) a ordonné une mesure de précaution à l'encontre de Tools for Humanity Corporation pour qu'il cesse la collecte et le traitement de données personnel qu'il effectue en Espagne dans le cadre de son projet Worldcoin, et pour qu'il procède au blocage des données déjà collectées ». Elle affirme que son action fait suite à plusieurs plaintes concernant des informations insuffisantes, la collecte de données auprès de mineurs ou le fait que Worldcoin ne dispose pas d'un mécanisme de retrait du consentement.Worldcoin est un projet de cryptomonnaie annoncé en 2019. Cofondée par Sam Altman d'OpenAI, l'entreprise souhaite fusionner la blockchain et la biométrie afin que ceux qui acceptent qu'on scanne leurs iris soient récompensés par le jeton numérique Worldcoin. Alors que les problèmes de cybersécurité et de fuites de données se multiplient, Altman dit avoir lancé le projet afin de limiter les escroqueries et les violations causées par les robots et les mauvais acteurs en scannant le globe oculaire de l'utilisateur pour la mise en place d'une carte d'identité numérique. Ce qui lui permettra de prouver son identité en ligne.Mais le projet d'Altman est fortement controversé depuis qu'il a été annoncé et les experts, ainsi que les régulateurs comme la CNIL française, affirment que la légalité de la collecte de données biométriques par Worldcoin est discutable. Selon les experts, les données biométriques sont "hautement sensibles" et il existe de nombreux risques dans le fait de les confier à une entité privée dont les ambitions restent floues et qui n'offre que des garanties vagues en matière de protections de données. Et Worldcoin ne cite pas un exemple concret de cas d'utilisation dans lequel cette carte d'identité numérique pourrait être utile.L'agence espagnole s'appuie sur les pouvoirs de "procédure d'urgence" prévus par le règlement général sur la protection des données (RGPD) de l'Union européenne pour ordonner la cessation temporaire du traitement des données, ce qui signifie que l'ordonnance peut avoir une durée maximale de trois mois (donc jusqu'à la mi-juin). Le RGPD réglemente la manière dont les données personnelles des citoyens de l'UE peuvent être traitées et exige que les entités qui traitent des données comme les noms, les coordonnées, les données biométriques et d'autres identifiants aient une base juridique valide pour leurs opérations.Les infractions à ce régime peuvent donner lieu à des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial. Les autorités chargées de la protection des données peuvent aussi exiger l'arrêt de tout traitement illégal, y compris à titre temporaire, si elles craignent que les droits des personnes soient gravement menacés, comme c'est le cas ici. L'AEPD a déclaré que ne pas agir priverait les personnes de la protection à laquelle elles ont droit. Elle a déclaré : « le traitement des données biométriques, qui bénéficient d'une protection spéciale en vertu du RGPD, comporte des risques élevés pour les droits des personnes ».« Par conséquent, cette mesure de précaution est une décision fondée sur des circonstances exceptionnelles, dans lesquelles il est nécessaire et proportionné d'adopter des mesures provisoires visant à la cessation immédiate de ce traitement de données à caractère personnel, en empêchant leur transfert éventuel à des tiers et en sauvegardant le droit fondamental à la protection des données à caractère personnel », a ajouté l'AEPD. Toutefois, en réponse à l'interdiction, Worldcoin a déclaré que "l'AEPD contourne la législation européenne et diffuse des affirmations inexactes et trompeuses sur la technologie de l'entreprise".Jannick Preiwisch, responsable de la protection des données chez Worldcoin, a déclaré que les efforts déployés pour dialoguer avec l'AEPD étaient restés sans réponse pendant des mois. « Nous sommes reconnaissants d'avoir maintenant l'occasion de les aider à mieux comprendre les faits importants concernant cette technologie essentielle et légale », affirme Preiwisch. Il a ajouté que Worldcoin est en contact depuis des mois avec l'agence nationale des données de Bavière, en Allemagne, où son propriétaire Tools for Humanity possède une filiale. Le régulateur bavarois est chef de file de l'enquête sur Worldcoin dans l'UE.Il analyse des documents et effectue des contrôles sur place dans le cadre d'une enquête entamée en novembre 2022. Son président, Michael Will, a déclaré que "cela devrait leur permettre de présenter très bientôt la procédure à leurs collègues européens avec une évaluation finale". L'autorité portugaise chargée de la protection des données a déclaré qu'elle est en contact avec son homologue bavaroise pendant qu'elle analyse si le traitement des données biométriques par Worldcoin est conforme au RGPD. Le régulateur portugais a également déclaré qu'il s'entretient avec toutes les entreprises impliquées dans le projet.Un porte-parole du bureau du commissaire britannique à l'information (Information Commissioner's Office - ICO) a déclaré que "les organisations doivent disposer d'une base légale claire, mais aussi procéder à une évaluation de l'impact sur la protection des données (DPIA) avant de commencer à traiter des données. « Ils doivent disposer d'une base légale claire pour traiter les données à caractère personnel. Lorsqu'elles s'appuient sur le consentement, celui-ci doit être donné librement et pouvoir être retiré sans préjudice", a déclaré le porte-parole, ajoutant que les enquêtes de l'ICO étaient en cours », a-t-il déclaré.Après le lancement mondial de Worldcoin l'année dernière, la CNIL française a ouvert une enquête pour "pratiques douteuses". « La légalité de cette collecte [de données] semble douteuse, tout comme les conditions de conservation des données biométriques. La CNIL a ouvert des enquêtes, soutenant le travail des régulateurs bavarois de la vie privée qui ont la responsabilité principale en vertu de la loi européenne », a déclaré un porte-parole de la CNIL. Toutefois, la CNIL a finalement délégué l'enquête à l'autorité bavaroise de protection des données, car la filiale européenne de Tools for Humanity est basée l'État allemand.Les régulateurs ont déterminé que le mécanisme de guichet unique (OSS) du RGPD s'appliquait. (Le communiqué de presse de l'AEPD note également : la société Tools for Humanity Corporation a son établissement européen en Allemagne.) Un porte-parole de l'autorité bavaroise a déclaré à TechCrunch : « notre enquête sur les différentes questions juridiques et techniques progresse. En tant qu'autorité-chef de file, nous avons déjà analysé un grand nombre de documents et effectué des contrôles sur place qui devraient nous permettre de présenter très bientôt la procédure à nos collègues européens avec une évaluation finale ».Il a ajouté : « cette évaluation portera aussi sur les questions qui nous ont été soumises par nos collègues espagnols. Jusqu'à présent, compte tenu des résultats préliminaires de nos enquêtes, de notre évaluation des risques pour les droits des personnes concernées et du fait que notre enquête sera bientôt terminée, nous n'avons pas vu de justification suffisante pour prendre des mesures provisoires formelles à l'encontre du responsable du traitement ». Autrement dit, l'autorité bavaroise de la protection des données ne partage pas les craintes de ses collègues et n'a pas l'intention de prendre des mesures provisoires.Le fait que l'autorité espagnole ait ressenti le besoin de prendre des mesures unilatérales pour protéger les utilisateurs locaux suggère des divergences d'opinions entre les autorités de protection des données quant à la meilleure ligne de conduite à adopter. Elle pourrait également s'inquiéter du temps qu'il faut à l'autorité bavaroise pour conclure son enquête. Dans sa réponse, le porte-parole de Worldcoin a déclaré : « World ID a été créé pour donner aux gens l'accès, la vie privée et la protection en ligne ». Il le qualifie de "solution la plus respectueuse de la vie privée et la plus sûre pour affirmer l'humanité à l'ère de l'IA".Mais les préoccupations en matière de protection de la vie privée sont nombreuses, compte tenu de la nature sensible des données traitées (scans de l'iris), de l'objectif présumé (création d'un identifiant unique et irrévocable), de l'opacité entourant les entités responsables du traitement des données des personnes (qui comprennent un mélange d'organisations à but lucratif et de fondations, y compris "un type d'organisation à but non lucratif" autoproclamé qui est incorporé dans les îles Caïmans), et de l'utilisation de la blockchain et des cryptomonnaies, pour ne citer que quelques-unes des questions soulevées.En décembre, il est apparu que Worldcoin avait cessé de scanner les yeux en France, en Inde et au Brésil, bien que l'entreprise ait tenté de présenter ce retrait comme une réduction temporaire de ses activités. L'année dernière, l'autorité kényane chargée de la protection des données a interdit à Worldcoin de traiter les données locales. Le gouvernement du pays a suivi avec un décret lui ordonnant de suspendre les scans. Cet ordre de suspension est toujours en vigueur.Le site Web de Worldcoin répertorie actuellement neuf pays dans lesquels il est possible de scanner les globes oculaires : L'Allemagne, l'Espagne et le Portugal en Europe ; l'Argentine et le Chili en Amérique latine ; le Japon et Singapour en Asie ; le Mexique et les États-Unis. Selon certains analystes, si le projet d'Altman, qui vise à créer une base de données de scans rétiniens des utilisateurs de Worldcoin, continue à faire face à de telles oppositions, il pourrait être mis au rebut dans un avenir très proche.Source : Agence espagnole de la protection des données Quel est votre avis sur le sujet ?Que pensez-vous de l'interdiction temporaire de Worldcoin en Espagne ?Pourquoi Worldcoin est-il si controversé ? 