Le métaverse nous confronte à des phénomènes d’un très haut niveau de complexité technique, avec des répercussions notables sur la vie privée des utilisateurs. Entretien de Maurizio Stefanini avec Ginevra Cerrina Feroni, professeur de droit constitutionnel à l'Université de Florence, tiré du magazine trimestriel Startmag
Le thème de la défense de la vie privée et du traitement des données personnelles prend une toute autre dimension s’il est placé dans la dimension du métaverse. Ginevra Cerrina Feroni est la personne la plus qualifiée pour nous guider dans le labyrinthe d'un phénomène nouveau et en évolution très rapide. Professeur de droit constitutionnel italien et comparé et vice-présidente du garant des données personnelles, Cerrina Feroni aborde périodiquement ces aspects également à travers un travail de diffusion dans les médias nationaux. Cette interview met particulièrement l’accent sur le triangle entre les entreprises, la confidentialité (et la collecte de données) et le métaverse.
Quels sont les principaux risques pour la vie privée des utilisateurs liés à l’utilisation du métaverse par les entreprises ?
Commençons par un fait. Le métaverse promet un changement d’époque, quelque chose que l’humanité n’a jamais connu auparavant, à savoir le chevauchement entre les expériences physiques et numériques et l’omniprésence que cette expérience exerce sur certaines parties de notre cerveau. De ce point de vue, il me semble que le risque pour la vie privée est celui d'un profilage massif de la sphère la plus intime de l'utilisateur. Contrairement au profilage numérique, où la volonté est externalisée, dans le métaverse « vécu » il est plus difficile de choisir de partager ou non ses données. Les flux d'informations pourraient en effet être collectés et traités grâce à des méthodes biométriques simples, en observant la posture, le rythme cardiaque ou simplement le mouvement de l'iris.
Et quelles nouvelles responsabilités les entreprises devront-elles assumer en matière de confidentialité dans le métaverse ?
Tout d’abord, il est plus correct de parler de métavers au pluriel. Il existe un métaverse d'infrastructure dans lequel se trouvent des applications avec différents métaverses. Concernant l'organisation de l'interface, c'est-à-dire le cadre qui garantit l'interopérabilité entre les différents métavers, une question qui apparaît essentielle est celle du stockage et du transfert des données utilisées pour faire fonctionner les applications. Concernant les applications, les problèmes qui peuvent survenir concernent la responsabilité de gestion des données : conservation, sauvegarde, ainsi que toutes les mesures visant à garantir leur intégrité. Bien entendu, il y a aussi le problème du vol ou de l’utilisation abusive des données. Une question non moins importante est celle relative au développement de systèmes simples à utiliser (dits conviviaux ) pour garantir l'exercice efficace et immédiat des droits des parties intéressées.
Quelles sont les principales lois et réglementations en matière de confidentialité déjà en place qui peuvent s’appliquer au métaverse ?
L'Union européenne s'apprête à formuler une réglementation capable de réglementer son utilisation, mais à ce jour, il n'existe toujours pas de lois strictes qui réglementent la question. Certes, le projet de loi sur l'intelligence artificielle , en abordant les problèmes de transparence, de responsabilité et de respect des droits fondamentaux dans l'utilisation de l'intelligence artificielle, est celui qui touche le plus, quoique indirectement, au sujet. Le pivot autour duquel s’articule actuellement la réglementation est donc et reste le RGPD, le Règlement Général sur la protection des données. La question de savoir si le RGPD est « suffisant » ou non pour réguler la nouvelle dimension du métaverse fait débat. La question est : faut-il intégrer le RGPD pour répondre aux besoins qu’impliquera le nouvel écosystème ou une interprétation par extension de la nouvelle réalité est-elle suffisante ? Je pense que la législation devra intégrer certains aspects.
Et selon vous, quelles sont les perspectives d’avenir en matière de protection de la vie privée dans le métaverse ?
Parler de confidentialité dans le métaverse semble presque être un oxymore. Dans le métavers, il y aura peut-être une protection des données personnelles, mais pas de la vie privée entendue au sens originel du terme, comme le droit d'être laissé tranquille . Le problème qui se pose n’est plus de savoir comment accéder aux données personnelles des habitants de cette réalité, mais seulement comment gérer leur traitement. Je l'ai déjà dit : nous sommes confrontés à des phénomènes totalement nouveaux, d'un très haut niveau de complexité technique, et en évolution très rapide. Ce que nous pouvons, à mon avis, raisonnablement construire n’est pas tant un corpus juridique détaillé, qui risque d’être dépassé à court terme par l’évolution technologique, mais plutôt l’établissement de principes de base solides autour desquels concevoir des réponses concrètes, tant sur le plan législatif que dans la pratique. Cela fait un certain temps déjà que je lance l'idée d'une autorité de confidentialité pour le métaverse. Il s’agit évidemment d’une provocation, mais elle a pour but de souligner comment les réponses aux problèmes futurs du métaverse devront faire face à la nature, aux besoins et au timing de cette réalité parallèle à bien des égards.
Comment les entreprises peuvent-elles protéger la confidentialité des utilisateurs dans le métaverse ?
Certes, le premier point est de trouver un équilibre entre le suivi massif des données personnelles des utilisateurs et le principe de minimisation des données. Une première étape que nécessitera le métaverse est de limiter, le plus précisément possible, la quantité et la qualité des données pouvant être collectées dans la limite des finalités déclarées. Mais sans que ce processus ne pèse exclusivement sur l'intéressé. En fait, je ne pense pas que les règles formelles sur la légitimité du consentement en vigueur aujourd'hui seraient suffisantes. Pensons à la gestion des données sensibles comme celles suite aux visites de télémédecine : seules les informations essentielles au traitement doivent être sauvegardées, tandis que celles qui ne le sont pas doivent être supprimées. De plus, pour le système, les utilisateurs doivent être anonymisés ou, au moins, cryptés. Cependant, tout cela doit être écrit noir sur blanc et le respect des règles doit également être assuré par des modèles opérationnels fiables.
Comment le métaverse pourrait-il changer la façon dont les entreprises collectent et utilisent les données personnelles ?
Un métaverse interconnecté lié aux activités quotidiennes de la personne (et donc plus seulement à son divertissement , comme c'est largement le cas aujourd'hui), implique la collecte de quantités massives de données, dont le suivi des habitudes de consommation, des opinions et goûts voire des émotions à travers l’analyse des données comportementales et biométriques. Cette omniprésence se manifeste avant tout du point de vue de la communication et de la portabilité des données : l’interopérabilité conduira-t-elle à un partage automatique des données entre métavers même s’ils appartiennent à des entreprises différentes ? C'est possible. Il est évident que recomposer le tableau à partir d’informations fournies ici et là augmente à la fois l’efficacité de la collecte des données personnelles et réduit considérablement la capacité des utilisateurs à éviter un profilage précis et massif. L'enjeu fondamental est donc de comprendre comment développer ce transfert de données tout en préservant la vie privée des utilisateurs. Sans compter qu’en plus de se prémunir contre les intérêts commerciaux prédateurs, les utilisateurs doivent se protéger des ingérences de l’État, je pense notamment à des pays comme la Chine.
Qu’en est-il de la protection des mineurs ? Quelles sont les implications du métaverse ?
Actuellement pour l'accès des mineurs au métaverse en Europe, comme il n'y a pas de règles ad hoc , les règles établies par le RGPD s'appliquent et donc, le métaverse est interdit aux moins de quatorze ans. Le problème se pose lorsque les mineurs, une fois qu’ils accèdent au métaverse, ne sont pas reconnaissables en tant que tels et que leurs avatars ne bénéficient pas de protections particulières. Cela permet aux autres utilisateurs de profiter de leur fragilité naturelle de plusieurs manières. Même les outils de supervision parentale ne sont pas particulièrement utiles à cet effet puisqu’ils consistent essentiellement à gérer l’accès aux applications. Et il ne pourrait en être autrement puisque même le mineur jouit de sa propre intimité . Le danger se pose donc en termes de reconnaissance ou non de l'âge mineur de l'utilisateur. Et cela peut être d’autant plus dangereux que le mineur est beaucoup moins outillé et conscient de ses droits.
Quels sont les défis et les opportunités pour la recherche sur la confidentialité dans le métaverse ?
Lorsque nous parlons de confidentialité, nous ne nous limitons pas à la protection des informations. Ce n'est que la première couche. En effet, il y a le problème lié au fait qu'on ne sait pas qui est notre interlocuteur – j'ai parlé plus haut des mineurs – qui est lié au risque de l'identité numérique des utilisateurs et à celui du vol d'avatars. Une avancée importante concernera la possibilité – qui deviendra de plus en plus une nécessité – de rendre les profils uniques. Ce qui peut certainement aider, c'est de développer ce que l'on appelle le métaverse responsable .
Cet article est une traduction automatique de la langue italienne d’un article publié sur le magazine Début Magazine à l’URL https://www.startmag.it/innovazione/metaverso-privacy-intervista-ginevra-feroni/ le Sat, 06 Jan 2024 06:19:09 +0000.