Métavers et RGPD

INTRODUCTION

Les technologies du métavers sont en proie à des investissements à hauteur de plusieurs milliards d’euros. En effet, des entreprises comme Meta, Microsoft ou Nvidia en ont fait un axe stratégique économique central.

En dépit de cet engouement, le métavers reste une notion floue, aux contours juridiques incertains. Défini comme un monde virtuel immersif, interopérable et interactif, le métavers dépasse le simple cadre des jeux vidéo classiques pour devenir un véritable espace de vie numérique.

Ce nouveau monde soulève des interrogations fondamentales quant à la protection des données personnelles. Si l’univers est virtuel, les données collectées sont, elles, bien réelles.

Comment le Règlement général sur la protection des données (RGPD) s’applique-t-il dans cet univers où les identités physiques transparaissent à travers des avatars ?

LE METAVERS : UN MONDE NUMERIQUE IMMERSIF

Définition

Le métavers désigne un monde virtuel en 3D dans lequel les utilisateurs qui y ont accès peuvent s’immerger complètement : ils peuvent interagir, acheter, vendre, s’exprimer. Le champ des possibles est pratiquement infini dans cette réalité virtuelle.

Ainsi, le métavers est un monde offrant de nombreuses opportunités mais reste surtout en plein développement. De plus en plus de personnes et même des entreprises entrent dans le métavers.

Origines du concept

Le terme de métavers est dû à l’écrivain Neal Stephenson grâce à son roman Le samouraï virtuel de 1992, dans lequel les personnages utilisaient un univers virtuel nommé « métavers » pour échapper à leur réalité quotidienne.

En 1999, c’est le succès du film Matrix, réalisé par Lana et Lily Wachowski, qui remet au goût du jour la réalité virtuelle en offrant aux spectateurs une vue sur un monde dans lequel les humains sont constamment branchés à des machines, simulant un univers virtuel.

Puis, en 2003, la création du jeu vidéo Second Life, permet aux joueurs d’incarner des personnages virtuels dans un monde en 3D qu’ils peuvent construire eux-mêmes, popularisant le concept de métavers.

Enfin, en 2021, Mark Zuckerberg annonce que Facebook change de nom pour devenir Meta, dévoilant les ambitions de l’entreprise de transformer Internet en métavers.

Après cela, les cas concrets se sont multipliés : Nike a lancé Nikeland sur Roblox, un espace immersif où les utilisateurs peuvent essayer virtuellement des produits et Gucci y a vendu un sac virtuel plus cher que sa version physique.

Le métavers est plus qu’un environnement virtuel : il devient un espace économique et social, avec tous les enjeux juridiques qui s’y rattachent.

LA PROTECTION DES DONNEES PERSONNELLES DANS LE METAVERS

Les avatars comme extension de l’identité

Malgré leur aspect fictif, les avatars représentent l’utilisateur. Toute donnée liée à cet avatar peut donc être considérée comme une donnée personnelle conformément à l’article 4 du RGPD. En effet, les informations collectées auprès des avatars se rapportent ainsi naturellement à une personne physique identifiée ou identifiable.

L’avancée technologique du métavers s’accompagne ainsi d’une collecte de données personnelles sans précédent, regroupant non seulement les informations classiques régulièrement demandées dans les jeux vidéo (identité, préférences) mais aussi des données biométriques et comportementales, ouvrant la voie à des enjeux juridiques inédits concernant la protection de la vie privée et la sécurité des utilisateurs.

Les catégories des données collectées

Dans le métavers, les données collectées peuvent notamment inclure :

  • Des données d’identification : noms d'utilisateur, avatars, informations de profil.
  • Des données comportementales : interactions, achats, réactions avec l'environnement virtuel, transactions, historique de navigation.
  • Des données biométriques : gestes, expressions faciales, voix, données physiologiques capturées par des dispositifs connectés.
  • Des données de localisation : emplacement virtuel et, potentiellement, emplacement physique réel de l'utilisateur.

Par ailleurs, la personnalisation des avatars peut révéler des informations sensibles telles que l’origine ethnique, l’orientation sexuelle ou les croyances (article 9 RGPD). De ce fait, l’article 9 du RGPD indique que leur traitement exige un consentement explicite sauf si l’utilisateur a manifestement rendu publiques ces données.

Faut-il alors considérer que l’utilisateur qui a personnalisé son avatar à son image rend publiques les données qui y sont rattachées, volontairement ?

L’affaire Clearview AI illustre les dérives potentielles de cette hypothèse. Cette société a collecté des milliards de photos accessibles en ligne sans consentement pour alimenter un système de reconnaissance faciale. En 2021, la CNIL a estimé que ce traitement était illicite en vertu du RGPD, rappelant que la disponibilité publique d’une donnée ne dispense pas de l’obligation de recueillir un consentement explicite. Parallèlement, personnaliser un avatar dans le métavers ne signifie pas autoriser le traitement des données qu’il peut révéler sur la personne.

Il est donc nécessaire d’assurer la sécurité de ces données pour éviter que leur exploitation ne mène à des violations de la vie privée, à l’usurpation d’identité ou à d’autres formes de cybercriminalité.

Mais alors, comment encadrer cette nouvelle sphère privée virtuelle dans laquelle chacun peut avoir une existence personnelle et personnalisée grâce à un alter ego numérique ?

LE RGPD, UN CADRE JURIDIQUE A ADAPTER AU METAVERS

L’application territoriale du RGPD dans les mondes virtuels

Le Règlement général sur la protection des données (RGPD) s’applique dès lors que l’utilisateur concerné par un traitement de données est situé sur le territoire de l’Union européenne, indépendamment de la nationalité de celui-ci. Il s’applique également lorsqu’un traitement de données à caractère personnel vise directement des personnes situées dans l’UE, notamment dans le cadre d’offres de biens ou de services, ou encore du suivi comportemental à travers des outils de traçage (cookies, profilage, etc.), conformément à l’article 3 du RGPD relatif au champ d'

Cependant, la question de la territorialité devient complexe lorsqu’il s’agit d’un espace immatériel où les données circulent librement. Quand bien même la juridiction compétente serait déterminée par la localisation réelle de l’utilisateur, selon le pays de résidence, la réglementation concernant la protection des données ne serait pas la même.

Cette pluralité de législations engendre des problématiques concrètes de conformité, de conflits de lois et de coopération entre autorités de contrôle. Elle impose également aux responsables de traitement une vigilance accrue dans la définition de leurs publics cibles, la structuration de leurs flux de données, et la mise en œuvre de mesures de protection adaptées au contexte territorial applicable.

La mise en œuvre des principes fondamentaux du RGPD

L’identification du responsable de traitement

Le RGPD exige une identification claire du responsable de traitement et des obligations liées à la transparence et à la protection des droits des utilisateurs.

Néanmoins, dans le cadre du métavers, cette responsabilité devient floue. Par exemple, Horizon Worlds est l’environnement métavers développé par Meta dans lequel les utilisateurs interagissent grâce à leur avatar, participent à des événements et construisent des espaces. Dans ce cas précis, Meta est à la fois hébergeur de la plateforme, fournisseur de l’infrastructure et collecteur de données. Cependant, dans les espaces créés par les utilisateurs, ce sont parfois d’autres entités qui collectent et exploitent les données. Il y a donc une incertitude quant aux responsables de traitement.

Ce cas met en lumière la nécessité de clarifier les relations entre les plateformes, les créateurs de contenus et les utilisateurs notamment par le biais de clauses contractuelles et de politiques de confidentialité transparentes.

Le consentement

Comme cela a été mentionné, dans le métavers, la collecte de données peut concerner de nombreuses données sensibles.

Le traitement de ces données n’est pas toujours interdit, il existe des exceptions.

Dès lors que :

  • La personne concernée a donné son consentement libre, éclairé et de manière expresse,
  • Les informations sont manifestement rendues publiques par la personne concernée,
  • Le traitement est nécessaire à la sauvegarde de la vie humaine,
  • L’utilisation est justifiée par l’intérêt public et autorisée par la CNIL,
  • Les données sont utilisées dans le cadre et pour les membres d’une association ou organisation politique, religieuse, philosophique ou syndicale.

En conséquence, les responsables de traitement présents dans le métavers devront nécessairement recueillir le consentement libre, spécifique, éclairé et univoque de l’utilisateur y compris pour les mineurs, en particulier lorsqu’il s’agit de données sensibles.

Cependant, la personnalisation des avatars soulève des enjeux importants : un avatar fidèle à l’apparence physique de l’utilisateur et à sa personnalité peut révéler des données sensibles. Deux interprétations peuvent alors émerger vis-à-vis de ce problème :

  • D’une part, si l’utilisateur choisit volontairement de personnaliser son avatar à son image, cette action pourrait être considérée comme une divulgation publique, dès lors que la personnalisation fidèle à l’utilisateur n’est pas imposée par le métavers mais choisie par l’utilisateur, entrant alors dans le scope de l’exception à l’obligation de recueil du consentement.
  • D’autre part, la finalité de cette personnalisation pourrait simplement s’inscrire dans un contexte ludique, définie par un périmètre propre à l’activité du métavers, ne constituant pas nécessairement une mise à disposition publique au sens du RGPD.

La CNIL s’est positionnée. Dans sa mise en demeure du 16 décembre adressée à Clearview AI, elle a rappelé que l’accessibilité d’une donnée ne justifie pas son traitement sans consentement de la personne concernée. Appliqué au métavers, ce raisonnement implique que le seul fait qu’un avatar soit visible ne suffit pas à légitimer l’exploitation des données qu’il révèle sans un consentement explicité de l’utilisateur, notamment à des fins publicitaires.

Le principe de minimisation

Un principe clé du RGPD risque d’être mis à mal dans les métavers : le principe de minimisation. Selon l’article 5 du RGPD, les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement.

Or, la complexité des métavers, marquée par la multiplicité des acteurs et la circulation massive de données, rend ce principe difficile à appliquer.

Le métavers pourrait profondément transformer l’application du RGPD. Il permet la collecte et le traitement automatisé de données sensibles à grande échelle. Il est estimé que 20 minutes passées en réalité virtuelle génèrent plus de 2 millions de données liées au langage corporel.

LES BONNES PRATIQUES A ADOPTER DANS LE METAVERS

Bien que certaines questions restent en suspens sur le plan juridique, il convient toutefois d’adopter de bons réflexes face au métavers pour éviter de diffuser des données personnelles.

Ce nouvel espace numérique immersif brouille la frontière entre réel et virtuel exposant les utilisateurs à une collecte massive, souvent invisible, de données sensibles.

Voici donc quelques conseils :

  • Ayez conscience de ce que vous partagez : les interactions peuvent sembler anodines mais chaque mouvement, expression ou prise de parole peut être enregistré, analysé et associé à votre identité réelle.
  • Utilisez des pseudonymes et des avatars non identifiables : évitez de créer un avatar qui vous ressemble trop ou qui utilise votre véritable nom. Privilégiez des identifiants fictifs et des représentations génériques ou décalées afin de limiter les risques d’association avec votre personne physique.
  • Consultez et configurez les paramètres de confidentialité des plateformes : chaque environnement virtuel offre généralement des options de paramétrage. Prenez le temps de vérifier qui peut voir votre profil, vos interactions et vos données. Activez les options les plus restrictives et désactivez le partage de données non essentielles.
  • Évitez de divulguer des informations sensibles : ne communiquez jamais de données personnelles telles que votre adresse, votre numéro de téléphone, votre profession, ou toutes informations concernant votre santé ou vos opinions. Même dans un cadre de jeu ou de socialisation, gardez une certaine distance.
  • Soyez vigilants aux arnaques et sollicitations trompeuses : comme ailleurs, le métavers est un terrain propice aux tentatives d’escroquerie, de phishing ou de détournement de comptes. Méfiez-vous des offres trop alléchantes, des invitations à partager des informations confidentielles ou des objets virtuels à acheter contre de l’argent réel.

VERS UNE RÉGLEMENTATION PLUS ADAPTÉE

En plus du RGPD, le règlement européen sur l’intelligence artificielle ou AI Act, vient spécifiquement encadrer les systèmes d’IA, y compris dans le métavers. Il prévoit ainsi des obligations spécifiques pour les systèmes d’interaction, de reconnaissance des émotions ou de manipulation de contenus dans les métavers.

Qui plus est, outre la protection des données, le métavers bouleverse aussi le droit d’auteur (contrefaçon, modèles 3D, NFTs), le droit de la consommation (CGU, clauses abusives) et la cybersécurité (usurpation d’identité, piratage d’avatars).

CONCLUSION

Le métavers marque un tournant numérique majeur, mais il doit être pensé avec des mesures de sécurité robustes.

Le RGPD constitue un socle efficace, mais doit être adapté aux nouvelles pratiques immersives et aux nombreuses identités numériques. De ce fait, une réglementation spécifique pourrait émerger, prenant en compte les données comportementales, physiologiques et émotionnelles dans les environnements virtuels.

L’objectif étant de bâtir un métavers éthique, sûr et respectueux de la vie privée et des données personnelles, la responsabilité doit être celle de tous : développeurs, plateformes, régulateurs et utilisateurs.

SOURCES : POUR ALLER PLUS LOIN

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

FAQ

Les données liées à un avatar sont-elles considérées comme des données personnelles au sens du RGPD ?

Selon l’article 4 du RGPD, toute information permettant d’identifier directement ou indirectement une personne physique est une donnée personnelle. Dans le métavers, un avatar, même fictif, peut révéler des éléments d'identification (voix, comportements, apparence, interactions) qui sont associés à une personne réelle. Ces données doivent donc être protégées conformément au RGPD.

Le consentement est-il toujours nécessaire pour traiter des données dans le métavers ?

Dans la majorité des cas, oui. Notamment si les données collectées sont sensibles (données biométriques, comportements, préférences, etc.), un consentement libre, éclairé, explicite et univoque est requis. Même si un utilisateur personnalise volontairement son avatar, cela ne constitue pas nécessairement une divulgation publique qui dispenserait du recueil du consentement.

Le RGPD est-il réellement applicable dans le métavers ?

Oui, le RGPD s’applique dès lors qu’un utilisateur est situé dans l’Union européenne ou que des services ciblent le marché européen, même si l’environnement est virtuel. Toutefois, la question de la territorialité devient complexe dans un espace immatériel, ce qui renforce le besoin d'une règlementation adaptée aux environnements immersifs.

Articles et actualités RGPD

Métavers et RGPD

Métavers et RGPD

Avatars, données biométriques, identités numériques… Le métavers pose de nouveaux défis au RGPD. Cet article explore les enjeux de protection des données dans les mondes virtuels et les adaptations nécessaires pour préserver la vie privée.En savoir plus

Charte informatique : un outil essentiel pour encadrer l’usage du numérique en entreprise

Charte informatique : un outil essentiel pour encadrer l’usage du numérique en entreprise

Qu'est-ce qu'une charte informatique ? Pourquoi et comment la mettre en place ? Découvrez son rôle, son contenu, ses usages en entreprise et son importance en matière de sécurité et de protection des données.En savoir plus

La cybersécurité face au développement quantique

La cybersécurité face au développement quantique

Calcul exponentiel, rupture cryptographique, cybersécurité post-quantique… L’informatique quantique transforme nos paradigmes : promesse d’innovation ou défi urgent à relever ?En savoir plus

RGPD et communication politique : ce que dit le nouveau cadre européen sur la publicité ciblée

RGPD et communication politique : ce que dit le nouveau cadre européen sur la publicité ciblée

Ciblage interdit des mineurs, consentement requis, traçabilité renforcée : la CNIL adapte sa doctrine au règlement européen 2024/900. Ce qui change pour les campagnes.En savoir plus

Afficher plus d'articles

Je souhaite réserver un appel !