.jpg?v=1)
Afin que les utilisateurs puissent naviguer dans le métavers en toute sécurité, il est primordial que leurs données personnelles soient protégées par les différents responsables de traitement et leurs sous-traitants éventuels.
Quelles données personnelles au prisme du métavers ?
Bien que les données collectées dans le métavers le soient auprès des avatars des utilisateurs, elles constituent bien des données à caractère personnel, en tant qu’"informations se rapportant à une personne physique identifiée ou identifiable" (RGPD, art. 4 RGPD). En effet, elles se rapportent à l’utilisateur qui est représenté par son avatar.
Aussi, dans le cadre du métavers, le droit à la vie privée pourrait se heurter à deux évolutions majeures :
- l’augmentation du nombre des données collectées, notamment en vue de faire de la publicité ciblée (voir sur ce point notre article "Veiller à la conformité des publicités virtuelles diffusées". En particulier, d’après le laboratoire d’innovation numérique de la CNIL, "en proposant une immersion ‘totale’ et une intégration complète entre le terminal d’accès et l’univers de services et de contenus, le métavers réduit la capacité individuelle à échapper à la collecte de données" (1).
- la collecte de nouvelles catégories de données, en particulier certaines données sensibles d’utilisateurs, représentés par leurs avatars : expressions faciales, gestes, regards, réactions, échanges, comportement, etc. afin de "mieux connaître – ou tenter de connaître – nos émotions, au profit par exemple de nouvelles formes de marketing émotionnel" (1).
Quelles lois applicables dans le métavers ?
Le règlement général sur la protection des données (RGPD) contient plusieurs grands principes (minimisation, licéité, etc.) ainsi que des obligations générales (tenue du registre de traitement, etc.) qui sont applicables à tout traitement de données, y compris dans le métavers.
En particulier, nous attirons votre attention sur les obligations suivantes, qui pourraient donner lieu à des difficultés d’application en pratique.
1 - Le recueil du consentement des utilisateurs (RGPD, art. 7) : à la différence de la navigation sur une page web ou sur une application mobile, les utilisateurs n’ont pas nécessairement à fournir de manière consciente et proactive leurs données ; celles-ci pourront être recueillies en temps réel dans leur métavers (2). Or, cette collecte n’est pas sans risque du point de vue du consentement, dans la mesure où les utilisateurs ne seront pas toujours conscients des données qu’ils transmettront. Pour éviter cet écueil, il convient donc de mettre en place des systèmes robustes et lisibles permettant de recueillir le consentement des utilisateurs dans le métavers.
2 - Obligation d’information (RGPD, art. 13 et 14) : afin de satisfaire à leurs obligations d’information, les entreprises qui intègrent le métavers devront rendre accessibles leurs politiques de confidentialité auprès des utilisateurs, et ce dès les pages de présentation des différents espaces du métavers.
3 - Gestion des données sensibles : comme mentionné précédemment, les catégories de données collectées pourront être particulièrement sensibles, notamment les données biométriques. Or, le traitement de telles données est strictement encadré par le RGPD (art. 9). Dans le métavers, l’entreprise souhaitant utiliser de telles données devra au préalable s’assurer que l’une des exceptions autorisant leur traitement soit applicable – en l’espèce le consentement explicite de la personne ou encore le fait que ces données aient été rendues manifestement publiques par la personne. En tout état de cause, ces données "émotionnelles" collectées dans le métavers pourraient faire l’objet de nouvelles régulations, au niveau européen ou national.
4 - Transferts internationaux : enfin, se pose également la question des modalités des transferts de données : si l’un des acteurs est situé hors de l’Union européenne, il conviendra de s’assurer en amont de mécanismes garantissant un niveau de protection équivalent (RGPD, art. 44 et suivants).
Droit prospectif/récent
En complément du RGPD, la proposition de règlement européen sur l’intelligence artificielle (3) vient spécifiquement encadrer les systèmes d’IA dans le métavers. Ainsi, elle prévoit des obligations de transparence pour les systèmes d’IA destinés à interagir avec des personnes physiques, les systèmes de reconnaissance des émotions et de catégorisation biométrique, et les systèmes d’IA utilisés pour générer ou manipuler des images ou des contenus audio ou vidéo (art. 1er de la proposition).
De plus, cette proposition vient fortement restreindre l’utilisation des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public. Le métavers pourrait parfaitement entrer dans cette catégorie, étant donné qu’il s’agit d’un système par lequel les personnes peuvent s’identifier en temps réel au travers de données biométriques pour accéder à un espace accessible au public.
(1) Laboratoire d’innovation numérique de la CNIL, Métavers : réalités virtuelles ou collectes augmentées ?, Régis Chatellier, 4 novembre 2021
(2) Métavers et données personnelles : des risques méconnus, La Tribune, 29 juin 2022
(3) Voir notre article : "Proposition de règlement européen sur l’intelligence artificielle : comment bien se préparer ?".
En savoir plus sur notre cabinet d'avocats
CMS Francis Lefebvre est le premier cabinet d’avocats d’affaires français pluridisciplinaire et international.
Véritable institution du monde du droit et des affaires, nous disposons d’une force de frappe internationale de premier plan avec en France 450 avocats dont 110 associés, et dans le monde plus de 5 000 avocats répartis dans plus de 40 pays et de 70 villes.
Partenaire de confiance de nos clients, nous les aidons à relever leurs défis en intervenant à leur côté en conseil, en transactionnel et en contentieux.
Ainsi, nous accompagnons leurs projets, sécurisons leurs transactions et assurons leur défense.
|
|
|
