En mars 2022, les deux plateformes de métavers mises en place par le groupe Meta (ex Facebook) regroupent déjà plus de 300 000 utilisateurs. Ces chiffres révèlent la participation croissante quasi exponentielle des internautes, multipliée par 10 en l'espace de trois mois, sur la plateforme Meta Quest (ancien Oculus VR) depuis l'ouverture d'Horizon Worlds et d'Horizon Venues.
D'ici quatre ans, les internautes seront environ 25% à passer une heure minimum par jour dans ce type d'environnement immersif (étude Gatner Inc).
Combinaison de l’anglais meta ("au-delà") et universe ("univers"), le métavers peut aujourd’hui être décrit comme un espace virtuel de partage, "immersif-connecté-augmenté" en mots clés, désignant surtout un endroit susceptible de malmener certaines théories classiques du droit à l'origine de l'application de règles juridiques à une population donnée, sur un territoire physique déterminé.
Bientôt tous équipés de nos lentilles connectées (à la Black Mirror) par l'intermédiaire d'un logiciel de réalité augmenté (offert contre les secrets de notre âme), les internautes restent les sujets d'un énième moyen de captation massive des données les concernant, pour des finalités toujours accrues (comme assurer un bon accès au service, la satisfaction de l’utilisateur, proposer des produits adaptés à des centres d’intérêts, etc.).
Dans un contexte où l’ancien groupe Facebook s’est rebaptisé « Meta » pour expliciter son nouveau domaine de prédilection d’activités en octobre 2021, quel cadre juridique peut s'appliquer à ce quotidien augmenté, notamment en matière de protection des données personnelles ?
Le métavers ou la naturelle consécration du World Life Web
Le World Wide Web de Tim Berners Lee de la fin des années 1980 a fait place, une décennie plus tard, au World Live Web donnant en temps réel l’état des dernières informations publiées. A l'origine, au sein de ce web instantané, ce sont les documents qui occupaient une place prééminente. Leur diffusion par Internet révolutionna l’accès au savoir et la façon d'y avoir accès.
Ces quinze dernières années, avec la démultiplication des réseaux sociaux, un nouvel âge documentaire s’est imposé : celui du World Life Web. Correspondant à une toile mondiale dans la matrice de laquelle les individus occupent la place jusqu’ici préemptée par les documents et leur actualisation, le World Life Web a naturellement contribué à l’évolution de la dématérialisation de notre environnement et espace quotidien.
Ce caractère indexable des êtres humains eux-mêmes, au travers des traces laissées consciemment ou inconsciemment sur le réseau, a entraîné très tôt la question des droits pouvant accompagner l’existence numérique d’une personne physique. La valeur économique des éléments dont l’individu est la source ne fait aujourd’hui plus l’objet d’aucun débat : "L'or noir du numérique que sont les données personnelles" ou "Quand c'est gratuit, c'est que vous êtes le produit" ont assez été titrés.
Toutefois, ce système économique s’est établi sur un socle légal nié et fragile, par le biais de nombreuses pratiques intrusives et abusives d’entreprises principalement américaines (a l’instar de celles des « GAFA », nouvellement « GAMA » ?), ce principalement en matière de données personnelles des internautes utilisant leurs services.
Cadre renforcé au sein de l’Union européenne, notamment par l’entrée en vigueur du Règlement Général sur la Protections des Données ("RGPD") en mai 2018, par les actions de sensibilisation des internautes ainsi que par les sanctions des autorités de contrôle, la protection des données personnelles s’est érigée en dernier rempart face aux entreprises américaines et dérives liées à la sur-collecte et à la surutilisation algorithmique de données entachant le respect de la vie privée et autres droits fondamentaux en concours.
Ainsi, leur réunification via un "internet augmenté" dans ce que le groupe Meta décrit comme « un ensemble d’espaces virtuels où chacun pourra créer, explorer, échanger avec d’autres personnes qui ne se trouvent pas dans le même espace physique » vient assurer la consécration de ce World Life Web.
Quelle souveraineté pour l'homo-numéricus au sein du métavers ?
L’homo-numericus, selon l’expression empruntée à Henri Oberdorff, est un être humain dont l'existence s’est adaptée aux évolutions technologiques. Depuis plusieurs années, celui-ci est en naturelle transition (accompagné par des outils toujours plus novateurs, créés fréquemment par les GAMA) pour parfaire son épanouissement dans le métavers.
Ne sont pas nouveaux, en ce sens, les représentations de soi sous forme d’avatars, la pseudonymisation de notre identité, les projections numériques de nos physiques, de nos hobbies, de nos centres d'intérêts et autres dématérialisations de notre quotidien matériel classique. La réunification de ces procédés dans un espace virtuel n'implique en ce sens qu'une étape normale dans le développement et l'évolution des technologies afférentes.
L'expérience du métavers pourraît venir mettre à mal les théories classiques du droit. En effet, en droit constitutionnel, un Etat est constitué par trois éléments : un territoire, une population et une organisation politique qui exerce l'autorité de façon souveraine, c'est-à-dire qui n'est pas obligé de tenir compte d'autres règles que les siennes, hors celles du droit international dans le cadre de certains accords.
D'une part, le métavers bouscule ainsi la notion pensée de ce qu'est l'Etat puisque ce concept met à disposition des internautes un territoire immatériel, sans frontière, autre que celle des techniques d'interopérabilité entre les futurs métavers de différentes entreprises - Meta n'étant pas sans concurrence, d'autres entreprises comme Epics Games s'adonnant à le développer. D'autre part, la connectivité devra également être améliorée puisque Meta lui-même a récemment indiqué que ses solutions n'étaient pas adaptées aux réseaux domestiques. Enfin, cet espace virtuel augmenté floute la caractérisation de la notion de "population" puisque, par essence, tout le monde se croise sur la toile qu'est Internet, hors rare cas de réseaux indépendants et privés. Enfin, la notion d'organisation politique est l'enjeu de nouvelles prises de pouvoirs.
Rajoutant à l'embroglio potentiel, Meta n'a pas hésité à continuer d'effacer les frontières en nommant son métavers de jeux "Horizon Worlds". Le ton est donné sauf que dans tous les cas, à moins d'un VPN et d'un réseau transcendé, l'utilisateur européen lambda peut encore attendre de s'immerger dans le métavers lancé uniquement aux Etats-Unis et au Canada.
Les données personnelles européennes protégées au sein du métavers
La question qui se pose alors dans cet environnement dématérialisé est celle de la souveraineté pouvant être attachée à un tel lieu numérique, à fin de déterminer quel est le droit applicable, notamment pour les internautes citoyens de l'Union européenne dont les données personnelles sont protégées par un cadre règlementaire bien plus spécifique que dans d'autres pays tiers.
Les solutions à venir de métavers accrochant les homo-numéricus européens vont - sans surprise - se vouloir principalement d'initiatives américaines dans un premier temps mais, se basant sur l'exploitation de données personnelles d'utilisateur de tous pays, un nécessaire compromis devra être fait dans certains cas.
Toutefois, même en matière d'expérience en univers augmenté, en tant que résidents de l'Union européenne : le cadre règlementaire en matière de protection des données personnelles s'applique. En cas de simple accès à nos données personnelles, les entreprises américaines doivent - par principe - respecter le droit de l'Union comprenant, des mesures juridiques et techniques complémentaires d'un certain ordre pour exploiter nos données personnelles en toute légalité notamment en cas de transferts hors Union européenne (Cf. CJUE, 16 juillet 2020, Décision "Schrems II").
En effet, les instruments classiques du domaine a l'instar de la Directive ePrivacy de 2002 en matière de traceurs, du Règlement Général à la Protection des données ("RGPD") entré en vigueur en 2018, ainsi que les lois nationales comme la Loi Informatique et Libertés en France, ont bien vocation à s'appliquer au métavers. Ces principales règles européennes en vigueur en protection des données personnelles ont su appréhender les complexité du numérique et les asseoir sur des règles stables au regard de cet environnement dématérialisé.
Ainsi, dans le cas où l'homo-numéricus réside dans l'un des des pays de l'Union européenne et qu'il est sujet à des traitements de données personnelles, il est à retenir que le RGPD s’appliquera à l'ensemble de ses expériences réalisées au sein du métavers.
Une zone de droit réaffirmée dès les premiers écarts...
Changement de cible parmi les acteurs du métavers en matière de respect du droit : les homo-numéricus doivent aussi, en qualité de résidents et citoyens de leurs propres Etats, respecter le cadre règlementaire qui leur est quotidiennement applicable, y compris dans un univers de réalité augmentée.
Suite à deux cas avérés d'harcèlement sexuel dans l'environnement émergeant de Meta, il a été rappelé aux homo-numéricus que cette zone n'est pas un espace de non droits.
Dès décembre 2021, deux utilisatrices ont été victimes de leur expérience sur le métavers de Meta. La première ultilisatrice victime explique ainsi que ce type d'agissement n'est pas nouveau sur Internet mais que les technologies de réalité virtuelle utilisées n'ont pas pour effet d'en atténuer les conséquences :
“Sexual harassment is no joke on the regular internet, but being in VR adds another layer that makes the event more intense.”
"I was verbally and sexually harassed — 3–4 male avatars, with male voices, essentially, but virtually gangraped my avatar and took photos — as I tried to get away they yelled — ‘don’t pretend you didn’t love it’ and ‘go rub yourself off'…"
Moins de deux mois après ces incidents, début février 2022, Meta a communiqué sur la mise en place d'une zone de sécurité par défaut entre les avatars des utilisateurs du métavers :
"Today, we’re announcing Personal Boundary for Horizon Worlds and Horizon Venues. Personal Boundary prevents avatars from coming within a set distance of each other [...] to avoid unwanted interactions. Personal Boundary [...] will by default make it feel like there is an almost 4-foot distance between your avatar and others. Over time, we’ll continue to make improvements as we learn how this affects people’s experiences. [...] We believe Personal Boundary is a powerful example of how VR has the potential to help people interact comfortably. "
Début mars, Meta proposait ainsi confortablement de permettre aux homo-numéricus de célébrer le "Woman history month" sur Horizon Venues, environnement dédié à la participation immersive à tout type d'évenements en réalité virtuelle.
Pour rappel, en France, le harcèlement sexuel sur internet est notamment régi par la combinaison de l'article 222-22 et de l'article 222-16 du Code Pénal, les peines pouvant aller jusqu'à un an d’emprisonnement et 15 000 euros d’amende. Une agression sexuelle, constituée par "toute atteinte sexuelle commise avec violence, contrainte, menace ou surprise", peut donc être juridiquement reconnue au sein du métavers - toute victime de ce type d'agissement ayant le droit de déposer plainte et d'obtenir réparation de son préjudice, a minima moral ou en terme d'image dans ce type de cas puisque l'e-réputation tend à précéder notre réputation aujourd'hui - d'autant qu'elle a bien plus d'écho et de portée à travers son référencement en moteur de recherche. De plus, la loi du 24 juin 2020 (dite "loi Avia") visant à lutter contre les contenus haineux sur internet a renforcé les dispositions de la loi pour la confiance dans l'économie numérique du 21 juin 2004 (dite "LCEN") ajoutant un fondement juridique complémentaire pour lutter contre les contenus haineux sur internet.
Préjudice a minima moral en effet, l'évolution de nos technologies laissant présager le pire pour les autres préjudices physiques, en terme d'image ou économiques. S'agissant de "cas tristement isolés" selon Meta, certains commentaires appelaient à mettre de la distance entre ce qui peut se passer dans le métavers et ce qui se passe dans le monde physique. En effet, certains internautes ont voulu mettre en avant que ces victimes auraient pu simplement "quitter l'application" ou "se déconnecter", ce qui n'est pas possible "lorsque quelqu'un subit une agression réelle dans la rue". Toutefois, quel bug n'a pas déjà empêché un utilisateur de quitter un programme ? Jusqu'où la robotisation de nos outils, qui servent déjà la médecine de pointe - même réalisée sur un patient à distance, seront réutilisés et entrerons dans "nos quotidiens augmentés" ?
... Mais une zone d'enjeux économiques pouvant influer sur le droit
Suite à la jurisprudence "Schrems II" précitée et les différentes actions en cours liant Meta à différentes décisions des autorités de protection et de contrôle des données personnelles au sein de l'Union européenne, le groupe Meta menaçait il y a un mois d’arrêter Instagram et Facebook au sein de l’Union européenne.
Pour rappel, suite à l'invalidation du Privacy Shield, dit "bouclier de protection de la vie privée", les transferts de données personnelles - notion d'accès à ces données compris - vers les Etats-Unis et vers les pays tiers à l'Union européenne ne peuvent plus, par principe, être réalisés aussi simplement qu'auparavant. Le Privacy Shield s'était voulu, un temps, reconnu comme l'assurance d'un niveau de protection plus ou moins équivalent au RGPD européen (op. cit.) aux Etats-Unis, succédant au Safe Harbor (déjà invalidé en 2015 par la CJUE dans la décision dite "Schrems I").
Toutefois, le mécanisme du Privacy Shield n'était en réalité qu'une déclaration d'adhésion faite par les entreprises américaines, leur permettant alors allégeant des formalités en matière de transferts des données des résidents européens vers les Etats-Unis. Le niveau de protection se révélait ainsi très inférieur aux règles imposées par l'Union européenne, l'association NYOB ("None Of Your Business") initiant alors une action juridique pour que le Privacy Shield soit reconnu comme insuffisant.
En conséquence, en juillet 2020, l'invalidation du Privacy Shield a été déclarée par la Cour de Justice de l'Union Européenne dans la décision "Schrems II". La CJUE profita de cette occasion pour préciser les attendus quant aux mesures techniques et juridiques complémentaires pouvant rendre valable légalement les transferts de données personnelles en dehors de l'Union européenne sans risquer de sanctions.
Contrepoids business, Meta assurait ainsi qu'en cas d'absence d'accord favorable permettant d'assurer de nouveau les transferts de données personnelles vers les Etats-Unis, il couperait l'accès à ses différentes plateforme aux utilisateurs de l'Union.
Alors que le Directeur des négociations du Privacy Shield 2.0, Alex Greenstein, indique que les discussions en la matière sont dans leur "dernière ligne droite", nous restons savoir dans quel délai le métavers de Meta touchera les citoyens européens, le droit de l'Union interpelle plus qu'avant les GAMA et ce n'est que pour le mieux de notre côté du globe...