Worldcoin sous pression pour sa gestion de la vie privée

Lancé fin juillet, Worldcoin, la solution d’identité couplée à un cryptoactif cofondé par Sam Altman, le co-fondateur d'OpenAI, suscite la méfiance des régulateurs.

Le 24 juillet 2023, Worldcoin, une cryptomonnaie couplée à un système d’identification biométrique, était officiellement lancé publiquement dans une vingtaine de pays. En pratique, des « orbes » étaient rendus accessibles dans 35 villes, dont Paris : ne restaient plus, pour les potentiels intéressés, qu'à prendre rendez-vous et scanner leur iris auprès de l’objet rond pour obtenir un identifiant unique.

Projet secondaire de Sam Altman, le patron OpenAI, qui l’a cofondé en 2019 avec Max Novendstern et Alex Blania, l’entreprise est aussi soutenue par le fonds de capital-risque Andreessen Horowitz. Côté réglementaire, en revanche, non seulement Worldcoin a renoncé à lancer ses orbes aux États-Unis pour éviter de se frotter au contrôle croissant des autorités sur le monde des cryptoactifs, mais la société s’est rapidement retrouvée visée par différentes enquêtes.

Ainsi le Kenya a-t-il suspendu l’accès aux orbes dès le 2 août, au motif que Worldcoin pose des problèmes en matière de protection de la vie privée. En France, la CNIL a ouvert sa propre enquête, tandis qu’en Allemagne, au Royaume-Uni et en Argentine, la méfiance prévaut aussi.

• Où en est le web3 ?

Identité et cryptomonnaie

Selon son livre blanc, Worldcoin vise à « créer un cadre financier et d’identité mondial, qui appartiennent à la majorité de l’humanité ». Il consiste en un réseau de gestion des identités (World ID) et, « là où la loi le permet », en une cryptomonnaie (WLD).

Pour assurer la décentralisation du protocole derrière Worldcoin, ses fondateurs ont créé la Fondation Worldcoin, sous la forme d’une entité à but non lucratif. Pour gérer l'accès aux services de Worldcoin, l’entreprise Tools for Humanity, cofondée par Alex Blania et Sam Altman, développe une application nommée World App. 

Worldcoin met l’accent sur sa volonté de fournir une « preuve de la personnalité » grâce à sa technologie, c’est-à-dire de permettre de prouver qu’une personne est réelle et unique sans fournir de preuve d’identité du monde hors ligne. Cela pourrait aussi bien servir à lutter contre les faux comptes sur les réseaux sociaux qu’à payer, ou à tout autre usage nécessitant authentification forte.

Selon Worldcoin, l’enjeu est d’autant plus urgent que des « modèles d'IA de plus en plus puissants vont encore amplifier la difficulté de distinguer les humains des robots ». Subtile manière, pour un Sam Altman, de promouvoir ses activités relatives à l’amélioration des modèles GPT.

• Que dit la documentation de GPT-4 ?

Mis sur le marché autour de 2 euros, le Worldcoin a grimpé à un peu plus de 2,6 € le jour de sa mise en vente avant de redescendre pour s’établir, depuis quelques jours, autour d’1,6 €, pour une capitalisation de 230 millions de dollars. 

Incitation financière au scan d’iris

Le succès de l’outil auprès de la population de Nairobi, d’Hong Kong ou de Paris peut s’expliquer de différentes manières, cela dit. Auprès de L’Express, certains Parisiens déclarent avoir « raté le Bitcoin », et donc ne pas vouloir « rater le Worldcoin ». À Londres, où les testeurs recevaient un t-shirt gratuit en plus des quelques tokens promis en échange de leur iris, plusieurs sont venus spécifiquement parce que le nom de Sam Altman est accolé au projet.

À Bangalore, Nairobi ou Hong Kong, les longues files qui se sont formées pour passer devant l’orbe et recevoir une identification unique étaient plus intéressées par le bonus de 25 worldcoins, soit environ 50 euros ou 7100 shillings kenyans, que par le projet technologique, rapporte Rest of World. Dans la métropole indienne, l’afflux a été tel que les deux centres commerciaux dans lesquels il était possible de s’enregistrer ont dû fermer pour éviter les débordements. 

Si la plupart des personnes interrogées ont conscience des risques que Worldcoin pose en matière de vie privée, la perspective de récupérer facilement de l’argent paraît, dans la plupart des cas, valoir le risque.

Marketing trompeur et manque d'information

Pour les observateurs, en revanche, l’argent que propose Worldcoin en contrepartie de nouveaux abonnements augmente la méfiance cultivée depuis plusieurs mois. Dans sa phase bêta, en effet, l’entreprise avait déjà adopté des pratiques marketing agressives, voire trompeuses.

En 2022, Buzzfeed relatait une série d’opérations appelant les passants à scanner leur œil dans un orbe contre la promesse d’une rémunération qui a franchement tardé à arriver ; le cas d'orbes qui fonctionnaient mal, voire échouaient à réaliser l’identification du nouveau client dans 60 % des cas, pour l’une d'elles ; des opérateurs payés aléatoirement, voire forcés de rendre la sphère d’identification biométrique au bout de deux semaines s’ils n’avaient pas réussi à faire signer plus de 500 personnes, etc.

Dans plusieurs cas, constatait la Technology Review à la même époque, Worldcoin avait clairement mis en place des tactiques de marketing susceptibles de tromper les usagers. Par ailleurs, l’entreprise collectait plus de données personnelles que ce qu’elle admettait et ne cherchait pas à obtenir le consentement informé des personnes soumises aux collectes en question.

En mai 2023, TechCrunch détaillait de son côté comment des hackers avait volé les mots de passe d’au moins sept opérateurs d’orbes. Les dispositifs fonctionnaient sans authentification multifacteurs. Aucune donnée sensible n’étant accessible aux opérateurs, celles-ci n’ont pas été compromises. 

Malgré ces problématiques, Worldcoin a déclaré dépasser les 2 millions d’inscriptions à ses services une semaine avant son lancement public et le déploiement de 1 500 orbes supplémentaires à partir du 24 juillet.

Multiplication des enquêtes de régulateurs 

Outre le manque de clarté sur l’intérêt réel du Worldcoin – un problème que Sam Altman lui-même a admis en privé, selon Forbes –, les risques qu’il pose sont pointés du doigt depuis plusieurs années. 

En 2021, le lanceur d’alerte Edward Snowden épinglait le projet dans un thread : « N'enrolez pas vos iris. N’utilisez pas de données biométriques pour lutter contre la fraude. En réalité, n’utilisez pas de données biométriques pour quoi que ce soit. Le corps humain n'est pas une planche à billets. » 

Dans les deux dernières semaines, la CNIL française a déclaré à Reuters que la « légalité » de la collecte de données orchestrée par Worldcoin était « hautement questionnable, de même que les conditions de stockage des données biométriques ». Au Royaume-Uni, l’homologue de l’institution a, elle aussi, annoncé enquêter sur le projet. 

En Allemagne, c’est le régulateur bavarois des données qui est en charge de l’enquête puisque Tools for Humanity est implanté dans la ville d’Erlangen. Ailleurs dans le monde, l’Argentine étudie le consentement réellement demandé aux utilisateurs, la sécurité des données collectée et des questions de transfert de données à l’international.

Au Kenya, les forces de police se sont rendues le 7 août dans les bureaux de Worldcoin pour y saisir des machines suspectées de stocker des informations sensibles relatives aux citoyens.