header-DPO-DEF
Numéro 35 // Jeudi 8 décembre 2022
Édito
MÉTAVERS : LA RÉFLEXION S’IMPOSE !
Ce mois-ci, la Lettre du DPO a interrogé  le Professeur Michel Beaudouin-Lafon, Universitaire reconnu et récompensé pour ses travaux sur l'interaction humain-machine, ainsi que membre engagé de la prestigieuse ACM "Association for Computing Machinery", et Arnaud Tanguy, président du Cercle de la Donnée (think-tank indépendant et interdisciplinaire produisant des réflexions prospectives sur la donnée et le numérique). Ils livrent à la Lettre du DPO leur témoignage sur la nécessité de protéger les données produites dans le métavers ainsi que, plus généralement, sur les impacts qu’aura le métavers sur le monde et la société, et qui seront bien réels. 
 
Un sujet d’actualité. Le mot est sur toutes les lèvres dans le monde de la « Tech », mais aussi chez les grandes et emblématiques entreprises qui ont annoncé récemment leur positionnement dans le métavers : Nike (avec le lancement, en avril 2022 d’une paire de baskets virtuelles – associées à un « non-fungible token », ou « NFT » – pouvant être chaussées par un avatar), Axa (avec l’ouverture d’une agence d’assurance affiliée au réseau Axa, dans le métavers, en mars 2022), ou encore Louis Vuitton (avec le lancement, en 2021, d’un jeu vidéo retraçant l’histoire de la marque et permettant aux joueurs d’acheter des articles virtuels pour habiller leur avatar). Les acteurs du numérique ne sont pas en reste, en consacrant de très importants investissements en la matière : Microsoft en ayant notamment annoncé être en cours de rachat, pour près de 69 milliards de dollars en 2022, d’« Activision Blizzard » (éditeur notamment de « Call of Duty » et « Warcraft », des jeux vidéo immersifs qui sont vus comme des précurseurs du métavers), Meta (anciennement Facebook) en ayant investi 10 milliards de dollars en 2021 dans les technologies du métavers. Et, pour comprendre cet engouement, il faut se pencher sur les estimations de revenus que pourrait générer l’économie du métavers (la « metanomics », par une association des termes « meta » et « economics ») : près de 5 000 milliards de dollars d’ici à 2030 (selon une étude du cabinet McKinsey publiée en juin 2022). 

 
Le métavers : une histoire qui ne date pas d’hier. Concept issu de la science-fiction (le fantasme d’une fusion entre le monde réel/naturel et des mondes virtuels/artificiels, qui permettrait d’accroître la capacité de l’homme en satisfaisant davantage ses désirs), le concept de métavers (dont le terme date de 1992, pour avoir été employé dans le roman « Le Samouraï Virtuel » de Neal Stephenson) trouve sa première incarnation significative à travers « Second Life », jeu en ligne massivement multijoueur lancé en 2003, qui est ensuite rapidement concurrencé par les réseaux sociaux alors émergeants. 
 
Un concept encore flou et des usages à inventer. En cette période d’engouement, largement entretenue par les géants de la Tech qui essaient de promouvoir leurs investissements sur le sujet, le métavers est vanté comme étant : (1) virtuel (numérique), (2) synchrone (les événements ont lieu en temps réel, sans latence), (3) n’ayant pas de limite (notamment en termes de nombre d’utilisateurs), (4) persistant (on ne peut pas le réinitialiser ni le mettre en pause ou l’arrêter), (5) disposant d’un système économique propre (les utilisateurs peuvent y acheter des biens numériques et, souvent, les régler via une crypto-monnaie qui, parfois, est propre à la plateforme), (6) immersif (grâce à l’utilisation d’objets connectés - comme des lunettes ou des bracelets par exemple - qui vont permettre à un jumeau numérique – appelé avatar – d’épouser les mouvements de l’utilisateur qui le contrôle et qui, en retour, percevra certaines sensations issues d’événements se déroulant dans cet univers virtuel), et (7) pluriel (il n’y a pas « un » mais « des » métavers, qui ne sont pas nativement interopérables). Parmi ces attributs, seuls les deux derniers distinguent réellement le métavers d’Internet (ce dernier étant tout aussi numérique, synchrone, sans limite d’utilisateurs, persistant et économique) : son caractère immersif et sa pluralité. Sur ce dernier point, le grand défi des métavers sera d’être interopérables, afin de préserver la grande logique d’ouverture ayant présidé à l’apparition d’Internet. Les grands usages du métavers imaginés à ce jour n’en sont encore qu’à leurs balbutiements : loisirs (concerts, jeux, expositions culturelles, parcs d’attraction…), activité professionnelle (travail distanciel au quotidien, formation professionnelle…), nouveaux modes de commercialisation de produits/services (comme l’amélioration de l’expérience client à travers l’essai de produits ou services via la visualisation virtuelle), création de nouvelles sources de revenus (avec, par exemple, des biens numériques comme les NFT, sortes de « jumeaux numériques » des biens physiques, fournis lors de l’achat de ces derniers). 

Avant un « Metavers Act », appliquons le droit au métavers, au sein duquel la protection des données est clé. Des voix s’élèvent déjà pour s’interroger sur le droit qui s’appliquera au(x) métavers, un peu comme pour Internet qui – au début des années 2000 – suscitait des interrogations du même ordre. Comme si le droit commun n’avait a priori pas une vocation naturelle à s’appliquer. Ces mêmes voix se demandent ainsi si le métavers est soumis au droit pénal [avec ses incriminations d’atteinte aux biens (vol, escroquerie) ou aux personnes (violences, harcèlement…)], au droit civil des personnes (respect de la vie privée…), au droit des contrats et au droit de la consommation, ou encore au droit de la responsabilité civile... A bien y réfléchir, l’enjeu, pour les professionnels du droit, sera de faire preuve d’imagination et de créativité dans l’exercice de qualification juridique, en mobilisant l’arsenal des textes existants, avant d’appeler trop rapidement à l’adoption de nouveaux textes (un ou des « Métavers Act(s) »). En tous cas, une chose est claire : la protection des données sera clé dans les métavers, où toutes les interactions entre les avatars (conversations, transactions, etc.) généreront des données numériques. Plus que jamais, la logique d’analyse d’impact, instaurée par le RGPD, est pertinente. Un sujet dont, dès lors, les juristes et les DPO ne peuvent pas se désintéresser ! 

Bonne lecture !

Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique

Pour vous abonner, cliquez ici
Témoignage
IL FAUT IMPÉRATIVEMENT APPLIQUER, DANS LE MÉTAVERS, LES MÊMES RÈGLES QUE CELLES QUI ONT COURS DANS LE MONDE PHYSIQUE  
Michel_Beaud...
Universitaire reconnu et récompensé pour ses travaux sur l’interaction humain-machine, membre engagé de la prestigieuse ACM (« Association for Computing Machinery » – la plus importante société savante d’envergure internationale dédiée à l’informatique), Michel Beaudouin-Lafon s’intéresse au métavers, et invite à mesurer ses impacts qui, loin d’être virtuels, seront bien réels, selon lui. Pour la Lettre du DPO, le Professeur Beaudouin-Lafon revient en détail sur son parcours engagé et livre sa vision sur l’avenir de cette évolution du web ainsi que son incidence sur la société, qu’il appelle à ne pas laisser en dehors du droit.  
1/- Quel est votre parcours, et qu’est-ce qui vous a conduit à vous intéresser au numérique ainsi qu'à la donnée ?

Après une école d’ingénieur en informatique, je me suis lancé dans une thèse, au sein de l’Université Paris-Sud (Paris-Saclay) où j’enseigne toujours. Pendant cette thèse, j’ai découvert les aspects fondamentaux de l’interaction humain-machine (« IHM »), dont j’ai fait mon domaine de recherche pour le reste de ma carrière, et qui m’a amené à m’intéresser à la conception ainsi qu’au développement des outils numériques en prenant en compte leurs impacts sociétaux et éthiques. L’IHM est une discipline qui est le point de rencontre entre la technologie et l’humain. Ce qui m’intéresse est de chercher à concevoir des systèmes les mieux adaptés aux besoins des utilisateurs et surtout aux capacités humaines, et pas uniquement dirigés par ce que peut faire la machine. Pour y parvenir, le rôle de la donnée est important, car elle permet aux concepteurs d’outils numériques de tenter de mieux comprendre les usages, et peut-être aussi les besoins, des utilisateurs. Mon intérêt pour la donnée s’explique ainsi. 

 
2/- Quelles sont vos responsabilités et projets actuels à ce sujet ? 

 Tout d’abord, je commence par mes responsabilités. Au niveau national, j'ai dirigé le département STIC (Sciences et Techniques de l’Information et de la Communication) de l’Université Paris-Saclay et, depuis mars 2022, je suis directeur adjoint du LISN (Laboratoire Interdisciplinaire des Sciences du Numérique, commun à Paris-Saclay, le CNRS, CentraleSupélec et Inria). Enfin, je suis aussi responsable du projet « Continuum », un réseau national d'équipements  de visualisation de données (« visual analytics » en anglais) financé par le PIA (Plan d’Investissement d’Avenir) ; ce projet a pour objet de répondre à la problématique que posent les machines de plus en plus puissantes qui collectent et génèrent des volumes de données si importants qu’ils en devient très difficile de les visualiser : en travaillant sur ce que j’appelle un « macroscope numérique », qui est un outil permettant de « voir » ces données, nous préparons des solutions qui permettront d’appréhender ces données, et de les rendre ainsi exploitables. Au niveau international, je suis engagé au sein de l’ACM (« Association for Computing Machinery »), la plus importante société savante d’envergure internationale dédiée à l’informatique, et j’y exerce la responsabilité de vice-president du « Technology Policy Council », ayant à ce titre pour mission d’informer les décideurs et responsables politiques sur les enjeux et les dangers des technologies numériques. Dans ce contexte, je me suis beaucoup intéressé au RGPD, et je m’intéresse actuellement aux impacts économiques, sociétaux et politiques qu’aura le métavers. Ensuite, pour vous parler de mes projets, j’en évoquerai deux en lien avec le métavers : j’ai été lauréat d’un financement européen octroyé par l’ERC (« European Research Council ») pour un projet de recherche lié au futur de nos interfaces d’utilisation du numérique, et je co-dirige un projet exploratoire national appelé eNSEMBLE sur le futur de la collaboration numérique. Les concepts que j’y développe peuvent tout à fait s’appliquer au métavers. Par exemple, alors que dans le monde physique nous savons facilement utiliser les objets de manière détournée (pour un usage autre que celui prévu par son concepteur), tel n’est pas le cas dans le monde numérique. Nous cherchons donc à ouvrir le champ des possibles, ce qui implique davantage d’interopérabilité, laquelle va exiger un accès plus ouvert aux données et inévitablement un décloisonnement des « jardins privés » dans lesquels les entreprises du numérique nous enferment. 

3/- Quel est votre vision d’avenir sur le numérique, et plus précisément sur le métavers ? 

On peut expliquer l’engouement en faveur du métavers essentiellement pour trois raisons à mon avis. Tout d’abord, parce que les géants du numérique (particulièrement Facebook, d’ailleurs renommée « Meta » pour l’occasion) cherchent un relais de croissance et croient l’avoir trouvé en rendant plus immersive l’utilisation du numérique, et communiquent à grands frais pour promouvoir leurs investissements en la matière. Ensuite, ces mêmes sociétés veulent créer un nouveau marché en décuplant le nombre de données collectées qui seront, ensuite, monétisées. Enfin, le métavers est une voie facile, et donc tentante, d’existence pour tous ceux qui préfèrent se réfugier derrière un avatar plutôt que de vivre en affrontant la réalité ; si cet écran technique peut être un outil précieux dans certaines thérapies, et permettre à quelques-uns (des personnes handicapées, par exemple) de s’affranchir du regard réprobateur des autres, il peut aussi servir de masque à d’autres pour s’abandonner sauvagement à leurs pires pulsions (agressions sexuelles, verbales, etc.) via leur avatar, sans parler des arnaques liées notamment aux NFT. À mon avis, il faut impérativement appliquer, dans le métavers, les mêmes règles que celles qui ont cours dans le monde physique, car, indéniablement, le métavers aura des impacts réels sur la vie des gens.
Éclairage pratique
L'idée sous-jacente du métavers est [donc] de redonner du pouvoir aux internautes en créant un web "décentralisé"
Arnaud Tanguy est président et membre fondateur du Cercle de la Donnée, un think tank indépendant réunissant des professionnels qui s’intéressent aux usages de la donnée au-delà de sa seule dimension technologique. Passionné d’innovation et de technologie, titulaire d’un diplôme d’ingénieur et ancien officier de la Marine Nationale française, Arnaud Tanguy a également travaillé dans les secteurs de l’audit et du conseil, spécialisé en transformation numérique et sécurité de l’information. Ce dernier intervient régulièrement lors d’émissions et de conférences traitant des opportunités et des risques afférents au métavers. Il a accepté de partager son point de vue à ce sujet à la Lettre du DPO.

Une promesse d’un internet à la main de l’utilisateur favorisant les interactions et la collaboration. Une des particularités du métavers est de permettre d’être indépendant des grands groupes et de l’économie. Les plateformes en ligne sont aujourd'hui très centralisées et contrôlées par une poignée de grandes sociétés, comme Meta (société mère de Facebook). La clé du métavers est le Web 3 (une version décentralisée d'Internet basée sur la blockchain) qui favorise la possibilité d’interagir directement et la réalisation d’activités très décentralisées. Tout cela est rendu possible par l’arrivée à maturité de certaines technologies comme la blockchain et les NFT (titres de propriétés numériques). L'idée sous-jacente du métavers est donc de redonner du pouvoir aux internautes en créant un web « décentralisé » en édictant des règles proches des valeurs de la communauté visant à s’affranchir de la pression commerciale. Le métavers rend aussi possible l’émergence de jumeaux numériques, c’est-à-dire la réplication de la réalité dans un monde virtuel dans des conditions proches du réel. Cela permet de tester des innovations à moindres coûts. A titre d’exemple, dans l’univers de la médecine, l’idée est de travailler sur le double virtuel d’un patient pour mieux préparer son intervention chirurgicale. Le but étant de réduire les risques et d’améliorer la sécurité. Enfin, une des autres idées positives du métavers est la proposition d’une vision plus harmonisée, plus unifiée des usages de l’internet qui sont plutôt fragmentés à ce jour. 

Une technologie balbutiante avec des défis importants pour atteindre la maturité. Nous sommes aux prémices d’une technologie source d’enjeux multiples. S’agissant des utilisateurs, se pose la question de l’acceptabilité. Les utilisateurs vont-ils y adhérer ? D’autant plus qu’il y une certaine complexité d’usage. En effet, l’usage du métavers peut être perçu aujourd’hui comme un réel chemin de croix, notamment parce qu’il implique une bonne compréhension du fonctionnement de la cryptomonnaie et d’être familier de la plateforme à laquelle il faut se connecter. Par ailleurs, se pose la question de savoir si les utilisateurs trouveraient un intérêt à aller dans le métavers. La promesse d’une interaction totale implique un suivi régulier des activités des utilisateurs qui peut être perçu comme de la surveillance. Enfin, il existe un enjeu potentiel de santé publique. Le métavers, se veut par essence immersif, avec l’usage d’univers générés en 3D accessibles par des équipements de type casque de réalité virtuelle. Il y a ainsi un risque de sédentarisation de la population qui pourrait perdre conscience de son intégrité, assise sur un canapé avec un casque sur les yeux la coupant du monde réel. L’hyperconnexion à la machine entrainerait d’une certaine manière une déconnexion du corps. 
UPDATE
Tendance
Rapport de la mission sur le développement des métavers : la volonté de rassembler les acteurs français autour d’un horizon commun
Après les missions successives sur l’informatique en nuage (le « cloud »), la chaîne de blocs (« blockchain »), la « réalité virtuelle et augmentée » et enfin les jetons non fongibles (« NFT »), le Ministre de l’Économie, des Finances et de la Relance, la Ministre de la Culture ainsi que le Secrétaire d’État chargé de la Transition numérique et des Communications électroniques ont souhaité la mise en place d’une mission exploratoire sur le développement des métavers.  

Cette mission exploratoire a eu comme objectif, en un temps court, de présenter les enjeux des « métavers » pour la France. Elle a ainsi rendu un premier rapport sur le sujet le 24 octobre 2022, dans lequel elle s’est attachée, d’une part, à clarifier les termes et principaux acteurs du métavers et, d’autre part, à esquisser les axes d’une stratégie pour la France, notamment en proposant des pistes de réflexion pour que la puissance publique puisse rapidement se saisir des chantiers essentiels à l’élaboration d’une telle stratégie.  

Pour en savoir plus cliquez ici
BRÈVE N°1
Condamnation de l’éditeur du logiciel Discord pour divers manquements au RGPD
Créée en 2015, la société de droit américain DISCORD INC. propose un logiciel de communication éponyme né dans le domaine des jeux vidéos. Depuis l’année 2020, marquée par le confinement généralisé, l’outil Discord a bondi pour se propulser au rang des cinq applications françaises les plus téléchargées. Devenu une sorte de réseau social permettant à ses utilisateurs de communiquer par oral et par écrit, l’application populaire parmi la communauté des joueurs vient toutefois d’être sanctionnée par la formation restreinte de la CNIL à hauteur de 800 000 euros. Sont en cause divers manquements au RGPD, parmi lesquels sont visés (i) l’absence de politique de durée de conservation ayant conduit à la conservation de comptes utilisateurs inactifs au-delà de deux ans, (ii) l’absence d’information des utilisateurs en découlant, (iii) le non-respect du principe de privacy by default relatif aux modalités techniques de sortie d’un salon vocal, (iv) une politique de définition et de gestion de mots de passe insuffisamment robustes et contraignants et, enfin, (v) l’absence de réalisation d’une analyse d’impact rendue nécessaire du fait du volume de données traitées et de la possibilité d’une utilisation par des mineurs. La société ciblée a pris acte de ces manquements, qu’elle a en partie rectifiés depuis, justifiant le faible montant de cette sanction au regard des millions de chiffre d’affaires générés par cette entreprise.    
BRÈVE N°2
Reconnaissance faciale : CLEARVIEW AI condamnée par la CNIL à 20 millions d’euros
CLEARVIEW AI, une entreprise américaine spécialisée dans la reconnaissance faciale, a aspiré, à l’insu des personnes concernées, des photographies - donnés biométriques particulièrement sensibles - provenant de très nombreux sites Web, y compris des réseaux sociaux, pour alimenter son logiciel permettant d’identifier une personne à partir de sa photographie et utilisé notamment par des forces de l’ordre.  

A la suite des plaintes reçues par des particuliers, des alertes émises par l’association Privacy International et d’une mise en demeure, la CNIL a infligé à CLEARVIEW AI le 17 octobre 2022 la sanction pécuniaire maximale possible pour le non-respect du RGPD, soit 20 millions d’euros, pour le traitement illicite de données personnelles, le non-respect des droits des personnes et l’absence de coopération avec les services de la CNIL, et lui a enjoint de cesser de collecter et de traiter, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées.  
Agenda_kw
Vendredi 2 décembre 2022 de 12h à 12h45  
Webinaire « Techniques d’IA protectrices de la vie privée : tour d’horizon et perspectives » organisé par la CNIL
Ce Webinaire portera sur les nouvelles techniques de préservation de la vie privée appliquées à l’intelligence artificielle qui font l’objet d’efforts de recherche importants, tant dans le monde universitaire que dans l’industrie. Parmi ces nouvelles techniques, seront détaillés celles qui sont aujourd’hui les plus convaincantes et les obstacles qu’elles permettent de surmonter.  

Le Webinaire aura lieu de 12h à 12h45 et s’adresse notamment aux professionnels en charge de la protection des données, en charge des systèmes d’information, DPO et RSSI.   

Pour en savoir plus cliquez ici  
 
Le département Immatériel et Numérique de klein • wenner 

Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy,  propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).

 
Team_IP_IT
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici

 
Pink_and_Pur...