MetaMask qui collecte les adresses IP ? Ce n'est que le début
C'est une nouvelle qui aurait presque pu passer inaperçue, alors que l'écosystème crypto est toujours sous le choc du séisme FTX. Le 23 novembre dernier, l'entreprise américaine spécialisée dans la blockchain ConsenSys a mis à jour sa politique de confidentialité. Pour rappel, ConsenSys est le créateur du wallet crypto MetaMask, de loin le plus répandu de tous. Un succès lié à sa facilité d'utilisation : il est accessible grâce à une simple extension de son navigateur web.
A l'origine, MetaMask ne collecte aucune donnée personnelle. La création du wallet ne requiert même pas un e-mail. En revanche, il est attaché à une adresse publique Ethereum, qui permettrait de remonter jusqu'à vous en cas d'une enquête poussée.
Mais ConsenSys a décidé que cette période de pseudonymat était révolue, en annonçant qu'elle collecterait désormais les adresses IP de ses utilisateurs. Cette nouvelle a été fortement contestée par une partie de l'écosystème crypto, mais elle suit une logique qui va accroître la collecte de données personnelles des utilisateurs. Reprenons depuis le début.
Une collecte contestée
C'est donc par une laconique modification de sa politique de confidentialité que ConsenSys a annoncé la nouvelle. Désormais, pour chaque transaction effectuée avec le wallet, ConsenSys collectera l'adresse IP et l'adresse Ethereum utilisée.
Comment est-ce possible ? En fait, lorsque vous initiez une transaction avec MetaMask, le réseau fait appel à un Remote Procedure Call ou RPC. Un RPC a d'autres utilités, mais c'est celle-ci qui nous intéresse ici. Le RPC installé par défaut sur MetaMask s'appelle Infura, qui est propriété de… ConsenSys. C'est donc Infura qui collecte l'adresse IP et l'adresse Ethereum utilisées lors d'une transaction, pas MetaMask directement.
Par ailleurs, l'utilisateur n'a pas le choix entre accepter et refuser cette collecte. La seule possibilité est de changer de RPC, ce qui est faisable sur MetaMask. Cependant, cela n'est pas forcément intuitif pour tous les utilisateurs. D'autres pourront aussi utiliser un VPN pour passer avec une autre adresse IP.
La collecte de l'adresse Ethereum n'a pas soulevé de contestation. En effet, la blockchain Ethereum étant transparente, elle était de toute façon visible par tous. En revanche, pour l'adresse IP, c'est une autre histoire.
Dès la publication de la nouvelle politique de confidentialité de ConsenSys, plusieurs internautes ont fait part de leur mécontentement, notamment sur Twitter. Selon eux, non seulement, l'entreprise ConsenSys n'a pas été transparente, car il n'y a pas eu d'annonce. Mais, en plus, sa collecte n'a pas été comprise.
Rappelons que l'adresse IP est une donnée à caractère personnel. Elle permet effectivement de remonter aisément jusqu'à la personne, puisque chaque adresse IP est rattachée à un appareil (box, modem…) et donc à une adresse physique.
En outre, les explications de Joseph Lubin, patron de ConsenSys, n'ont pas été claires. L'IP serait traitée, car "une architecture web fonctionne de cette façon". Si tel est le cas, il est donc étonnant que l'IP n'ait pas été collectée avant…
ConsenSys rassure également : le seul objectif est d'améliorer l'expérience utilisateur et l'IP ne sera pas vendue à des tiers. Cela n'a pas suffi à faire retomber la colère et certains appellent au boycott de MetaMask. Néanmoins, cette polémique semble être une vision erronée du Web3 sur la question des données personnelles.
Une vision erronée du Web3
Depuis longtemps, le Web3 est présenté en opposition au Web2. Ce dernier, c'est celui Gafam américains, dont une large partie du modèle économique est fondée sur l'exploitation des données personnelles des utilisateurs, parfois à leur insu. La donnée est effectivement considérée comme l'or du XXIe siècle.
D'aucuns ont donc mis en parallèle Web2 et Web3, pour dire que le second ferait mieux que le premier en matière de données personnelles. En théorie, c'est vrai. La décentralisation permet en effet à l'utilisateur de réduire considérablement l'exploitation de ses données. Ainsi, lorsqu'il utilise un protocole de finance décentralisée, l'utilisateur reste maître des données le concernant.
Cependant, il semble qu'une confusion ait eu lieu entre l'exploitation des données et la collecte des données. Si les entrepreneurs du Web3 ont clairement mis en avant, à juste titre, l'absence d'exploitation, cela n'a jamais été le cas pour la collecte. Une large majorité d'entreprises, Web3 ou non, a besoin de certaines données des utilisateurs pour fonctionner. L'objectif est de les collecter en respectant la législation, notamment le règlement général sur la protection des données (RGPD).
Certains diront que, si cette collecte est logique pour une plateforme centralisée comme Binance, elle ne l'est pas pour un protocole décentralisé. Sauf que la réglementation va de facto leur donner tort.
Une réglementation contraignante
La réglementation relative au Web3 est encore disparate. Mais un continent avance vite, c'est l'Europe. En octobre dernier, les versions définitives des règlements MiCA et TFR ont été adoptées. Si leur entrée en application n'est pas prévue avant 2024, des dispositions intéressent tout particulièrement les wallets comme MetaMask.
TFR (Tranfer of Funds Regulation) est un règlement déjà en application et il sera adapté aux cryptoactifs. Pour simplifier, TFR va appliquer ce que l'on appelle la travel rule, soit l'échange d'informations entre plateformes. Cet échange pourra inclure les données de portefeuilles comme MetaMask.
En effet, TFR oblige une plateforme enregistrée à effectuer une vérification d'identité (KYC) pour tout transfert initié depuis une plateforme vers un MetaMask ou un autre wallet du même type. En d'autres termes, il sera nécessaire d'identifier le propriétaire dudit wallet pour valider le transfert.
Avec uniquement une adresse IP, la vérification d'identité semble quasi impossible. Nous pouvons donc supposer que d'autres données personnelles, comme le nom ou le prénom, seront, dans le futur, associées aux wallets personnels. Quant à la question de savoir si cette disposition de TFR est une bonne ou une mauvaise chose, c'est un autre sujet.