L'autorité bavaroise de protection des données, l'Office d'État de Bavière pour la supervision de la protection des données (BayLDA), a émis des mesures correctives pour le projet d'identité numérique World, anciennement connu sous le nom de Worldcoin, concernant sa gestion des données biométriques.

Le BayLDA a annoncé le 19 décembre qu'il avait conclu son enquête sur la conformité de World au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne.

L’autorité a exigé que World mette en place une procédure de suppression des données conforme au RGPD dans un délai d’un mois à compter de la date d’entrée en vigueur de la décision.

En réponse, la Fondation World a fait appel de la décision, demandant aux régulateurs une clarification judiciaire sur la conformité de ses technologies de protection de la vie privée (PETs) avec la définition légale de l’anonymisation dans l’UE. Par ailleurs, l’entreprise a annoncé en mai 2024 l’arrêt de son ancien système et la suppression de toutes les données stockées.

Renforcement des droits des utilisateurs de World ID

World, lancé en juillet 2023 par Tools for Humanity (TFH) — cofondé par le PDG d'OpenAI, Sam Altman — utilise la biométrie par iris pour la vérification de l'identité numérique.

Le BayLDA a initié une enquête sur le projet en 2023, citant des préoccupations concernant la collecte de données biométriques. Selon le régulateur, World a volontairement et temporairement interrompu ses activités dans certains pays de l'UE à la lumière des procédures.

Anonymity, Europe, Privacy, Germany, Worldcoin, Data, Policy

Michael Will, président de la BayLDA. Source : BayLDA

Selon Michael Will, président du BayLDA, la dernière décision de l'autorité vise à renforcer les droits des utilisateurs de World.

« Avec cette décision, nous appliquons les normes européennes en matière de droits fondamentaux en faveur des personnes concernées, dans un contexte technologiquement exigeant et juridiquement complexe », a déclaré Will, ajoutant :

« Tous les utilisateurs ayant fourni leurs données biométriques à Worldcoin pourront désormais exercer pleinement leur droit à l’effacement. »

Le BayLDA ordonne à World de remplir plusieurs obligations

Malgré les efforts de World pour améliorer la conformité au RGPD, le BayLDA a identifié d'autres ajustements nécessaires pour répondre aux exigences réglementaires.

En plus de la mise en place d'une procédure de suppression des données conforme, le BayLDA a également demandé à World de fournir un consentement explicite pour certaines étapes de traitement à l'avenir.

De plus, il a été ordonné à World de supprimer certains enregistrements de données « collectés précédemment sans base légale suffisante, » a déclaré le BayLDA.

« L'ordre vise tous les ensembles de codes d'iris de ses clients qui ont été recueillis lors de la phase initiale à l'été 2023 jusqu'à un certain point cette année, où Worldcoin a modifié ses activités pour une base plus légale, » a déclaré Will à Cointelegraph.

En raison du droit administratif national, l'évaluation de l'ouverture d'une procédure d'infraction administrative est réservée à une procédure séparée, a ajouté le BayLDA, précisant également :

« Il en va de même pour l'examen de nombreuses plaintes d'utilisateurs européens concernant des questions individuelles spécifiques, telles que la protection des mineurs, qui n'ont pas fait l'objet de la présente décision ».

World demande une clarification sur l'anonymisation dans l'UE

Selon la Fondation World, la décision du BayLDA illustre clairement la nécessité d'établir une définition claire et cohérente de l'anonymisation dans l'UE pour aider à protéger les données personnelles à l'ère de l'intelligence artificielle.

« Le RGPD actuellement ne le permet pas, et tant la Fondation World que le contributeur de World, TFH, estiment qu'il est essentiel que cette question soit abordée rapidement, » a déclaré la Fondation World dans un billet de blog abordant la décision du BayLDA.

Anonymity, Europe, Privacy, Germany, Worldcoin, Data, Policy

Extrait du billet de blog de la World Foundation sur l'anonymisation des données d'octobre 2024. Source : World Foundation

« L'anonymisation des données, et pas seulement leur suppression, est essentielle pour permettre aux personnes de se vérifier en tant qu'humains en ligne tout en restant complètement privées, » a déclaré Damien Kieran, directeur juridique et de la confidentialité chez TFH.

« Sans une définition claire de l'anonymisation, nous perdons peut-être notre outil le plus puissant dans la lutte pour protéger la vie privée à l'ère de l'IA, » a-t-il ajouté.

Ainsi, la Fondation Would a dit qu'elle fait appel de la décision du BayLDA pour obtenir une clarification sur le fait que la technologie de World répond à la définition légale de l'anonymisation dans l'UE.

« La Fondation World et TFH continueront de travailler étroitement avec les régulateurs de l'UE et d'ailleurs pour s'assurer que cette question importante soit résolue d'une manière qui soutient la protection de la vie privée et l'innovation, » a-t-il ajouté.