Protection des données dans le métavers : “Des règles existent déjà”

Ancien juriste à la CNIL et désormais chez Dastra, éditeur de logiciel spécialisé sur le RGPD, Jérôme de Mercey souligne les similitudes entre les réseaux sociaux et le métavers, concernant la protection des données. Il refuse de voir le métavers comme une révolution d’un point de vue juridique : “Ce serait un peu du fantasme”. 
 

Travailler metaverse

Alliancy. Qu’est ce qui va être spécifique au métavers en terme protection des données ? 

Jérôme de Mercey. Des métavers, il y en a plusieurs. Globalement ça va être selon chaque éditeur, selon le niveau d’immersion de l’utilisateur.  L’individu qui va se connecter va se retrouver avec un avatar. Quel est cet avatar ? Est-ce qu’ils sont la même personne ? Auquel cas les droits de l’avatar sont ceux rattachés à l’individu. S’ils sont différents, il peut y avoir des droits différents. Le grand enjeu sur la partie « données », c’est que l’on rentre dans un univers qui est déjà en soi de la donnée. Il y a donc une explosion de la donnée à caractère personnel. Tous les mouvements, toute notre réflexion, est dans un univers numérique ; donc maitrisé par l’éditeur. Et où tout est enregistré : les données directes de l’avatar, la démarche, les temps de connexion mais aussi les interactions, achats les discussions, les mouvements sur l’environnement. Cela va révéler des choses sur la personne.  On va pouvoir collecter des informations très larges, courantes ou sensibles. Si on se rend à l’église pour prier ou bien dans une réunion politique, cela peut être clairement des données sensibles. 

Alliancy. L’approche est-elle vraiment différente de celle des réseaux sociaux ? 

Jérôme de Mercey. Je pense que les problématiques vont être assez proches. La régulation est beaucoup plus forte parce qu’on était déjà sur des approches de type métavers. On entrait dans un réseau social où tout ce qu’on faisait était contrôlé par l’éditeur. On a déjà apporté des réponses de ce point de vue-là. Les règles européennes servent aujourd’hui à casser ces silos. La vraie question va être l’interopérabilité. Quand je suis dans un métavers, est-ce que je suis dans un autre environnement ? Les données sur lesquelles j’ai interagi vont-elles être transmises dans un autre métavers ? On retrouve l’application du droit de la portabilité des données qui découle du RGPD.  

Alliancy. Comme pour les réseaux sociaux, le métavers ne connait pas de frontières. Comment les autorités peuvent-elles gérer ça ? 

Jérôme de Mercey. La question de la territorialité est une question importante. Savoir quel droit va s’appliquer est essentiel. Si je suis connecté en France sur un métavers aux États-Unis, quel est le droit qui s’applique ? En tant que citoyen européen, j’ai le droit au respect des règles RGPD. L’absence de territorialité est une question qui a déjà été abordée. Je ne crois pas qu’on va considérer que nous sommes dans un territoire à part dans le metaverse. Mais viendra la question du conflit de loi. Ce qui amène à une autre question qui est fondamentale, celle de la preuve de la responsabilité. Est-ce qu’on ne va pas obliger les éditeurs à conserver des données de connexion, des données applicatives ? La simple connexion n’ira pas prouver ce qu’on a fait dans le métavers. Et qui aura accès à ces preuves lorsqu’il y aura de la discrimination ou du harcèlement par exemple ? 

Alliancy. Est-on équipé pour contrôler tout ça ? 

Jérôme de Mercey. Je ne suis pas certain qu’il faille voir cette situation comme une sorte de révolution vers quelque chose qu’on ne maitrise absolument pas. Ce serait un peu du fantasme. Je pense qu’il y a déjà des règles qui existent et qui peuvent se transcrire facilement dans cet environnement. Je ne doute pas qu’on a les armes là-dessus. Il y a maintenant la question de savoir comment elles vont être utilisées par les régulateurs, les utilisateurs ou même les juges. Le grand souci qu’ont les régulateurs, c’est de pousser à l’autorégulation. Les plateformes doivent être dans une logique où elles doivent prendre ces questions-là en considération. Et les régulateurs doivent vérifier. Aujourd’hui il y a des montants de sanctions exemplaires qui s’appliquent sur les très grosses plateformes, mais aussi des plus petits.