SOMMAIRE

Avec l’avènement de l’Internet commercial dans les années 1990, les organisations étaient de plus en plus en mesure de suivre les clics et les recherches des utilisateurs pour recueillir des informations sur leurs préférences, leurs intérêts et leurs habitudes d’achat. La technologie mobile n’a pas seulement ajouté un suivi de localisation précis, elle a également permis l’intégration des smartphones dans pratiquement toutes les activités de la vie, donnant aux organisations un aperçu plus approfondi de l’identité des utilisateurs.

Le métaverse nous mènera beaucoup plus loin dans cette voie, permettant le suivi des corps humains et même des pensées, en particulier lorsque les utilisateurs développent des relations profondes avec les avatars numériques. Que ce soit par le biais de la réalité virtuelle (VR) ou de la réalité augmentée (AR) – qui ensemble sont connues sous le nom de réalité étendue (XR) – le métaverse augmentera le type et le volume de données que les organisations collectent, ainsi que la façon dont elles les traitent et les partagent à travers domaines et frontières. Cela soulèvera une foule de problèmes de confidentialité que nous commençons à peine à comprendre.

Types et volume de données

Dans son récent livre Le métaverse : et comment il va tout révolutionnerMatthew Ball définit le métaverse comme suit :

« Un réseau interopérable et à grande échelle de mondes virtuels 3D rendus en temps réel qui peuvent être expérimentés de manière synchrone et persistante par un nombre effectivement illimité d’utilisateurs avec un sentiment individuel de présence et avec la continuité des données, telles que l’identité, l’historique, les droits, objets, communications et paiements.

Une grande partie de l’activité qui se déroule dans cet univers dépend des technologies XR qui permettent des expériences 3D. Les chercheurs estiment que les applications XR produisent un téraoctet de données par heure, ce qui équivaut à 200 000 chansons stockées dans une liste de lecture numérique. Pour restituer une scène de manière convaincante, les casques VR suivent une douzaine de types de mouvements différents à un rythme de 90 fois par seconde.^[1]

Alors que les entreprises en ligne observent actuellement les historiques de navigation et de recherche, les opérateurs du métaverse suivront eux-mêmes notre corps. Les technologies immersives surveillent la physiologie humaine, y compris le mouvement du globe oculaire et le point de regard, l’expression faciale, la voix et la fréquence cardiaque. Ils observent également un large éventail d’actions physiques, y compris les mouvements de la tête et du corps, l’haptique, la démarche et la posture. Et ils peuvent suivre les émotions grâce aux technologies de reconnaissance d’expression et à l’activité neuronale à l’aide d’interfaces cerveau-ordinateur.

De plus, les environnements XR utilisent des capteurs audio, visuels et inertiels pour détecter la position d’un utilisateur ou d’un appareil par rapport à son environnement. Cela implique souvent la collecte de données sur les non-participants, les spectateurs passifs qui se trouvent à portée des capteurs d’un système.

Les opérateurs qui suivent les données physiologiques, mentales et biométriques sont soumis aux lois régissant la collecte, l’utilisation et le partage des données sensibles et biométriques. Cela inclut le règlement général sur la protection des données en Europe ; réglementations nationales en matière de confidentialité en Californie, au Colorado, au Connecticut, en Utah et en Virginie ; et les lois sur la confidentialité biométrique, telles que la loi sur la confidentialité des informations biométriques de l’Illinois.

Lorsque le métaverse est utilisé dans des contextes de travail, d’éducation ou de soins de santé, les opérateurs qui collectent des données de ce type seront soumis à des lois sur la confidentialité spécifiques au secteur, telles que la Family Educational Rights and Privacy Act et la Health Insurance Portability and Accountability Act.

Comment les données sont traitées

Les organisations traiteront les données à l’aide d’algorithmes d’apprentissage automatique et de techniques d’intelligence artificielle pour estimer ou déduire les identités, les états émotionnels et les intentions de leurs utilisateurs, ainsi que pour prédire leur comportement futur. De plus, les IA et les robots participeront activement aux jeux ainsi qu’aux médias sociaux et autres plateformes de communication, ce qui soulèvera des défis liés à la confiance. Les deepfakes peuvent soulever des questions particulièrement épineuses.

Ces dernières années, plusieurs États ont fait progresser les lois sur la prise de décision automatisée, et les décideurs politiques aux États-Unis, dans l’UE et en Chine débattent de la réglementation de l’IA. En vertu de ces lois, les opérateurs et les participants du métaverse seront soumis à de nouvelles couches de règles, notamment des normes, des marques de confiance, des cadres de certification et des systèmes d’audit.

Comment les données sont partagées entre les domaines et les frontières

L’interopérabilité est l’une des caractéristiques déterminantes du métaverse – ce qui en fait un « méta » -. Pour prendre en charge un environnement persistant, en direct, synchrone et interopérable, les organisations ont besoin de normes et de cadres pour le partage de données entre domaines et plates-formes.

Comme indiqué, de nombreux pays ont déjà des lois sur la collecte, l’utilisation et le partage des données, en particulier en ce qui concerne les données personnelles – et de nombreuses nouvelles lois sont à l’étude. Mais les lois de différents pays peuvent entrer en conflit. Et il peut être très difficile, voire impossible, de déterminer quelles lois nationales s’appliquent lorsque des personnes se réunissent depuis différents endroits du monde pour interagir dans des environnements virtuels.

Comme Internet, le métaverse ne « réside » pas dans une juridiction spécifique. Les lois de quel pays prévalent, par exemple, lorsqu’une personne qui est au Japon rencontre une autre personne qui est au Brésil pour interagir dans un café virtuel appartenant à une société américaine qui utilise des serveurs situés en Inde ?

Internet, qui est un environnement relativement statique, soulève déjà une myriade de questions sur la compétence et le choix de la loi. Le métaverse – où les avatars naviguent dans des espaces numériques interconnectés et toujours actifs sans frontières physiques ou logiques – les multipliera et les aggravera.

Entrez dans la Blockchain

Le battage médiatique entourant le métaverse concerne également son parent technologique, la blockchain. Bien que conceptuellement séparés, le métaverse et la blockchain se croisent là où des problèmes de propriété surviennent. Par exemple, les avatars peuvent s’habiller avec des skins échangeables en tant que NFT et portables sur toutes les plateformes et applications via les portefeuilles numériques des utilisateurs. De plus, les champions du Web3 prennent en charge les systèmes d’« identité auto-souveraine » décentralisée dans le métaverse, libérée du contrôle des principales plateformes et médiatisée par la cryptologie.

La blockchain, bien sûr, a ses propres frictions en matière de confidentialité. Pour commencer, il est conçu pour maximiser la transparence et les actions entreprises sur la blockchain sont immuables. Tout le monde peut voir l’historique de chaque transaction qui a eu lieu sur une blockchain depuis le lancement de la chaîne. Et les individus ne peuvent techniquement pas faire respecter leur droit à la vie privée en supprimant les données personnelles stockées sur la chaîne ou en les cachant de la vue du public.

Le métaverse présente des opportunités passionnantes pour redynamiser le travail, le commerce et le jeu en ligne. Dans le même temps, les organisations qui conçoivent des produits et des services dans cet espace devront intégrer des lois et des normes régissant les données sensibles et la biométrie, l’IA et l’apprentissage automatique, le partage de données multiplateforme et les applications blockchain. Qu’il s’agisse d’une réglementation gouvernementale descendante ou d’une confidentialité par conception ascendante, le métaverse est un nouveau domaine passionnant non seulement pour les joueurs, mais aussi pour les avocats et les décideurs.

^[1] Joseph Jérôme et Jeremy Greenberg, «Réalité augmentée + réalité virtuelle : Considérations sur la confidentialité et l’autonomie dans les mondes numériques émergents et immersifs» (Forum sur l’avenir de la vie privée, 2021).

[View source.]