Métavers : définition, structuration et problématiques juridiques (1/2)

definition du metavers

Avant-propos : l’équipe juridique de Digitemis a participé à la conférence du Master 2 droit du numérique de l’Université de Rennes 1 sur le sujet du métavers qui s’est tenue le 8 mars dernier. Cet évènement a été l’occasion de revenir sur les enjeux juridiques du métavers. Cet article est issu, en partie, des interventions de cette conférence. Il est complété par l’article publié le 1er juin 2022 et intitulé Métavers : enjeux juridiques et cyber.

Le 28 octobre dernier, à l’occasion de la conférence Facebook Connect, Mark Zuckerberg a annoncé que Facebook devenait Meta, en référence au projet de Metavers de Facebook nommé Horizon Worlds. Il ne s’agit cependant pas de la première fois que cette notion est entendue. Le métavers est apparu dans un contexte d’hyper convergence technologique lié à plusieurs phénomènes : le web a énormément progressé, l’information va de plus en plus vite, la digitalisation est constante, l’espace de cloud de plus en plus important, la blockchain et les cryptomonnaies se sont démocratisées.

Sommaire

1. Définition du métavers
2. Métavers : historique
3. Métavers : des obstacles techniques
4. Le métavers aura son propre système économique
5. La réglementation du métavers
Conclusion

1. Définition du métavers

Le terme de métavers ou metaverse en anglais provient de la contraction de meta et universe. Il s’agit, même si aucune définition n’a pour l’heure été fixée, d’espaces virtuels persistants, partagés et 3D liés dans un univers virtuel perçu. On ne sait pas encore si l’on parle d’un métavers ou de plusieurs. Ces espaces virtuels permettent notamment de jouer, d’acheter, de créer, de vendre, d’échanger avec d’autres personnes et leurs avatars. Le métavers est un espace dont le nombre de participants n’est pas limité. Il sera peuplé de contenus et d’expériences diverses (participer à un match de foot, faire du gameplay, visiter un musée etc.). Chaque utilisateur aura une identité qui pourra être détachée de son identité réelle.

2. Métavers : historique

La notion a été introduite en 1992 par Neal Stephenson. En 2003, le jeu Second Life permettait des interactions sociales entre les participants. En 2005, Spell of genesis constitue le premier jeu connecté à la blockchain dont les cartes peuvent se revendre en dehors du jeu. L’émergence du métavers n’est donc pas liée uniquement à des évènements individuels indépendants les uns des autres mais plutôt à un phénomène dit de continuum.

Si la notion a été introduite en partie grâce aux jeux vidéo, une distinction est tout de même à opérer entre métavers et jeu vidéo. Le métavers promet, en effet, une expérience de jeu plus fluide ainsi qu’un nombre de participants illimité. Le panorama d’activités est beaucoup plus étendu que dans le simple jeu vidéo : participation à un concert, à une réunion de travail, enseignement à distance, etc. Les équipements eux-mêmes seront différents et permettront une expérience encore plus immersive.

3. Métavers : des obstacles techniques

logo de meta de mark zuckerberg, pdg de facebook

Les obstacles techniques à la mise en œuvre du métavers sont liés aux capacités de mise en réseau et de calcul à l’échelle mondiale. Un monde numérique persistant pouvant être expérimenté en temps réel par des millions d’utilisateurs de manière simultanée est complexe à mettre en œuvre et nécessite des investissements colossaux pour les entreprises privées qui le développent.

Dans le cas où il y aurait plusieurs métavers la question de l’interopérabilité entre ces métavers se pose. Les utilisateurs devront pouvoir recréer leur propre contenu généré sur d’autres plateformes. On ne sait pas encore si chaque métavers sera construit avec ses propres codes et technologies ou s’il y aura une standardisation des codes.

4. Le métavers aura son propre système économique

Les investissements considérables réalisés par les acteurs privés dans le développement de ces métavers devront être récompensés. Ainsi, ces entreprises pourront récupérer un ensemble de données personnelles sur les utilisateurs du métavers. Ces données personnelles pourront ensuite être monnayées pour être revendues grâce à l’utilisation d’algorithmes. Ces acteurs devront assurer la modération de contenus au sein du métavers. Ils pourront se rémunérer grâce à la publicité et à l’arrivée de nouveaux acteurs sur la plateforme.

Il est aussi possible d’imaginer que ces plateformes se rémunèrent par le biais de sanctions financières que l’utilisateur devra payer en cas de non-respect de la règlementation. Les possibilités de gains sur ce nouvel espace virtuel attirent déjà des marques comme Nike, Adidas, Dolce&Gabbana etc. mais aussi le secteur de l’enseignement avec l’ouverture d’un Metaverse College en octobre dans le quartier de La Défense à Paris.

5. La réglementation du métavers

applications et problematiques juridiques metavers

La question de la régulation de ces plateformes est encore en cours de réflexion. Quels acteurs règlementeront cet espace ? Quels sont les moyens de réglementer le métavers ? Les États ne pourront à priori pas réglementer le métavers puisqu’il ne connaît pas de frontières. Certaines autorités régulatrices, telles que l’AMF ou la DGCCRF, pourront contrôler respectivement les transactions dans le métavers ainsi que les questions de concurrence. Les sociétés privées à l’origine de ces espaces pourraient également avoir un rôle à jouer dans la règlementation, et notamment concernant la modération des contenus.

Comment réglementer le métavers ?

Les conditions générales d’utilisation (CGU) et conditions générales de vente (CGV) de ces espaces pourraient inclure les règles relatives au métavers. L’acceptation des conditions générales d’utilisation dès l’inscription de l’utilisateur permettrait d’avoir accès au service et de faire respecter des règles à chaque utilisateur. En s’inspirant du modèle des jeux vidéo, il est également permis d’imaginer l’octroi de « vies » à chacun des utilisateurs. Dès lors que la personne ne respecte pas les CGU une vie sera perdue. Lorsque le nombre maximal de vies utilisées est atteint, la personne est automatiquement bloquée pour un laps de temps ou désinscrite du service. Des moyens techniques devront être mis en place afin que la personne ne puisse pas se réinscrire. Dans ce cas, il faudra lier l’identité réelle de la personne physique et l’identité virtuelle de l’avatar.

Conclusion

Le métavers n’est, pour l’heure, pas défini de manière stable et de nombreux obstacles techniques s’interposent avant qu’il ne soit réellement permis de parler de métavers. L’ensemble du système économique liant les entreprises ayant développé le métavers, celles présentes dans ce nouvel espace, ainsi que les utilisateurs reste à déterminer. La règlementation relative à cet espace devra être envisagée tant concernant les autorités régulatrices, les règles applicables que les moyens de règlementation. Nous aurons l’occasion, dans un second article à paraître bientôt, de poursuivre la réflexion et d’envisager les enjeux juridiques ainsi que les risques cyber liés à cet espace numérique qu’est le métavers. À suivre donc… 

D’autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis

Les dispositifs de caméras intelligentes ou augmentées dans le viseur de la CNIL

Les dispositifs de caméras intelligentes ou augmentées sont dans le viseur de la CNIL, qui projette de les encadrer dans un projet de consultation. Il s’agit de caméras incluant des logiciels de traitements automatisés d’images, permettant d’extraire des informations à partir des flux vidéo. Alice Picard, notre juriste consultante Protection des Données, fait un point complet sur cette question.

Lire l’article
miniature cameras intelligences cnil

Moi DPO : la constitution du registre des activités de traitement

Le registre des activités de traitement est un outil de pilotage de la conformité de l’entreprise qui vient documenter les différents traitements effectués au sein de l’entreprise. Il permet au DPO ou, le cas échéant, au responsable du traitement, d’avoir une vision d’ensemble et de s’interroger sur la légitimité des traitements mis en œuvre.

Lire l’article
miniature article moi dpo

Je partage

Alice PICARD

Diplômée d'un Master 2 droit du numérique en alternance j'ai été recrutée par Digitemis en septembre 2021, en tant que juriste consultante en protection des données personnelles. Mes missions consistent à accompagner les clients de Digitemis dans leur mise en conformité au Règlement Général sur la Protection des Données.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article