« […] Les chirurgiens pourront s’entrainer autant que nécessaire dans le metavers avant d’opérer de vrais patients […] » .
Cette citation anodine provient de la campagne européenne que l’entreprise Meta, anciennement Facebook, lance pour faire la promotion de son metavers. Un univers virtuel aux multiples possibilités et « bienfaits » dont l’impact sera « réel » assure l’entreprise.
Toutefois, les exemples que promeut Meta dans sa campagne publicitaire soulèvent des questionnements juridiques, dont ceux relatifs aux collectes et aux traitements des données personnelles.
Si à première vue il est présenté une chirurgienne qui s’exerce sur un mannequin virtuel grâce à un casque de réalité virtuelle (ci-après « casque RV »), cela suggère dans un second temps une réflexion sur l’utilisation du casque RV qui implique nécessairement la collecte de données biométriques.
À savoir que les données « biométriques » sont définies par le Règlement Général sur la Protection des Données (ci-après « RGPD ») à l’article comme étant :
« des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telle que des images faciales ou des données dactyloscopiques » ;
À ce titre, les données collectées semblent bien rentrer dans la définition du RGPD de données à caractère personnel dites « biométriques », dès lors que, pour interagir et bénéficier de l’expérience de l’univers virtuel, la collecte des données de mouvements et actions (comportementales) dans le monde réel est automatique afin d’avoir une réaction en conséquence dans le monde virtuel.
Pour autant, il faut savoir que passer 20 minutes dans un univers virtuel, où la technologie de réalité virtuelle est ancrée, laisse plus de 2 millions d’enregistrements de langage corporel (mouvements, micro mouvements etc..) [1]
Au regard des éléments présentés ci-dessus, le metavers pose plusieurs dangers, notamment celui d’une augmentation exponentielle de la collecte de données, où il se pourrait que même la personne concernée ne s’en rende compte.
Une collecte exponentielle de données à caractère personnel
Le metavers en développement de Meta consiste d’après l’entreprise en « un ensemble d’espaces virtuels où chacun pourra créer, explorer, échanger avec d’autres personnes qui ne se trouvent pas dans le même espace physique », au moyen de technologies ayant recours à la réalité virtuelle et à la 3D.
Si beaucoup ignorent encore l’impact et le changement que le metavers aura sur l’industrie du jeu, du commerce, voire du mode de vie de tous les jours, il est impossible d’ignorer la quantité variée de données personnelles que cet univers collectera.
En partant des données d’identification telles que les noms et coordonnées, en passant par les données d’utilisation, jusqu’aux données sensibles, telles que des données biométriques ou d’autres données liées à la santé, il semble n’y avoir pratiquement aucune limite factuelle ou technique à la quantité et à la variété des données personnelles qui pourraient être collectées et traitées au sein du metavers à moyen ou long terme.
Le contrôle de la proportionnalité de la collecte et du traitement.
Parmi les défis que pose le metavers, celui de l’établissement d’une limite entre la collecte des différentes données personnelles dans l’intérêt du fonctionnement de l’espace et la proportionnalité de la collecte.
La proportionnalité de la collecte et du traitement s’apprécie d’une part au regard de la finalité poursuivie par le traitement, et d’autre part de la nature des données à caractère personnel collectées.
S’agissant du cas particulier des données biométriques, le RGPD interdit par principe leur collecte (article 9.1 du RGPD), mais le règlement instaure des exceptions dont celle d’un consentement exprès.
À savoir que, le consentement est l’une des 6 bases légales prévues par le RGPD sur laquelle le responsable du traitement peut se fonder pour collecter les données personnelles des personnes concernées. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque (article 4 et 7 du RGPD).
La CNIL rappelle que le RGPD :
« assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :
de comprendre le traitement qui sera fait de leurs données ;
de choisir sans contrainte d’accepter ou non ce traitement ;
de changer d’avis librement. » ;
Pour autant, en sera-t-il autant dans le cadre du metavers de Meta ? L’utilisateur pourra-t-il changer d’avis sur la collecte de ses données biométriques par son casque de réalité virtuelle ? Comprendra-t-il l’étendue des données qui sont collectées lors d’une session de jeu ? Peut-on certifier que l’utilisateur dispose d’une information suffisamment transparente pour que son consentement soit « libre, spécifique, éclairé et univoque » ?
Ces questions laissent penser que cette nouvelle façon de collecter les données biométriques grâce un casque de RV devra faire l’objet d’une régulation particulière et que les autorités de régulations devront être vigilantes, et sensibiliser les utilisateurs et plateformes sur ces sujets.
Des conditions générales d’utilisation claires et des systèmes transparents sont nécessaires afin que les personnes concernées soient en mesure de comprendre réellement les enjeux.
L’hypothèse de l’usage des données biométriques pour un profilage et une publicité ciblée plus efficaces : des usages disproportionnés ?
Pour mesurer l’enjeu du contrôle de la proportionnalité de la collecte et la limite du consentement de l’utilisateur, l’exemple de la potentielle mise en place d’un profilage des utilisateurs plus précis semble pertinent.
En effet, le profilage étant un traitement utilisant des données personnelles d’un individu en vue d’analyser et de prédire son comportement, le responsable de traitement pourra, après analyse des données, établir un profil individualisé concernant une personne en particulier et lui proposer des publicités ciblées.
La vision de l’entreprise Meta à fusionner les frontières du monde physique et du monde numérique conduira nécessairement à de nouvelles techniques et technologies pour obtenir des informations de profilage des utilisateurs grâce à l’eye-tracking, les réponses émotionnelles aux publicités, les mouvements corporels, ou autre comme évoqué ci-dessus.
« La possibilité d’enregistrer les moindres réactions des personnes permettra en effet d’ouvrir la voie à un profilage d’une finesse exceptionnelle. Cela pourrait renforcer le pouvoir des détenteurs de ces données, rendant ainsi en quelque sorte obsolètes les règles actuelles sur la protection des données »
Ola Mohty, docteure en droit et Lauréate du prix de thèse 2018 de l’AHJUCAF
Ce profilage est une aubaine pour les entreprises qui de facto auront la possibilité d’optimiser leurs stratégies marketing et/ou publicitaires.
Dans un article du Financial Time « Facebook patents reveal how it intends to cash in on metaverse », le journal britannique révèle que leurs équipes ont examiné les différents brevets déposés par Meta auprès de l’Office américain des brevets et des marques.
Ces demandes de brevets ont révélé que plusieurs technologies que Meta détient reposent sur l’utilisation des données biométriques des utilisateurs afin d’aider à alimenter ce que l’utilisateur voit et de s’assurer que leurs avatars sont animés de manière réaliste.
Jusque-là, pas de surprise, toutefois, le journal révèle que [2] :
« La Silicon Valley a l’intention de tirer profit de son monde virtuel, avec une publicité hyper-ciblée et un contenu sponsorisé qui reflète son modèle commercial basé sur la publicité de 85 milliards de dollars par an » ;
Lors d’une interview donnée au Financial Times, Nick Clegg, président des affaires internationales chez Meta, explique au journal britannique que ces données ne seront pas directement vendues ou exploitées en tant que telles, mais qu’elles “permettent de déterminer comment les internautes réagissent face à une publicité
Un autre brevet, cherche à présenter aux utilisateurs des publicités personnalisée en réalité augmentée, basées sur l’âge, le sexe, les intérêts et « la manière dont les utilisateurs interagissent avec une plateforme de médias sociaux », y compris leurs goûts et leurs commentaires, révèle le Financial Times.
Brittan Heller, avocat spécialisé en technologie chez Foley Hoag, a déclaré au Financial Times que :
« Mon scénario cauchemardesque est que la publicité ciblée basée sur nos réactions biologiques involontaires aux stimuli va commencer à apparaître dans le metavers. La plupart des gens ne réalisent pas à quel point cela pourrait être précieux. À l’heure actuelle, il n’y a aucune contrainte légale à ce sujet. »
Brittan Heller, avocat spécialisé en technologie chez Foley Hoag, pour le Financial Time
À la lumière de ces éléments, qui ne sont qu’une partie minime du projet massif de Meta, c’est une nouvelle fois qu’on se pose les mêmes questions : l’utilisateur sera-t-il suffisamment conscient que ses données biométriques feront l’objet d’une telle commercialisation ? Son consentement sera-t-il libre, spécifique, éclairé et univoque comme l’oblige le RGPD ?
À préciser que ces questions ne sont pas les seules, encore faut-il savoir de quelles manières les données personnelles seront stockées ? leur localité et quel régime pour les transferts transfrontaliers de données ?
Ces nombreuses interrogations devront être prises en compte par les autorités compétentes et les acteurs développant ces univers virtuels en vue d’envisager une règlementation qui s’appliquera aux métavers.
Sources – Traductions
[1] « Spending 20 minutes in a VR simulation leaves just under2millionunique recordings of body language. » Protecting Nonverbal Data Tracked in Virtual Reality. Jeremy Bailenson, Stanford University.
[2] Traduction ; « The Silicon Valley group intends to cash in on its virtual world, with hyper-targeted advertising and sponsored content that mirrors its existing $85bn-a-year ad-based business model. »