Le métavers n’est pas un simple jeu, c’est un monde parallèle qui permet à des avatars de travailler, créer des communautés, des fêtes, des religions, etc. Par exemple, il est possible d’acheter un terrain, de faire ressusciter les morts ou d’acheter une arme. Afin d’utiliser le métavers, les utilisateurs utilisent les nouvelles technologies telles que le casque de réalité virtuelle. Ces nouveaux usages entraînent une extension de la collecte de données.
Introduction au Métavers
Mark Zuckerberg à propos du métavers : « vous pourrez y faire presque tout ce que vous êtes en mesure d’imaginer, vous rassembler avec vos amis et votre famille, travailler, apprendre, jouer, faire du shopping, créer ».
L’étymologie de métavers est fondamentale pour comprendre sa signification. Méta signifie « au-delà » et vers désigne le mot « univers ». Cela exprime donc « au-delà de l’univers » ou encore « univers parallèle ». Cette notion de métavers est apparue dans le roman de science-fiction « Snow crash » de Neal Stephenson paru en 1992.
Cette nouvelle invention suscite de nombreux questionnements en matière de protection des données personnelles. Les données personnelles sont régies par le RGPD (Règlement général sur la protection des données personnelles) au sein de l’Union Européenne. Le terme donnée personnelle est défini à l’article 4 du RGPD qui indique qu’il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, les données collectées par le métavers grâce à son avatar donnent de nombreuses informations personnelles sur l’utilisateur.
Fin octobre 2021, Mark Zuckerberg a annoncé la création d’un tel monde parallèle. L’entreprise a même changé son nom (Meta) afin de montrer son intention de développer le métavers. Le métavers apparaît comme une évolution naturelle de Facebook avec la même vocation de réunir les utilisateurs. Le métavers pourra donc être assimilé à un réseau social d’une autre dimension.
Création de nouvelles données personnelles par un marketing émotionnel
Le métavers est susceptible d’entraîner la naissance de nouvelles catégories de données personnelles d’une part et d’une augmentation du nombre des données personnelles collectées d’autre part. En effet, le métavers a entraîné une collecte exponentielle des données personnelles. Beaucoup de données telles que l’augmentation de notre fréquence cardiaque, la dilatation de notre pupille ou la couleur de la peau peuvent être collectées par le métavers. Ces données permettent à l’opérateur de déduire toutes nos émotions et de les assortir des conséquences qu’il souhaite. C’est le marketing émotionnel.
Par ailleurs, le métavers est une nouvelle technologie qui est susceptible d’entraîner la naissance de nouvelles catégories de données personnelles. En effet, une nouvelle catégorie appelée données émotionnelles est apparue. Ces données ont vu le jour grâce au projet Fun II mené par Ubisoft et l’Université de Laval (Québec) qui avait pour objectif de mieux comprendre les émotions des joueurs afin de créer des jeux mieux adaptés. En captant et analysant des données telles que le rythme cardiaque, le regard, l’expression faciale et les mouvements de l’utilisateur volontaire, il est possible de créer des jeux vidéo plus séduisants pour les joueurs. C’est donc du marketing émotionnel, qui est aussi utilisé pour adapter les campagnes publicitaires de manière très ciblée.
Le consentement menacé par l’inconscience du divertissement
Comme pour Facebook, Instagram, Twitter et la plupart des entreprises, il existe toujours une volonté publicitaire importante, qui peut se retrouver dans le métavers. En effet, leur objectif est de garder l’utilisateur connecté le plus longtemps possible, de créer une sorte d’addiction, tout en récoltant un nombre important de données sur la personne concernée afin de lui proposer des publicités et du contenu personnalisés. Cependant, le métavers étant un monde virtuel et non pas la « vraie vie », ce fonctionnement entraîne davantage de questionnements.
La collecte de données dans le métavers s’opère grâce au consentement de l’utilisateur (au sens de l’article 6 du RGPD). Toutefois, il s’avère que dans le métavers, qui est un monde virtuel dont les actions ne sont pas prévisibles, les données ainsi collectées peuvent être très variées. L’utilisateur n’a alors pas réellement conscience des données qui sont collectées lorsqu’il incarne son avatar, et de la finalité de leur traitement. Ainsi, qu’en est-il de la validité du consentement de l’utilisateur qui se pense anonyme dans ses actions par le biais de son avatar ?
Dans le métavers, les données sont collectées de manière indirecte, lorsque l’avatar effectue ses différentes actions. Cette collecte est problématique en ce que lorsque l’utilisateur « joue » dans le métavers, il a moins conscience des données qu’il émet, ce n’est pas sa priorité, qui réside principalement dans le divertissement.
Au-delà de ces risques liés au consentement de l’utilisateur, s’ajoute un risque de détournement de la réalité de la collecte de données. En effet, dans le monde numérique, on ne se rend pas réellement compte de la finalité de la collecte de nos données, qui est souvent masquée. Ainsi, on peut tout à fait imaginer que, comme cela se faisait dans Pokémon Go, des marques et enseignes paient pour créer des « happenings » à certains endroits du monde virtuel du métavers afin que l’utilisateur (par le biais de son avatar) s’y rende et soit potentiellement poussé à l’achat. On peut prendre l’exemple du concert du chanteur Travis Scott organisé par le jeu Fortnite. Les avatars de plusieurs milliers de joueurs se sont rassemblés au même endroit et ont pu ensuite acheter des accessoires relatifs au chanteur, tout cela en indiquant des données personnelles afin de procéder au paiement. Cela rend ainsi identifiable la personne physique reliée à l’avatar, le RGPD doit donc s’appliquer.
Des solutions à ces risques ?
La Commission nationale de l’informatique et des libertés (CNIL) propose la mise en place d’agents infiltrés qui assureraient le respect de l’ordre public du métavers, tout en collaborant avec les autorités de protection des données européennes. Cependant, il reste encore de nombreux points du droit commun à adapter à ce nouveau monde virtuel.