Le développement des univers virtuels immersifs est appelé à générer un volume sans précédent de données personnelles. La nature des données collectées et le recueil du consentement posent un grand nombre de questions. État des lieux.

Présenté comme le futur du web, le métavers affole les compteurs. Selon une étude du cabinet Analysis Group parue en mai 2022, le développement des mondes virtuels gonflerait le PIB mondial de 2,8 % en dix ans, soit quelque 3 000 milliards de dollars à horizon 2031. Un mois plus tard, McKinsey surenchérissait pour porter le bénéfice jusqu’à 5 000 milliards de dollars et, ce, dès 2030.

Après les sites statiques du web 1.0 puis les médias sociaux du web 2.0, le Web3 ouvre la voie aux univers immersifs permettant aux individus d’interagir avec leur communauté. Mais aussi avec des marques pour acheter toute sorte de biens et de services dématérialisés. A l’horizon 2026, une personne sur quatre passera au moins une heure par jour dans le métavers pour jouer, travailler, échanger, consommer ou apprendre prédit le cabinet d’études Gartner.

Ces multiples interactions sont appelées à générer un volume inédit de données personnelles, bien supérieur au web actuel. Dans une note baptisée « Métavers : réalités virtuelles ou collectes augmentées ? », Régis Chatellier, chargé des études prospectives à la Cnil, envisage une augmentation « potentiellement exponentielle » du nombre de données générées. Il évoque également « une extension du domaine de la collecte ».

Données biométriques et comportementales

Dans le métavers, l’utilisateur est appelé à semer un grand nombre de traces de son passage à la manière du Petit Poucet. De fait, le spectre des données collectées ne se limitera pas aux données traditionnelles liées à l’ouverture d’un compte comme les nom et prénom de l’utilisateur ou son adresse IP. Son avatar générera lui-même des données. « Sa personnalisation, son comportement, ses déplacements, ses interactions sont autant d’éléments qui illustrent ou trahissent la personnalité de l’individu qui s’estime caché derrière », avance Alain Bensoussan, avocat au cabinet Lexing Alain Bensoussan.

Dans une tribune publiée sur le site DPO Consulting, l’avocate Eléna Lopez évoque d’autres catégories de données hautement sensibles. Les casques de réalité virtuelle utilisées par certaines plateformes comme Horizon Worlds de Meta (maison-mère de Facebook) pourraient devenir des capteurs en puissance.

Techniquement en tous cas, ces casques et les manettes associées offrent la possibilité de recueillir des données biométriques, comme la couleur de notre peau ou la signature de notre iris. Mais aussi des données comportementales telles que nos expressions faciales, les mouvements de nos yeux (eye-tracking), notre rythme cardiaque ou l’état de dilatation de notre pupille.

En analysant ainsi en temps réel notre humeur ou notre état de stress, une marque pourrait interagir avec nous en conséquence. Au-delà de ce marketing émotionnel, le marketing géolocalisé consisterait, lui, à délivrer des actions ou des publicités ciblées en fonction de nos déplacements.

Le pseudo anonymat des avatars

Un autre danger réside dans la collecte même de ces données qui s’effectuera non seulement en temps réel mais de façon « immersive ». « Plongé dans un monde virtuel, l’utilisateur peut perdre en attention et livrer des données sans avoir conscience des risques que cela représente », observe Ola Mohty, juriste experte RGPD chez Data Legal Drive.

Inutile, selon elle, de se retrancher derrière le pseudo anonymat d’un avatar : « L’organisme qui va permettre la création de cet avatar sait à quel compte il est relié. L’utilisateur va ensuite laisser derrière plusieurs données que l’éditeur pourra recouper et remonter ainsi vers lui. Il ne faut pas oublier qu’un avatar n’est que la représentation d’un individu, qu’une personne réelle interagit à travers lui. »

Alors que le RGPD doit s’appliquer aux individus résidant au sein de l’Union européenne, se pose aussi la question des modalités de son application. Le règlement exige que la personne concernée par un traitement de ses données soit informée par sa finalité ou sa durée au moment de la collecte afin qu’elle puisse exprimer un consentement éclairé.

Selon l’article 7 du RGPD, le responsable du traitement doit présenter cette demande de consentement « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». Pas simple dans un univers immersif de quitter son casque ou ses manettes pour donner son accord.

Pour Ola Mohty, il faudra faire preuve de créativité : « Plutôt que de proposer un lien dédié sur lequel cliquer, l’éditeur pourrait prévoir un pop-up ou un autre moyen de communication qui soit un passage obligé dans le parcours de l’utilisateur ». Le consentement pourrait ainsi conditionner l’accès au jeu. Se pose aussi le cas des mineurs dont le consentement doit provenir du titulaire de l’autorité parentale, comme le rappelle Eléna Lopez.

Autre question : comment identifier le ou plutôt les responsables de traitement ? Au-delà de l’éditeur de la plateforme – Roblox, Fortnite, The Sandbox ou Decentraland par exemple -, les différentes entreprises qui y sont hébergées vont, elles aussi, collecter des données.

Dès lors, qui décide quelles données seront traitées et pour quelle finalité ? Comment coordonner ces multiples responsables de traitement ? « On pourrait imaginer la nomination d’un administrateur principal du métavers qui va gérer toutes ces relations et définir les responsabilités des différentes entités », propose Ola Mohty.

Alain Bensoussan, qui s’appuie sur la décision de la Cour de justice de l’Union européenne concernant Facebook, évoque, de son côté, la possibilité d’une responsabilité conjointe entre l’individu qui anime l’avatar et l’éditeur de la plateforme qui lui permet d’agir.

Vers un règlement spécifique ?

Face à ces multiples interrogations, faut-il faire évoluer le paysage réglementaire ? « Même s’il faudra peut-être prévoir une adaptation, je pense que le cadre réglementaire existant permet déjà de régir ce nouvel univers. Le RGPD sera, par ailleurs, complété par les futurs règlements sur l’e-privacy et l’intelligence artificielle (AI Act) », estime Ola Mohty.

A l’inverse, Alain Bensoussan estime qu’il faut envisager un texte propre au métavers et plaide pour édicter des principes simples. Les règles du monde physique et notamment le code pénal devraient s’appliquer au métavers. « Tout ce qui est interdit dans le monde réel l’est aussi dans le monde virtuel », affirme-t-il.

Considérant le métavers comme un espace privé, il estime par ailleurs que « toutes les données émises sont privées par défaut à l’exception de celles que j’ai expressément rendu publiques ». En cela, il rejoint la philosophie du Web3 fondée sur la décentralisation et la réappropriation du contrôle des données par les utilisateurs.

En attendant qu’un cadre réglementaire spécifique ou non se dessine, un éditeur a tout intérêt, selon Ola Mohty, à prendre toutes les précautions nécessaires pour garantir le respect de la vie privée. Et ce dès la conception de sa plateforme selon les principes de « privacy by design » et de « privacy by default ». « S’il doit corriger après coup les problèmes, cela sera plus coûteux et complexe », précise la juriste.

Selon elle, il s’agit plus généralement d’anticiper les risques et de trouver en amont des solutions. L’objectif est d’éviter les dérives du web 2.0 avec l’exploitation des données personnelles par les géants du numérique. S’agissant d’univers encore émergents, les éditeurs ont, de toutes façons, tout intérêt à proposer un cadre de confiance afin de faire venir sur leurs plateformes le plus grand nombre et non les seuls « early adopters ».

Principal artisan du métavers, Meta dit ainsi vouloir construire un cyberespace « responsable ». Le géant du numérique propose pour cela de limiter le volume de données utilisées (principe de minimisation), de développer des technologies respectueuses de la vie privée et de donner aux utilisateurs le contrôle de leurs données.

Optimiste, Ola Mohty veut enfin croire que, face aux niveaux risques qu’ils représentent, l’avènement des métavers permettra peut-être de responsabiliser davantage les individus à l’enjeu du respect de la vie privée.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.