Propriété des données personnelles dans les mondes virtuels

Propriété des données personnelles dans les mondes virtuels

Alors qu’il n’est pas encore pleinement abouti, plu­sieurs entreprises com­mencent à s’approprier les métavers, terme marketing recouvrant les jeux en ligne dans un univers donnée, dont notamment Facebook, désormais Meta, prô­nant la construction d’un avenir où les gens ont plus de moyens de jouer et de se connec­ter ». Toutefois, le métavers sus­cite de nombreuses inquiétudes en matière de protection des données personnelles.

Se présentant comme une réa­lité virtuelle avec des avatars contrôlés par l’utilisateur, cette nouvelle technologie est suscep­tible d’entraîner la naissance de nouvelles catégories de données personnelles ainsi qu’une aug­mentation du nombre des don­nées collectées. Or, ces données sont ­elles vraiment à caractère personnel ? Dans le métavers, les utilisateurs sont représentés par des avatars, personnages fictifs qui constituent une version fidèle de la personne. Il ne fait, dès lors, aucun doute que les données collectées permettent de remonter aux individus concernés et qu’elles sont donc des données personnelles.

Plus encore, il semble que ces données aideront à mieux comprendre les processus de pensée des clients. Les applica­tions mobiles et les sites Web permettent aujourd’hui aux en­treprises de comprendre com­ment les individus se déplacent sur Internet ou via une applica­tion. Demain avec les plates­for­mes, il serait possible de suivre les individus de manière beaucoup plus intime. L’utilisation du métavers impliquera alors une collecte de données sans précédent. Il pourrait s’agir d’ex­pressions faciales, de gestes ou d’autres types de réactions qu’un avatar pourrait produire lors de ses interactions. Ces informa­tions permettront aux entrepri­ses de mieux comprendre le comportement des utilisateurs et d’adapter les campagnes publicitaires de manière très ciblée.

La collecte des données ne se fera toutefois pas de manière di­recte. L’utilisateur n’aura pas à fournir des données personnel­les en accédant à une page Web ou à une application. Elles seront recueillies en temps réel, lors des interactions de son avatar dans son métavers. Cela pourra engen­drer des risques, puisque l’utilisa­teur ne sera pas conscient des données qu’il émettra.

Pour assurer une protection optimale aux personnes au sein de l’Union européenne (UE), le règlement général sur la protec­ tion des données (RGPD) définit les données personnelles de manière large. Ce terme peut comprendre un large panel d’in­formations allant du prénom à un simple numéro de référence. Les données auxquelles l’utilisa­tion du métavers donnera nais­sance entreront dans cette caté­gorie dès lors qu’elles révèlent des renseignements sur une personne. Tel est le cas de tout geste élaboré par un avatar.

Le champ d’application du RGPD est également très large. Du moment où une entreprise ci­ble des personnes se trouvant sur le territoire de l’UE, les activités de traitement concernées doi­vent lui être soumises. Par consé­quent, pour déterminer si le RGPD s’applique ou pas, il fau­drait identifier le lieu où se trouve la personne à laquelle ap­partiennent les données. Or, dans le métavers, les utilisateurs sont représentés par des person­nalités virtuelles qui peuvent se trouver dans des endroits diffé­rents. Le caractère sans frontières du métavers rend les choses com­plexes. D’autres interrogations émergent sur les principes de transfert des données. Serait­ il suffisant de se baser sur les ga­ranties de transfert actuelles pour valider la licéité d’un trans­fert de données ?

Quel consentement ?

Ces évolutions technologiques nécessitent a priori de repenser les outils juridiques applicables afin d’assurer une protection optimale des données. Plusieurs questions se posent. Spécifier quelle entité doit déterminer comment et pourquoi les don­nées personnelles seront traitées pourrait s’avérer complexe dans le métavers. Y aura­t­il un admi­nistrateur principal qui collectera toutes les données personnelles fournies dans le métavers et qui déterminera comment elles se­ ront traitées et partagées ? Plu­sieurs entités collecteront­elles ces données par le biais du méta­vers et chaque entité détermine­ra­ t’­elle ses propres objectifs ? Comment le consentement des utilisateurs doit­il être recueilli ?

La Commission nationale de l’informatique et des libertés attire l’attention sur la nécessité d’assurer une information ren­forcée des personnes et de respec­ter les principes relatifs au consentement. Or, il n’est pas cer­tain que l’utilisateur puisse profi­ter pleinement de ce dispositif dans le cas où il refuse de donner son consentement. Celui­ci ne serait dès lors pas collecté de manière libre. Il faudrait alors s’assurer que la modalité de col­lecte du consentement dans le métavers soit identique à celle pratiquée dans le « monde réel » ou recourir à d’autres modalités qui tiennent compte des particu­larités de cet univers. De même, le RGPD exige que les informations obligatoires soient transmises à la personne concernée au moment de la collecte des données pour lui permettre de prendre une décision en connaissance de cause. Cette contrainte semble difficile à respecter dans le métavers où l’échange de données se fait de manière très rapide et implique un grand nombre de participants.

Face à ce constat, il serait diffi­cile d’échapper à une revue des lois actuelles. Assurer une pro­tection optimale des données personnelles dans ce nouveau monde semble toutefois être un défi. La quantité et le type de données que ce dispositif per­met de collecter sont inédits. La possibilité d’enregistrer les moindres réactions des person­nes permettra en effet d’ouvrir la voie à un profilage d’une finesse exceptionnelle. Cela pourrait renforcer le pouvoir des déten­teurs de ces données, rendant ainsi en quelque sorte obsolètes les règles actuelles sur la protec­tion des données.

0 Avis

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

*