Le métavers arrive et de nouvelles problématiques aussi. Dans le monde de la protection des données, le métavers, de par sa spécificité, soulève des interrogations sur la gestion des données à caractère personnel. Un nouveau type de données est né, la législation suit-elle et à quoi doit-on s’attendre ?
Alors que l’humanité a produit 33 zettabytes de données en 2018, ce volume pourrait atteindre 181 zettabytes en 2025. Cette augmentation s’explique entre autres par la démocratisation de l’Internet of Things (IoT) depuis plusieurs années : une multiplication du nombre d’appareils qui peuvent récupérer des informations (micro, motion sensors, cœur, etc.) permettent également une surveillance accrue des interactions des utilisateurs. Parmi cette énorme quantité de data, on retrouve ce qu’on appelle des données personnelles, c’est-à-dire, des informations se rapportant à une personne physique ou identifiable.
Le traitement des données personnelles représente donc à l’heure actuelle une problématique centrale dans le domaine du numérique. Bien que le RGPD apporte une réponse à beaucoup de questions sur cette thématique, il reste tout de même des zones d’ombre. Partir de ce postulat invite donc à se positionner dès maintenant sur la question du traitement des données personnelles au sein du (prétendu) monde numérique de demain : les métavers.
Des milliards de dollars ont été investis dans les technologies du « Metaverse », de plus en plus d’organisations (privées ou publiques) s’y intéressent et Meta en a fait son cheval de bataille. Malgré tout, il n’existe pas encore de définition claire du métavers. Certains définissent ce concept comme l’unification du monde réel et virtuel via, notamment, la réalité virtuelle. L’un des points clefs de ce concept repose sur l’interopérabilité, la possibilité de transférer ses biens digitaux d’une application à une autre.
Un utilisateur arrive sur le métavers par le biais d’un avatar disposant d’une identité virtuelle. Bien que la plupart des systèmes aujourd’hui permettent de créer un avatar sans demander d’informations personnelles, cela ne veut pas dire que cette création reste anonyme. L’avatar est relié à un compte, compte qui effectue des actions susceptibles de générer des données.
Dans un premier temps, des lois sur la protection des données ont été créées pour des cas d’usage « physiques ». Quand l’exploitation de données en grande quantité a été rendue possible, ces lois ont été mises à jour. Les appliquer aux métavers de demain tout en offrant une expérience persistante, en direct, synchrone et interopérable, pourrait s’avérer complexe. En effet, nous avons encore des difficultés à mesurer l’impact sur la gestion des données que peut avoir le métavers car, ce phénomène étant très jeune, nous n’avons pas d’exemples concrets dessus.
Des nouveaux risques à identifier
Comme le disait Micaela Mantegna, professeure d’éthique de l’intelligence artificielle (IA) à l’université Harvard : « le métavers est le point de convergence d’Internet, des réseaux sociaux et des jeux vidéo. Il concentre donc les problématiques éthiques qui existaient déjà avec les réseaux sociaux, la gouvernance d’Internet et de l’IA ». De ce fait, l’expérience utilisateur s’en verrait totalement chamboulée, le champ des possibles serait pratiquement infini. En découlerait inévitablement de nouveaux types de données à acquérir pour les fournisseurs d’accès à un métavers. Ce serait notamment le cas des données biométriques, indispensables pour le bon fonctionnement d’un monde en réalité virtuelle. Toutes ces données peuvent être enregistrées et utilisées sans que personne ne nous garantisse que celles-ci ne soient utilisées à des fins commerciales. Il serait fortement probable qu’elles viennent compléter l’énorme quantité de données qui alimentent déjà les algorithmes de ciblage marketing. La collecte de ces nombreuses données à caractère personnelle se ferait à l’insu même de l’utilisateur, ce dernier ne sachant à aucun moment le nombre de données collectées durant son expérience virtuelle.
Les nouveaux outils disponibles dans les métavers pourraient permettre de suivre ces nouvelles données et d’améliorer la précision de ces dernières. Un monitoring constant permettrait, in fine, une définition plus précise du mode de vie de la personne et de son environnement. Cela permettrait d’analyser, à un niveau encore jamais atteint, les différentes sensations et réactions des utilisateurs, de quoi en apprendre davantage sur les comportements humains. Rappelons tout de même que 20 minutes passées dans un monde virtuel équivaut à plus de 2 millions d’enregistrements de langage corporel.
Malgré tout, les risques sont encore bien présents et sont identiques à ceux que l’on connaît aujourd’hui (scam, data breaches, phishing, etc.). À l’heure actuelle, le RGPD interdit de collecter des données biométriques, sauf accord donné au préalable. C’est sûrement sur cette nuance que pourrait jouer les GAFAM et autres fournisseurs de métavers afin de collecter librement les données biométriques des utilisateurs. En vérité, le choix ici n’en sera probablement pas un, étant donné que la collecte des données biométriques pourrait être un pré-requis quant à l’accès à un métavers. Il pourrait donc être impossible d’accéder à ces espaces virtuels sans que nos données personnelles ne soient collectées.
Le nombre d’entreprises (sans parler des entités juridiques) impliquées dans le fonctionnement d’un métavers pourrait également être sans précédent. En effet, l’expérience utilisateur nécessitera une personnalisation poussée en fonction de son profil, de ses intérêts et de ses comportements. Les utilisateurs pourront se déplacer entre différents métavers, ce qui pourrait permettre de collecter et d’échanger de nombreux jeux de données entre ces différentes entreprises. Une telle utilisation soulève un certain nombre de problèmes de confidentialité. Le principal est de déterminer comment gérer l’échange de ces données personnelles tout en établissant la responsabilité contractuelle et les obligations de confidentialité nécessaires pour sécuriser leur utilisation.
Une deuxième couche de complexité découle du fait que des exigences contractuelles supplémentaires existent dans de nombreux pays si les données personnelles sont transférées en dehors de juridictions spécifiques. Les transferts hors de l’UE ont fait l’objet d’une attention particulière, nécessitant un examen approfondi. Comment le métavers prendra-t-il en compte (ou non) ces considérations ? Les régulateurs seront-ils en mesure de fournir des modèles et des lignes directrices pour trouver le juste équilibre entre efficacité, pragmatisme et droits individuels à la vie privée ?
De plus, le RGPD n’est applicable qu’aux entreprises et utilisateurs basés au sein de l’Union européenne. Comment cela se traduirait-il pour un monde virtuel tel qu’un métavers ? Faudrait-il se baser sur la localisation réelle des utilisateurs ? Selon le pays de résidence d’une entreprise ou d’une personne, la réglementation ne sera pas forcément la même.
L’application de cet ensemble de réglementations pour internet est déjà fastidieuse. On ne sait pas comment les entreprises géreront la conformité légale dans un monde numérique comme un métavers. Ce dernier ne rendra-t-il pas encore plus difficile pour les organisations, en dehors du Royaume-Uni et de l’Europe, de savoir quand elles ciblent des produits ou des services originaires de l’UE et donc sous le RGPD ?
Aujourd’hui, nous n’avons aucune idée de la forme que prendra la réglementation au sein de ces métavers. Nous pouvons facilement imaginer qu’elle soit gérée par des organisations uniques (semblables aux plateformes de médias sociaux d’aujourd’hui, ce qui se profile avec Meta). Il se peut également que des gouvernements s’en chargent eux-mêmes via le développement de leur propre métavers, comme en Chine avec le Yuan Universe. Au contraire, il sera possible de trouver des métavers décentralisés qui permettront aux utilisateurs d’avoir un total contrôle sur leurs données.
La question d’un acteur qui pourrait gérer la confidentialité au sein d’un métavers (non décentralisé) est aujourd’hui un enjeu dont il est important de s’emparer. Il est impératif que le concept de métavers soit considéré comme un cas spécifique et qu’une réglementation adaptée soit présentée dans les années à venir.
Quentin Thiebault, Tom Charpentier et Yacine Loualitene pour le club Data Intelligence de l’AEGE
Pour aller plus loin :