Le sort des données personnelles à l’ère du métavers
À l’ère du métavers, de nombreuses questions se posent relatives au traitement des données personnelles dans ce no man’s land juridique.
L’inquiétude d’une protection efficace va de pair avec la multiplication des données collectées.
Bien que le métavers soit défini comme un ensemble virtuel dans lequel chacun peut avoir une existence personnelle et personnalisée grâce à un alter ego numérique, comment encadrer cette nouvelle « sphère privée virtuelle »[1] ?
Malgré la définition volontairement large donnée par l’article 4 du donnée par l’article 4.1 du Règlement général de protection des données[2] (RGPD), se pose la question de son application dans le métavers. En effet, alors que le métavers fait intervenir des avatars créés de toutes pièces, comment réussir à identifier une personne ?
Toutes ces questions témoignent de la complexité de réglementer le cyberespace. En dépit d’une présentation élogieuse par Mark Zuckerberg en octobre 2021, le Laboratoire d’innovation numérique de la Cnil (LINC) relatait un mois plus tard les difficultés de la protection des données dans le métavers[3].
Une collecte de données croissante : surprotection à espérer ou dangerosité à déplorer
En novembre 2021, le LINC avertissait des dangers du métavers dans le cadre de la protection des données personnelles. Parmi ces dangers, figure le risque d’augmentation « potentiellement exponentielle » de la collecte de données.
Un autre danger réside dans la collecte des données en elle-même puisqu’elle ne se fera pas de manière directe. Autrement dit, l’utilisateur ne prendra pas l’initiative de fournir des données via une application ou une page Web. Le recueil de ses données personnelles se fait en temps réel grâce aux interactions de son avatar.
Cela pourrait être à l’origine de divers dangers puisque l’utilisateur ne sera pas toujours conscient des données qu’il émet. Ainsi, cela irait à l’encontre de l’article 7 du RGPD exigeant le consentement de la personne concernée pour la collecte de données.
De plus, comment identifier le responsable de traitement ? Existera-t-il un responsable de traitement principal qui aura pour mission de collecter toutes les données personnelles offertes dans le métavers ? Qui déterminera comment traiter et utiliser ces données ? Au contraire, existera-t-il une multitude de responsables de traitement « secondaires » dont une coordination serait à imaginer ?
Paradoxalement, le métavers pourrait néanmoins offrir une certaine protection à l’égard des données personnelles. En réalité, la création d’un avatar dans le métavers a fait renaître une notion devenue presque inconnue de l’internet : l’anonymat.
Facebook (devenue Méta) estime que l’évolution responsable du métavers passe notamment par la protection des données personnelles des personnes concernées. Dès lors, on ne pourrait qu’espérer que des technologies soient mises au point afin de donner aux utilisateurs le contrôle de leurs données, mais aussi afin d’utiliser les données dans le respect de la vie privée et de l’exigence de transparence.
Quelles règles juridiques applicables aux données personnelles dans le métavers ?
En premier lieu, les données collectées dans le cas du métavers sont-elles des données personnelles au sens du RGPD ? En effet, le métavers fonctionne au moyen d’avatars qui, malgré leur existence fictive, peuvent révéler de nombreuses informations sur les utilisateurs qui y sont reliés.
Au titre de ces informations, on peut ainsi citer les données biométriques (article 4.14 RGPD) et le « eye-tracking », toutes les données d’identification de la personne, son historique d’usage, etc. Partant, les données collectées rendent les individus identifiés ou identifiables, faisant d’elles des données protégées par le RGPD.
En second lieu, juridiquement on ne constate l’existence d’aucun cadre légal véritablement propre au métavers. En conséquence, plusieurs problèmes juridiques vont se poser et notamment celui de savoir s’il ne serait pas plus cohérent de créer un régime particulier applicable au métavers ?
Selon Maître Alain Bensoussan, les règles du monde physique devraient s’appliquer au monde virtuel, et inversement, dans la mesure où l’on parle de nos « jumeaux virtuels ». L’idéal serait ainsi de dessiner un nouveau droit à partir des règles physiques, mais en tenant compte de la virtualité.
En principe, trois règlementations trouveraient à s’appliquer au métavers, même si à l’heure actuelle, nul n’est capable de préciser comment :
- le projet de Règlement e-Privacy censé remplacer la directive du même nom[4];
- le RGPD s’appliquant à tout traitement de données personnelles d’individus résidant au sein de l’UE. Dès lors, à partir du moment où l’univers virtuel est rendu accessible à ces personnes, le RGPD trouverait à s’appliquer. Toutefois, le caractère sans frontière du métavers rend les choses bien plus complexes qu’elles n’y paraissent.
- le futur règlement sur l’intelligence artificielle, d’ailleurs toujours en cours de discussion entre le Parlement et la Commission européenne[5].
Conclusion
Ce cyberespace, autant attractif pour certains qu’inquiétant pour d’autres, a vocation à être régulé afin que les utilisateurs puissent naviguer dans un univers sécurisé et respectueux.
À cet égard, d’autres questions plus précises et notamment sur la responsabilité des acteurs viendront s’ajouter et tendront à éclaircir un peu plus les aspects juridiques encore flous du métavers. La Cnil, redoublant de vigilance, a eu l’opportunité de réformer ses contrôles avec la création de nouveaux agents.
Ces « Samouraïs virtuels »[6] ont pour mission de parcourir le métavers et de contrôler les interfaces de captation des données. Par leur nombre grandissant et l’accroissement des moyens dont ils disposent, l’efficacité de leur contrôle est à escompter.
Rébecca Véricel
Lexing Propriété intellectuelle
Garance Besqueut, Stagiaire
Master 1 Droit de la propriété intellectuelle appliquée
Notes
[1] Maître Alain Bensoussan, « Droits et devoirs – Vers un droit des métavers ? », Planète robots n°72, Mars/Avril 2022.
[2] RGPD, art. 4.1 : « toute information se rapportant à une personne physique identifiée ou identifiable ».
[3] Régis Chatellier, « Métavers : réalités virtuelles ou collectes augmentées ? », LINC du 5 nov. 2021.
[4] Proposition de règlement (e-privacy), compromis du 18 septembre 2019.
[5] Le considérant 28 du préambule du projet de règlement rappelle notamment que la protection des données à caractère personnel est un droit fondamental.
[6] Régis Chatellier, « Métavers : ce jeu dont qui sera le héros ? », LINC du 24 janv. 2022.