Par Ola Mohty, Juriste et experte RGPD chez Data Legal drive
Qui n'a pas encore entendu parler du métavers ? Cette notion a récemment pris de l'importance dans les médias qui nous la présentent tout en essayant de comprendre sa signification et d'interpréter son influence sur notre avenir. Qu'il s'agisse de fréquenter des amis, de faire des achats, ou encore de créer son entreprise, tout cela pourrait avoir lieu dans un nouvel environnement qui ne fait pas la distinction entre la réalité et le virtuel.
L'expression « métavers » n'est pas nouvelle. Elle est apparue il y a 30 ans dans le roman de science-fiction « Snow Crash » de Neal Stephenson. Cette notion vague fait référence à un nouvel espace. Il ne s'agit en effet pas d'un site de commerce classique ou encore d'une plateforme web de mise en contact. Ce concept innovant s'appuie sur un objectif d'immersion des utilisateurs d'une part et une interaction entre plusieurs personnes se trouvant dans différents lieux d'autre part.
Bien que pas encore pleinement abouti, plusieurs entreprises commencent à s'approprier ce concept dont notamment Facebook qui s'appelle désormais « Meta ». Ce géant du web précise vouloir « construire un avenir où les gens ont plus de moyens de jouer et de se connecter ». Cette invention suscite toutefois de nombreuses inquiétudes en matière de protection des données personnelles. Il convient ainsi de s'interroger sur ses enjeux juridiques et sur la règlementation applicable.
Des données plus nombreuses
Une des principales questions qui se posent au sujet des métavers concerne les données et leur protection. Se présentant comme une réalité virtuelle avec des avatars contrôlés par l'utilisateur, cette nouvelle technologie est susceptible d'entraîner la naissance de nouvelles catégories de données personnelles d'une part et une augmentation du nombre des données personnelles collectées d'autre part.
Or, ces données sont-elles vraiment des données à caractère personnel ? Bien que des avatars y circulent, les données pouvant être collectées permettent de révéler de nombreuses informations sur les utilisateurs. Ces derniers sont représentés par des personnages fictifs et ceux-ci constituent une version fidèle de la personne. Il ne fait, dès lors, aucun doute que les données collectées permettent de remonter aux individus concernés. Plus encore, il semble que ces données aideront à mieux comprendre les processus de pensée des clients.
En effet, les applications mobiles et les sites web permettent aujourd'hui aux entreprises de comprendre comment les individus se déplacent sur internet ou encore comment ils naviguent via une application. Demain, avec les plateformes métaverses, il serait possible de suivre les individus de manière beaucoup plus intime. L'utilisation du métavers impliquera alors une collecte de données sans précédent. Il pourrait s'agir d'expressions faciales, de gestes ou encore d'autres types de réactions qu'un avatar pourrait produire lors de ses interactions dans le métavers. Ces informations permettront aux entreprises de mieux comprendre le comportement des utilisateurs et d'adapter les campagnes publicitaires de manière très ciblée.
La collecte des données ne se fera toutefois pas de manière directe. La personne n'aura pas à fournir de manière proactive des données personnelles en accédant à une page web ou à une application. Les données seront recueillies en temps réel lorsque les utilisateurs se trouvent dans leur métavers, interagissant par l'intermédiaire de leurs avatars. Ceci pourra être à l'origine de divers risques puisque l'utilisateur ne sera pas forcément conscient des données qu'il émet.
Une règlementation qui existe
Les règles de droit permettant d'encadrer ce nouvel espace existent-elles déjà ? La mise en place de nouvelles règles ou encore d'un nouveau règlement européen est-elle nécessaire pour règlementer cet univers ?
Le RGPD régit le traitement des données à caractère personnel appartenant à des personnes au sein de l'Union. Pour assurer une protection optimale de ces personnes, il définit les données personnelles de manière large. Est considérée comme une donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable. Il suffit donc de pouvoir remonter à la personne, quoique de manière indirecte, pour admettre le caractère personnel de la donnée. Ainsi, le terme « donnée personnelle » peut comprendre un large panel d'informations allant du prénom de la personne à un simple numéro de référence. Les données auxquelles l'utilisation du métavers donnera naissance entrera dans cette catégorie dès lors qu'elles révèlent des renseignements sur une personne. Tel est le cas de tout geste ou encore de toute réaction élaborés par un avatar.
Le champ d'application territorial du RGPD est également très large. Deux critères principaux doivent être pris en compte, le critère d’ « établissement » et le critère de « ciblage ». Ainsi, du moment où une entreprise cible des personnes se trouvant sur le territoire de l'Union, les activités de traitements concernées doivent être soumises au RGPD. Par conséquent, pour déterminer si le RGPD s'applique ou pas, il faudrait identifier notamment le lieu où se trouve la personne à laquelle appartiennent les données. Or, dans le cadre du métavers, les utilisateurs sont représentés par des personnalités virtuelles qui peuvent se trouver dans des endroits différents. Faudrait-il alors se baser sur la localisation de la personne qui fait fonctionner l'avatar ou il serait plus approprié de se baser sur l'avatar lui-même ?
Le caractère sans frontières du métavers avec des avatars qui y naviguent rendent en effet les choses complexes. Supposons que c'est la règlementation du lieu où se trouve la personne qui s'applique et donc le RGPD dans le cas où l'individu se trouve dans l'Union européenne, d'autres interrogations peuvent prendre naissance portant sur les principes de transfert des données. A partir de quel moment doit-on considérer qu'il s'agit d'un transfert de données ? Serait-il suffisant de se contenter de se baser sur les garanties de transfert actuelles pour valider la licéité d'un transfert de données ? Ces évolutions technologiques ne nécessitent-elles pas de repenser les outils juridiques applicables ? La nécessité d'assurer une protection optimale des données semble pencher vers cette alternative.
Des règles à renforcer
Spécifier quelle entité doit déterminer comment et pourquoi les données personnelles seront traitées et quelle entité traite les données pour le compte de quelle entité, pourrait s'avérer difficile dans le métavers. Pour ce faire, il faudrait sans doute décrypter un ensemble de relations complexes et il n'est pas certain que des réponses claires et évidentes puissent être trouvées. L'identification du responsable de traitement pourrait ainsi être à l'origine de plusieurs difficultés. Elle est toutefois nécessaire dans le cadre de la répartition des responsabilités et des obligations vis-à-vis des utilisateurs.
Plusieurs autres questions peuvent se poser. Y aura-t-il un administrateur principal du métavers qui collectera toutes les données personnelles fournies dans le métavers et qui déterminera comment ces données personnelles seront traitées et partagées ? Ou bien plusieurs entités collecteront ces données par le biais du métavers et chaque entité déterminera ses propres objectifs ? Comment le consentement des utilisateurs doit-il être recueilli ? Comment les différentes entités doivent-elles chacune afficher sa propre politique de confidentialité ?
La CNIL attire l'attention sur la nécessité d'assurer une information renforcée des personnes et de respecter les principes relatifs au consentement. Or, il n'est pas certain que l'utilisateur puisse profiter pleinement de ce dispositif dans le cas où il refuse de donner son consentement. Celui-ci ne serait dès lors pas collecté de manière libre. Il faudrait ainsi s'assurer que la modalité de collecte du consentement dans le métavers doit être identique à celle pratiquée dans le « monde réel » ou s'il faudrait recourir à d'autres modalités qui tiennent compte des particularités de cet univers.
De même, le RGPD exige que les informations obligatoires soient transmises à la personne concernée au moment de la collecte des données pour lui permettre de prendre une décision en connaissance de cause. Cette contrainte semble difficile à respecter dans le métavers où l'échange de données se fait de manière très rapide et implique un grand nombre de participants.
Face à ce constat, il serait difficile d'échapper à une revue des lois actuelles. Assurer une protection optimale des données personnelles dans ce nouveau monde semble toutefois être un défi. La quantité et le type de données que ce dispositif permet de collecter sont inédits. La possibilité d'enregistrer les moindres réactions des personnes permettront en effet d'ouvrir la voie à un profilage d'une finesse exceptionnelle. Ceci pourrait renforcer le pouvoir des détenteurs de ces données, rendant ainsi en quelque sorte obsolètes les règles actuelles sur la protection des données.