À l'heure où les projets de métavers se précisent, cette nouvelle technologie suscite de nombreuses inquiétudes en matière de protection des données personnelles.
I - Qu'est-ce que le métavers ?
Le terme de « métavers » est issu de la contraction de meta et universe. Il s'agit donc d'un monde virtuel structuré et ouvert, soit un ensemble d’espaces virtuels où les utilisateurs pourront s'immerger dans un « Internet augmenté », et échanger avec d’autres personnes qui ne se trouvent pas dans le même espace physique. Ce « lieu » pourra être utilisé dans le cadre du jeu, du travail ou des loisirs, comme, par exemple, des concerts.
Cet intérêt pour le « virtuel » n'est pas nouveau, et remonte dans les années 90, avec la publication du roman « Snow Crash » de Neal Stephenson. Dès 1992, il évoquait un « Metaverse », un environnement auquel les utilisateurs peuvent accéder par des terminaux. En 1999, vient le succès du film Matrix, plongeant le spectateur dans un monde où les humains sont constamment branchés à des machines et, en 2003, la création du jeu vidéo « Second Life », qui permettait aux joueurs d’incarner des personnages virtuels dans un monde en 3D qu’ils pouvaient fabriquer eux-mêmes.
Aujourd'hui, de nombreuses expériences ont déjà été mises en œuvre. Meta, anciennement Facebook, en référence à cette « nouvelle technologie », est d'ailleurs le metavers qui a le plus fait parler de lui récemment.
II - Évolution technologique et collecte des données
Même si la notion de « métavers » n'est pas nouvelle, les ressources pour y parvenir évoluent sans cesse. De ce fait, en proposant une immersion « totale », notamment grâce à des terminaux d'accès comme les casques VR, dotés de capteurs, ou les lunettes connectées, la question de la collecte des données se pose.
Comment minimiser la quantité de données utilisée sans freiner l'évolution de cette technologie ?
Le LINC écrit dans un article en 2018 qu’en Chine, « des ouvriers, des militaires et des conducteurs de trains [étaient] équipés de casques ou casquettes munis de capteurs afin de mesurer le niveau de stress au travail […] Les capteurs sans fil surveillent en permanence le rythme du cerveau et envoient les données vers des serveurs sur lesquels tournent des algorithmes d’intelligence artificielle, en mesure de détecter des pics émotionnels, comme l’anxiété, la colère, voire la dépression. ».
De nombreuses données, comme les données physiologiques ou biométriques, risqueront d'être collectées dès lors que l'utilisateur utilise ces outils afin de se connecter dans le métavers. Il conviendra alors d'établir une limite entre la collecte des données dans l'intérêt du fonctionnement de cet univers, et la disproportionnalité de cette collecte.
Cette nouvelle façon de collecter les données devra faire l'objet d'une régulation, ou plutôt d'appliquer la réglementation en vigueur à cet environnement. Les autorités de régulation devront être vigilantes, et sensibiliser les plateformes sur le sujet.
III - Questions de droit
De manière générale, les questions qui se posent portent sur des thématiques qui ne sont pas nouvelles, et qui ont déjà fait l'objet de débat lors de l'ouverture au public d'Internet dans les années 90. Les obligations des responsables du traitement seront les mêmes, les modalités lors d'achats sur le métavers ne changeront pas, l'obligation d'avoir une charte de confidentialité, par exemple.
La seule véritable question qui reste en suspens pour le moment est la question de la territorialité, notamment si les différentes lois offrent des solutions juridiques opposées ou divergentes. Les États devront se mettre en accord, en optant pour la formule de résolution de conflit de loi comme on l'entend en pratique, ou en renforçant la réglementation en vigueur afin de l'adapter à ce nouveau monde.
La régulation en matière de protection des données ne changera donc globalement pas. Toutefois, les questions de transparence, d'information et de consentement des personnes concernées resteront les grands enjeux. En effet : même si le Règlement sur la Protection des données (RGPD) s'appliquera, comme pour les réseaux sociaux, les sites de vente en ligne, etc., le responsable du traitement sera difficilement identifiable (Meta sera-t-il responsable des données des utilisateurs dans son propre métavers ? Ou, la responsabilité reposera-t-elle sur les organismes collectant ces données, à travers des événements ou des « boutiques de vente », dans ce métavers même ?).
IV - Conséquences pratiques
Contrairement à des idées reçues, et même si certaines problématiques se posent, le metavers ne sera pas une zone de « non-droit ».
Cet univers n'écartera pas la responsabilité des organismes qui l'intégreront dans leurs pratiques. Le champ d'application territoriale restera inchangé : les organisations établies dans l'Union européenne et/ou qui collectent les données des personnes qui se trouvent sur le territoire de l'Union devront se soumettre à la réglementation.
Comme expliqué précédemment, dès lors que le responsable de traitement sera identifiable, les obligations seront les mêmes :
- Mise en place d'un registre des traitements tout en minimisant la quantité de données utilisées ;
- Application de mesures organisationnelles et techniques (notamment la création d'une Analyse d'Impact) pour sécuriser les données, en mettant au point des technologies permettant d'utiliser les données dans le respect de la vie privée ;
- Coopération avec l'autorité de contrôle ;
- Respect des droits des personnes concernées en leur donnant la transparence et le contrôle de leurs données.
Les organisations devront être également prudentes sur la collecte des données sensibles, notamment des données biométriques. Ces données ne pourront pas être collectées, sauf à justifier d’un intérêt public, d’un consentement exprès ou autres justifications mentionnées à l’article 9.2 du RGPD.