L’apparition dans la sphère numérique du métavers bouleverse les équilibres et fait apparaître de nouveaux enjeux de taille. Source de multiples questions à la fois structurelles et juridiques, le métavers nécessite de faire preuve de vigilance. Alice Picard, notre juriste consultante Protection des Données, dresse dans cet article un historique du métavers et les problématiques soulevées par cet espace virtuel en plein boom.
Métavers : les enjeux juridiques et cyber (2/2)
-
Sujets :
- vr,
- réalité virtuelle,
- meta,
- metavers
Avant-propos : l’équipe juridique de Digitemis a participé à la conférence du Master 2 droit du numérique de l’Université de Rennes 1 sur le sujet du métavers qui s’est tenue le 8 mars dernier. Cet évènement a été l’occasion de revenir sur les enjeux juridiques du métavers. Cet article est issu, en partie, des interventions de cette conférence.
À la suite du premier article Métavers : définition, structuration et problématiques juridiques qui aborde les éléments de définition ainsi que l’historique de la notion de métavers, nous nous intéressons désormais aux enjeux juridiques et cyber de cet espace. L’ensemble du corpus législatif de cet espace doit être défini en amont de sa mise à disposition des utilisateurs afin d’encadrer l’usage qui pourra en être fait. Les usages du métavers étant multiples nous verrons que la règlementation relative à cet espace concerne plusieurs branches du droit : droit de la responsabilité, droit de la consommation, droit des marques, etc.
Sommaire
1. La règlementation du métavers
La première question est celle de la régulation des plateformes : quels acteurs règlementeront cet espace ? Quels sont les moyens de réglementer le métavers ?
Les États ne pourront pas encadrer cet espace puisque le métavers ne connaît pas de frontières. On pourrait alors imaginer un rôle de régulateur à certaines autorités, telles que l’Autorité des Marchés Financiers (AMF) ou la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF), afin de réguler respectivement les transactions dans le métavers ainsi que les questions de concurrence. Les sociétés privées à l’origine de ces espaces pourraient également avoir un rôle à jouer dans la règlementation, et notamment concernant la modération des contenus.
Envisager la question de la preuve d’un acte illicite
Les Conditions Générales d’Utilisation (CGU) de ces espaces pourraient inclure les règles relatives au métavers. L’acceptation des CGU dès l’inscription de l’utilisateur permettrait d’avoir accès au service et de faire respecter des règles à chaque utilisateur. La question de la preuve d’un acte illicite doit également être envisagée afin que les utilisateurs sachent en amont de quelle manière un acte illicite pourra être puni.
En s’inspirant du modèle des jeux vidéo il est également permis d’imaginer l’octroi de « vies » à chacun des utilisateurs. Un avatar dispose alors d’un nombre de vies limités, créant ainsi une sorte de passerelle entre l’avatar et la personne physique, entre le monde virtuel et le monde réel. Dès lors que la personne ne respecte pas les CGU une vie sera perdue. Lorsque le nombre maximal de vies utilisées est atteint, la personne est automatiquement bloquée pour un laps de temps ou désinscrite du service. Des moyens techniques devront être mis en place afin que la personne ne puisse se réinscrire.
2. Une multitude de questions juridiques
La réflexion législative, au niveau national, comme au niveau européen, est bien présente mais le législateur est dépassé par la technologie et les questions juridiques à envisager. Les matières juridiques sont bouleversées par la création de ce nouvel espace et ne sont pas adaptées à cet environnement. Du point de vue du droit de la concurrence on se demande si sur ce marché plusieurs acteurs seront présents ou si, au contraire, il y aura une position dominante.
La question de la responsabilité des utilisateurs est au centre de ces interrogations : l’avatar sera-t-il responsable au même titre que la personne physique dans le monde réel ? Peut-on considérer que l’avatar est le prolongement de la personne physique qui l’a créé ? Dès lors, la responsabilité se reporte-t-elle sur la personne physique ? Un régime de responsabilité propre à ces espaces verra-t-il le jour ? Quels agissements seront incriminés ? Seront-ils les mêmes que dans le monde réel ?
Les sociétés privées proposant des biens et services sur ces plateformes seront également contrôlées. Les vendeurs proposant leurs produits dans une galerie marchande virtuelle devront s’assurer d’obtenir les droits de propriété intellectuelle sur les produits vendus. S’agissant des marques, les classes de dépôt devront être revues puisqu’aucune classe de dépôt des droits ne comprend pour le moment la commercialisation dans le métavers.
Le droit de la consommation sera également bouleversé par cette nouvelle technologie et méritera d’être adapté à ces nouveaux espaces.
3. Quid de la protection des données personnelles ?
Le Règlement Général sur la Protection des Données (RGPD) s’appliquera au métavers pour les utilisateurs situés sur le territoire de l’Union Européenne. L’absence de frontières dans le métavers aura des conséquences sur l’application de la règlementation ainsi que sur le transfert des données personnelles de citoyens européens en dehors de l’Espace Économique Européen (EEE).
La quantité de données personnelles collectées est considérable. Les données liées au comportement, à la température corporelle, aux mouvements et émotions de la personne physique seront collectées et exploitées. La récupération de ces données sera constante. Des données sensibles (biométriques par exemple) seront traitées afin que l’avatar puisse interagir avec cet espace.
La finalité de traitement des données personnelles sera l’accès et l’utilisation du service. Les personnes concernées devront être informées des modalités de traitement de leurs données personnelles. En particulier, elles devront pouvoir s’opposer au traitement de leurs données biométriques en ayant toujours la possibilité de poursuivre leur achat, sans être gênées par le refus de transmission de ces données.
Certaines questions restent pour le moment sans réponse : qui sera chargé du contrôle du respect de cette règlementation ? Où seront stockées les données personnelles ? Quel usage sera fait de ces données via les algorithmes ? Le responsable de traitement sera-t-il le vendeur du service ou la société privée à l’origine du métavers ? Est-ce qu’il y aura une co-responsabilité entre ces deux acteurs ?
4. Quels sont les risques en matière de cybersécurité ?
Ce qu’il faut bien comprendre avant d’évoquer tout risque lié à ce nouvel espace, c’est la possibilité qui est offerte aux utilisateurs de se cacher derrière un pseudonyme, un avatar. De la même manière que sur Internet, il sera plus tentant pour tout utilisateur de réaliser des actions malveillantes dès lors que l’identité de leur auteur est cachée.
Dans ces cyberespaces, le premier risque est lié aux contenus proposés. Il peut s’agir de propos faisant l’apologie du terrorisme, incitant à la haine, à la pornographie ou pédopornographie, à des contenus de propagande politique etc. Tout type d’utilisateur pouvant être présent sur cet espace, il est aisé d’imaginer la présence de groupes politiques, terroristes, religieux etc.
Le second risque est lié aux données personnelles des utilisateurs du métavers. Le piratage de données personnelles en vue de les revendre est envisageable. Les cybercriminels pourront également usurper l’identité des utilisateurs du métavers afin de commettre des actions sur cet espace : phishing, vol de NFT, transactions, arnaque au président etc.
En utilisant la technique du deepfake dans le métavers, un attaquant pourrait pirater le compte d’une personne et se faire passer pour lui en prenant l’apparence de son avatar. Les réunions professionnelles permettront de capter l’image et la voix des participants afin d’usurper leur identité.
Des actes tels que le harcèlement ou le raid numérique pourront être menés sur ces espaces. La création d’avatars dans ce cas constitue un obstacle à l’identification de la personne physique qui se cache derrière cet avatar.
Le phishing, dans le métavers, est susceptible de prendre une nouvelle dimension. Il ne s’agirait plus de mails mais d’un avatar prenant l’apparence de votre banquier ou de votre collègue afin de vous demander vos informations.
5. Les mesures de sécurité
Il est évident que ces risques doivent être intégrés afin de mettre en œuvre des mesures de sécurité techniques. Les moyens d’authentification des utilisateurs doivent être divers afin de renforcer la sécurité dans l’accès au métavers (MFA). L’utilisation de la blockchain pourrait être une solution tout comme l’identification par biométrie grâce au casque de réalité virtuelle. Pour les entreprises présentes sur ces plateformes, l’enjeu est celui de la protection des données confidentielles. Il faudra donc s’assurer que la personne à laquelle on s’adresse est effectivement la personne qu’elle prétend être. Dans le cas contraire des données sensibles pourraient être transmises. L’utilisation du métavers n’est donc pas adapté pour le moment à un usage professionnel.
Conclusion
Les premières expériences de métavers ont vu le jour mais elles ne sont pas encore abouties, ou du moins, ne sont pas encore aussi immersives qu’elles devraient l’être. Les nombreuses interrogations en matière de règlementation et de sécurisation de ces espaces doivent être rapidement adressées afin d’y apporter une réponse avant que l’utilisateur n’ait accès au métavers. Ces questions doivent être prises en compte par les acteurs développant ces espaces, mais également par les autorités compétentes, qu’il s’agisse d’autorités nationales, européennes ou internationales (CEPD, CNIL, Commission européenne, OMPI, Autorité de la concurrence, AMF, etc.). Une véritable coopération entre ces autorités doit se mettre en place en vue d’envisager de manière générale la règlementation qui viendra s’appliquer au métavers.
D’autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis
Les dispositifs de caméras intelligentes ou augmentées dans le viseur de la CNIL
Les dispositifs de caméras intelligentes ou augmentées sont dans le viseur de la CNIL, qui projette de les encadrer dans un projet de consultation. Il s’agit de caméras incluant des logiciels de traitements automatisés d’images, permettant d’extraire des informations à partir des flux vidéo. Alice Picard, notre juriste consultante Protection des Données, fait un point complet sur cette question.
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?