Publications

Métavers et données personnelles : gare au futur d’aujourd’hui

Publié le 8 juin 2022

Le métavers est la contraction de « méta » et « univers », il nous donne à voir un autre univers dans lequel il devient possible de s’échapper. Selon Webedia, il peut être défini comme « le lieu de rencontre, stable dans le temps d’une communauté d’utilisateurs souhaitant s’engager dans une grande variété d’activités sociales en ligne, en immersion ». Sociabilité et immersion deviennent les maitres mots.

Aujourd’hui le métavers est en phase d’acquérir ses lettres de noblesse. En effet, il préexistait déjà dans les jeux comme SecondLife, The Sims, Animal Crossing, Roblox, ou encore Fortnite, où Travis Scott avait pu livrer un concert sur l’île de Sweaty Sands. Pourtant, c’est la décision de Facebook, renommé à ce titre « Meta » qui a impulsé un nouveau tournant. Mark Zuckerberg voit dans le métavers une aubaine, une possibilité de se réinventer. Ainsi, pas moins de 10 milliards de dollars ont été investis dès 2021 pour le développement de « Reality Labs », de même que 10 000 emplois sont envisagés d’être créés en Europe d’ici 5ans.

Facebook a vu juste, les usages du métavers ne cessent de croitre. Il devient possible de faire ses achats chez Walmart, d’acheter un terrain de 36 hectares pour 120 etherum comme l’a scandé Carrefour, de faire ressusciter les morts ou encore d’acheter une arme en NFT pour se défendre contre des agressions sexuelles virtuelles, choses qui ont déjà pu être constaté. Les usages du métavers peuvent aussi avoir des visées moins ludiques, notamment en l’adaptant au monde professionnel : réunions, séminaires connectés… En effet, le confinement a démontré les facilités du numérique à nous connecter ensemble via les communications : demain le métavers permettra de nous rencontrer dans un monde 3D augmenté. Au total, on estime le taux de croissance du métavers de 39,4% de 2022 à 2030 : il n’a pas fini de nous surprendre.

Toutefois, ces nouveaux usages entrainent irrémédiablement une extension du domaine de la collecte des données personnelles par les acteurs du secteur privé. En effet, près de 40% des consommateurs américains comptent y passer entre trois et quatre heures par jour et 40% prévoient d’y passer une à deux heures. En revanche, seulement 7% ne comptent pas s’y rendre chaque jour. Ce sont autant de données collectées par heures de jeu.

C’est ici qu’intervient le Règlement Général sur la Protection des Données (RGPD). En effet, fort de son champ d’application vaste, il devient possible de l’appliquer à cette technologie émergente qu’est le métavers. Ainsi, les obligations du responsable de traitement restent similaires, de même que les différents principes relatifs aux traitements des données doivent s’appliquer.

Grâce aux casques de réalité virtuelle qui nous télétransportent dans le métavers, peuvent être collectées toutes nos données biométriques telles que la couleur de notre peau, nos pores, nos yeux constitués de l’iris qui participe à l’unicité de notre personne… Plus encore, des données comportementales peuvent être récoltées face à une situation : l’augmentation de notre fréquence cardiaque, la dilatation de notre pupille… Ces dernières pourront servir à l’opérateur afin de déduire toutes nos émotions et à les assortir des conséquences qu’il souhaite. C’est le marketing émotionnel.

L’autre application envisageable dans le métavers serait celle du marketing géolocalisé afin d’attirer les personnes à un endroit et à un moment particulier dans le monde réel. C’est l’exemple d’un produit qui serait placé dans un rayon à hauteur de la vue dans le magasin métavers de Walmart, afin que le client soit tenté d’acheter le même produit dans la vie réelle.

Ce sont autant d’usages susceptibles de dérives. En ce sens, il revient d’évaluer la place potentielle de la règlementation en matière de protection des données dans le métavers : virtualité ou réalité ?  En effet, la législation actuelle doit-elle être considérée comme lettre morte à l’égard d’une telle technologie innovante ou a-t-elle réellement vocation à s’appliquer à ce nouvel usage, grâce à un champ d’application conçu afin d’intercepter toute nouvelle technologie ?

1. L’application du RGPD : l’adaptation de la règlementation au métavers

Le champ d’application territorial du RGPD vise tant les entreprises établies dans l’Union européenne que les entreprises collectant des données issues des États membres de l’Union. De même, son champ d’application matériel a également vocation à englober les données issues du métavers. En effet, la définition, suffisamment large, permet aux données issues du métavers de tomber sous le joug de cette règlementation. Ainsi, face à ces critères permissifs, le RGPD a vocation à s’appliquer à tous les traitements effectués. Etudions brièvement les points de conformité à vérifier.

1) Collecter les données du métavers selon le RGPD

Lors de la récolte de données dans le métavers, il est important que cela soit fait à dessein de « finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » (article 5.1.b) En l’espèce, le métavers récolte des données. En ce sens sont effectués des traitements au sens du RGPD dont il incombe aux concepteurs de limiter les finalités du traitement. Cela permet de s’assurer d’une utilisation restreinte des données aux seuls usages envisagés pour le fonctionnement de la technologie du métavers. Elle limite et empêche l’opérateur, responsable de traitement de les utiliser à des fins commerciales notamment, si cela n’était pas au préalable spécifié.

En outre, les finalités doivent figurer au sein des informations à fournir lors de la collecte (article 13). Même dans l’exemple d’un jeu, le métavers doit pouvoir fournir ces renseignements à la personne concernée, on pourra par exemple envisager des mentions d’information lors de la création du compte afin d’avertir du devenir du nom, prénom, mail… En effet, ce nouveau monde virtuel n’est pas une zone de « non droit ».  Les données traitées sont protégées et protégeable du simple fait d’être établi sur le territoire européen. Grâce à son champ d’application matériel et territorial élargi les dispositions du RGPD ont vocation à être envisagées à l’égard du métavers.

2) Traiter les données du métavers selon le RGPD

Le métavers, bien qu’étant par définition virtuel, presque irréel, ne peut pas s’exempter de toute contrainte issue de notre réalité, tant sur le plan juridique que législatif. Il reste soumis aux principes cardinaux dont la licéité, loyauté et transparence (article 5.1.c). A ce titre, le client du métavers devra pouvoir consulter la politique mise en œuvre pour traiter ces données.

Par ailleurs, il ne faut pas manquer d’évoquer la question du consentement de l’utilisateur. D’une part, il peut être problématique car possiblement donné par un mineur. En effet, le consentement d’un mineur de moins de 15 ans n’est pas valable en France : il ne peut pas donner seul son accord sur certains traitements. Ailleurs, cette majorité diffère, ce qui pourrait impliquer la conception d’un métavers spécifique à la règlementation nationale de chaque pays, loin de son idée originelle d’ « universalité ». Pour un mineur, le consentement doit provenir du titulaire de l’autorité parentale. Pourtant, peu pratique en réalité de quitter son casque de réalité virtuelle, ses manettes, pour le donner à un majeur capable de donner un consentement valable. De manière plus générale, il est difficile de récolter un consentement libre, éclairé, univoque, spécifique, explicite tant auprès d’un enfant que d’un adulte dès lors que le consentement conditionnerait l’accès à un jeu…  En effet, celui-ci peut se retrouver biaisé, son caractère valable est remis en cause. En ce sens, envisager de baser la récolte des données sur le consentement ne semble pas rationnel : les autres bases légales devront être envisagées.

Toutefois, Facebook, pionnier du métavers a assuré vouloir construire ce monde de manière responsable et raisonné : « […] minimize the amount of data that’s used, build technology to enable privacy-protective data uses and give people transparency and control over their data » ( « minimiser la quantité de données utilisées, mettre au point des technologies permettant d’utiliser les données dans le respect de la vie privée et donner aux gens la transparence et le contrôle de leurs données »). Cette opportunité de contrôle de ses données, revêt un enjeu réel, ambitionné à l’égard du Web 3. Pourtant, cette prérogative semble encore difficilement atteignable dans le métavers alors même que les ingénieurs de Facebook ont pu avouer leur incapacité à connaître les usages ultérieurs ou même localiser les données récoltées.  Une promesse qui ne reste qu’à être tenue…

2. L'application du RGPD à la collecte de données sensibles dans le métavers

Parmi les 1200 Américains interrogés intéressés par les métavers, 77% se déclarent inquiets à l’idée que Facebook détienne les données. A juste titre, les données pouvant être récoltées pour le métavers sont nombreuses et certaines identifiantes. Si le caractère inédit de cette technologie aurait pu entrainer de nouveaux dangers pour les utilisateurs, notamment par l’apport de données imprévues par les textes, il n’est en rien. En effet, des données récoltées sont qualifiables au sens du RGPD comme   sensibles. A titre d’illustration, The Financial Times a inspecté les brevets déposés par Meta et a découvert sa volonté d’avoir recours à la collecte de données biométriques et comportementales.

1) Les données biométriques physiques

Le métavers devient la prolongation du moi : le chez moi. De même, pour l’avatar, qui devient érigé selon mon idéal. Ainsi, pour personnaliser mon avatar, il devient possible de scanner ma photo pour en répliquer la couleur de peau, le mouvement des cheveux voire le moindre pore. De la même manière, le casque VR détient la possibilité de capter et photographier la pupille du joueur, l’identifiant personnellement.

Là se pose tout le problème des données biométriques physiques, elles sont uniques et intangibles. Nos yeux sont en permanence liés à notre personne, ce qui constitue notre identité. A ces fins, la manipulation de ces données nous compromet directement. Ainsi, sommes-nous prêts à livrer notre identité et notre corps à des acteurs privés, dont les mesures de sécurité et ambitions sont parfois floues et dont la récolte menace de constituer les prémices d’un vaste profilage ?

Dans cette approche, les textes existants mériteraient des éclairages. En effet, ces derniers prônent une protection des données personnelles, laquelle devrait envisager des garanties plus explicites à l’égard de ces données biométriques « physique ». Celles-ci sont d’ores et déjà utilisées autant par les acteurs privés que public :  reconnaissance faciale pour le déverrouillage des smartphones, carte nationale d’identité numérique, pouvant notamment exploiter les empreintes digitales… Ces applicatifs et leur exploitation font, à juste titre, l’objet de débats dont l’issue représente de réels enjeux de société, notamment au regard du développement de l’IA capable de s’accaparer et donc d’authentifier toute personne physique à partir de ces données. Cette crainte de la manipulation des données identifiantes ne cessera de s’amplifier dans un monde numérique en constante innovation.  

2) Les données biométriques comportementales physiologiques

Dans le même contexte, les casques et « manettes » captent également tous nos mouvements. Il devient possible d’analyser le fonctionnement de l’être humain. Par exemple, on pourra constater un mouvement des yeux qui s’attarde sur un produit, relever l’augmentation de la fréquence cardiaque par des capteurs, un sourire, un froncement de cils…

Ici également, les comportements permettent d’identifier voire d’authentifier une personne, de manière plus subtile. Cela présente des risques identifiés par le RGPD. En ce sens, toutes ces données sensibles ne pourraient pas être récoltées, de n’importe quelle manière que ce soit, sauf à justifier d’un intérêt public, d’un consentement exprès ou autres justifications mentionnées à l’article 9.2 du RGPD. Pour Noëlle Martin, nous voilà très proche du transhumanisme : « L’objectif est de créer des répliques en 3D de personnes, de lieux et de choses, si hyperréalistes et tactiles qu’il est impossible de les distinguer de ce qui est réel, et ensuite de servir d’intermédiaire pour toute une série de services… ».

Ces données sont rattachables aux données sensibles en tant que données de santé ou données génétiques et biométriques mais ne font pas l’objet de règlementation spécifique. En ce sens, une variation d’interprétation pourrait permettre de les qualifier comme simple donnée personnelle, impliquant la possibilité de traitements à outrance. Pourtant, la qualité et quantité d’information que les données comportementales peuvent prodiguer reste problématique et menaçant dès lors qu’il devient analysé, interprété par un tiers. Selon l’émergence du métavers, la législation devra s’interroger sur la pertinence d’ajouter des garanties spécifiques à ces données.

3. La régulation des stratégies employées sur le métavers, l’application des règlementations connexes au RGPD

La récolte de ces données biométrique fait sens lorsque l’on parle de marketing. En effet, dans ce cas de figure on cherche à capter la moindre particularité de la personne afin de se rapprocher de ses goûts puis de l’influencer vers un acte d’achat.

1) Le marketing géolocalisé

Le Laboratoire d’Innovation Numérique de la CNIL (LINC), dispositif de réflexion sur les usages émergents du numérique écrit que « les données ne sont pas nécessairement désirées pour elles-mêmes mais parce qu’elles constituent la meilleure (ou la moins mauvaise) retranscription de l’activité et du comportement du joueur (i.e : les endroits où il se rend, comment il se déplace, s’il est attentif / réactif…). », au final, le marketing géolocalisé se servira de ces informations afin d’attirer les personnes à un endroit et à un moment particulier. Ici, l’exemple type est celui que nous avons déjà pu invoquer : placer un produit dans le métavers afin d’inciter à l’acheter dans la vie réelle.

Le RGPD encadre les pratiques liées au marketing en règle générale. Mais il convient ici d’envisager la directive ePrivacy transposée par l’article L34-1 du CPCE qui confère une protection spéciale de la vie privée dans le secteur des communications électroniques, sauf consentement de la personne concernée. En vertu de ces textes, les données relatives au trafic de communication sont confidentielles (routage, protocole…). Le terminal de l’utilisateur bénéficie d’une protection puisqu’il peut représenter un vecteur d’atteinte à la vie privée. Ainsi, pourrait-on transposer une telle protection dans le métavers ? Serait-il possible d’envisager une sphère « confidentielle » autour de la personne, la préservant des intérêts commerciaux et de toute récolte de données en ce sens ? Le champ d’application de cette directive reste en suspens. Dans tous les cas, une telle limite a été envisagée s’agissant d’un « périmètre » de sécurité autour de l’avatar afin de le protéger contre les agressions virtuelles.

En outre, les données de localisation sont protégées par la même directive. Par principe, il n’est possible d’effectuer un tel traitement de ces données sauf dans le cas où il a été procédé à une anonymisation ou au recueil du consentement de la personne concernée. En l’espèce, on pourrait aussi bien imaginer un métavers dans nos lunettes, de la même manière que les Spectacles de Snapchat, nous donnant à voir un détail d’une architecture romanesque, un Google Maps indiquant directement la rue à emprunter. Dans ce cas encore, la règlementation doit s’appliquer. Ces données indiquant la position géographique devront être conservées pour une durée limitée (CJUE, 21 décembre 2016, affaires jointes Tele2 Sverige AB (C 203/15) et Watson e.a. (C 698/15)), faire l’objet d’une information auprès de la personne concernée, lui donner la possibilité de retirer son consentement, interdire temporairement un tel traitement ou encore prévoir la limitation des personnes ayant accès à ces données. Pour autant, il semble également possible d’exploiter les émotions à des fins marketing.

2) Le marketing émotionnel

Le métavers détient un potentiel énorme. En effet, parce qu’il permet de nous immerger, il capte nos sens les plus précis : la vue, l’ouïe… jusqu’à pouvoir imaginer qu’il puisse manipuler notre plasticité cérébrale. A ce titre, la réalité virtuelle a pu être utilisée pour détourner l’attention des patients afin qu’ils puissent gérer plus facilement la douleur, notamment lors d’une opération.

Dans le même sens, lorsque les casques deviennent équipés de capteurs, il devient possible de mesurer le stress au travail ou des pics émotionnels comme la colère, la dépression, l’anxiété, comme cela existe déjà en Chine. L’intelligence artificielle est celle qui permet la détection de telles émotions, notamment par la mesure du rythme cérébral qui indique son niveau d’activité. Cette dernière semble être un acteur incontournable du métavers. Elle permettra d’interpréter les données en temps réel pour produire des résultats exploitables, notamment à des fins marketing.  Pourtant, ces applicatifs d’IA posent problème, c’est en ce sens qu’ils font l’objet d’une future règlementation à l’échelle européenne.

La règlementation en matière d’intelligence artificielle n’est qu’à ses prémices. Pourtant, l’Union Européenne bâtit un projet de règlement : Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union aussi renommé « Artificial Intelligence Act ». Il interdit le développement de systèmes d’IA employant des techniques manipulant le comportement humain, aboutissant à des torts physiques ou psychologiques, ou encore ceux exploitant la vulnérabilité d’un groupe de personnes. Le métavers n’étant limité que par l’imaginaire de ses concepteurs, ils devront pourtant prendre en compte de telles interdictions. Reste à savoir l’importance qu’ils pourront accorder à de tels impératifs règlementaires, perçus comme contraignants. Ici même se pose la question intarissable de la conciliation entre l’économie confronté au droit, perçu comme frein à l’innovation et à la conception. Pour l’instant, le cadre légal réussit progressivement à s’imposer afin de combattre de telles dérive face à l’utilisation de la donnée personnelle dans de tels domaines purement économiques. En outre, le projet soumet, par principe, le développement de systèmes d’IA de reconnaissance des émotions et de catégorisation biométrique à des exigences spécifiques, en addition des systèmes qualifiés par la Commission à « haut risque ». Transparence, précision, supervision par une personne physique, information sur l’intervention de la machine sont de rigueur. Pour autant, ces obligations ne sont qu’indicatives jusqu’à l’adoption de ce règlement envisageable d’ici 4 ans. De même, nos suppositions sur ce métavers intrusif reste conditionné par les choix envisagés par les concepteurs.

En conclusion, le métavers semble pouvoir devenir un nouvel eldorado, espace d’évasion, loin des problèmes économiques ou géopolitiques qui menace notre monde et nous enferme dans une réalité terne. Pourtant, l’aspect ludique de cette technologie pourrait se révéler insidieuse dès lors que des acteurs privés comme Facebook, nouveau Meta, s’approprierait des données personnelles qui nous sont propres, et uniques : nos données biométriques. Ce sont encore des données supplémentaires à ajouter à la liste des données détenues par ces géants. Ainsi, cette technologie représente l’enjeu d’accumuler d’autant plus de données à notre encontre et favoriser leur position hégémonique. A titre d’exemple, Oculus, société innovante aux origines des casques de réalité virtuelle avait été rachetée dès 2014 par Facebook. On comprend alors aisément que les GAFAM deviennent les acteurs principaux de cette hypothétique transition.

Face à eux, s’oppose une règlementation. En effet, comme le souhaitait Margarethe VESTAGER, vice-présidente de la Commission Européenne, l’Union Européenne a engagé un processus de régulation des acteurs du numérique, visant implicitement les GAFAM. A ce titre, les législations en vigueur : le RGPD ou la directive ePrivacy, semblent s’ériger comme un rempart efficace face à une collecte potentiellement excessive. En outre, les contenus publiés sur le métavers tomberont sous le joug de la modération impulsée par le récent Digital Services Act (DSA). Ainsi, on comprend aisément que les institutions ambitionnent d’élaborer des textes intemporels, conscients du retard constant de la législation face au numérique. Un pari qui semble réussi à l’égard du métavers, contraint par ces législations. Dans le même temps, d’autres métavers en gestation sont envisagés à l’aune du développement d’une technologie émergente. Il devient envisageable d’inclure des modules dotés d’intelligence artificielle, lesquels seront soumis au projet de Règlement sur l’intelligence artificielle. Cette initiative atteste d’un enjeu encore récent et appréhendé progressivement par le droit, dont les contours restent abstraits.

L’arsenal législatif existant permet de s’assurer d’une navigation sereine dans le métavers. Dans la pratique et au regard de la législation en vigueur, cette dernière est suffisamment large pour donner un cadre général au métavers. Pourtant, des dérives sont toujours envisageables, car là où le droit peut admettre des limites, il n’en existe pas dans l’esprit humain. En effet, l’application de ces textes by design reste conditionnée à la volonté du concepteur originel. Pour pallier cette marge d’interprétation, il pourrait sembler pertinent d’adopter une législation spécifique pour ce type de technologie florissante et potentiellement dangereuse.

Face au développement du métavers, il s’agira d’observer le choix des juridictions à s’emparer de l’arsenal législatif existant ou de créer, conjointement avec le législateur, un droit sui generis, propre à son originalité.  Face à tous ces enjeux, une question reste entière : métavers, rêve d’évasion ou enfermement dans une prison ?

 

Pour aller plus loin :

–  Eléna LOPEZ