Réflexions juridiques sur la protection des données et la confidentialité du métaverse (II)

Dans le précédent Réflexions juridiques sur Métaverse (I) : Droits de Propriété Intellectuelle, nous avons exploré comment les problèmes liés à la propriété intellectuelle (PI) pourraient se développer. Bien que cela soit encore largement théorique, les premiers projets de métaverse déjà ont des problèmes avec la protection des données.

Dans cet article, nous nous concentrerons sur la protection des données et la confidentialité.

Violations des données et de la vie privée

Ces derniers mois, de nombreux utilisateurs ont affirmé que leurs comptes Roblox avaient été volés sur Bilibi, un youtube chinois. Estimé par RTrack, Roblox compte 202 millions d'utilisateurs actifs par mois d'ici avril 2021 et plus de 65 % sont des enfants de moins de 16 ans.

Avec sa popularité croissante, Roblox a été confronté au problème des pirates informatiques volant des comptes via des extensions de navigateur tierces, des mots de passe compromis et des adresses e-mail non liées. Bien que Roblox ait répertorié les étapes pour récupérer les comptes volés sur son site officiel ; tous les joueurs n'ont pas la chance de récupérer leur compte. 

Cependant, même lorsque les joueurs parviennent à récupérer des comptes, leurs accessoires et leur monnaie ont souvent disparu depuis longtemps.

Comme l'illustre ce problème dans Roblox, le métaverse a déjà de nombreux problèmes de confidentialité et de sécurité des données, et beaucoup d'autres sont susceptibles d'émerger. Celles-ci incluent la falsification profonde complexe, car les fournisseurs de services métavers accèdent à davantage de données utilisateur, notamment des informations biométriques, de localisation et bancaires.

Par conséquent, la protection des données et de la vie privée est une préoccupation majeure pour les régulateurs et les sociétés Internet qui se tournent vers le métaverse. Étant donné que la publicité restera probablement la principale source de revenus pour les deux plus grandes sociétés Internet du monde, Facebook (désormais renommé Meta) et Google, les données personnelles des consommateurs seront susceptibles d'être utilisées à mauvais escient. 

Aperçu des lois sur la protection des renseignements personnels

La législation mondiale sur la protection des informations personnelles remonte à la loi de 1970 sur la protection des données du Land allemand de Hesse. Depuis lors, les lois sur la protection des informations personnelles en Suisse (1973), France (1978), Norvège (1978), Finlande (1978), Islande (1978), Autriche (1978), Islande (1981), Irlande (1988), Portugal ( 1991), la Belgique (1992) et d'autres pays ont également émergé.

La première législation écrite sur les données et la confidentialité aux États-Unis remonte au Privacy Act de 1974 (5 USC § 552a). Depuis lors, il y a eu de nombreuses autres législations remarquables. 

• Loi sur la confidentialité en ligne des consommateurs
• Loi sur la protection de la vie privée en ligne des enfants (COPPA)
• Loi sur la confidentialité des communications électroniques, la loi sur la modernisation des services financiers (GLBA)
• Health Insurance Portability and Accountability Act (HIPAA)
• Loi sur les rapports de solvabilité équitables 

Étant donné que les cas d'utilisation les plus évidents du métaverse tournent autour des jeux en ligne, il est logique d'examiner de plus près les lois sur la protection des consommateurs et des mineurs.

Informations personnelles

Le traitement des informations personnelles comprend la collecte, le stockage, l'utilisation, le traitement, la transmission, la fourniture, la divulgation et la suppression des informations personnelles.

Le Fair Credit Reporting Act des États-Unis (15 USC § 1681 et suivants) protège les informations financières personnelles collectées par les agences de renseignements sur les consommateurs. La loi limite l'accès à ces informations à ceux qui peuvent les obtenir, et les modifications ultérieures ont simplifié le processus permettant aux consommateurs d'obtenir et de corriger les informations les concernant.

En Chine, la définition des informations personnelles se trouve dans la loi sur la protection des informations personnelles de la République populaire de Chine, qui est entrée en vigueur le 1er novembre 2021. Les «informations personnelles» font référence à diverses informations relatives à une personne physique identifiable enregistrées électroniquement ou par d'autres moyens, et n'inclut pas d'informations anonymisées.

Loi sur la protection de la vie privée des enfants

La loi sur la protection de la vie privée en ligne des enfants (15 USC §§ 6501-6506) permet aux parents de contrôler les informations collectées en ligne sur leurs enfants (de moins de 13 ans). Les opérateurs de sites Web qui ciblent les enfants ou collectent sciemment des informations personnelles auprès d'enfants sont tenus de publier des politiques de confidentialité, d'obtenir le consentement parental avant de collecter des informations auprès d'enfants, de permettre aux parents de déterminer comment ces informations sont utilisées et de fournir aux parents la possibilité de refuser faire collecter des informations auprès de leurs enfants.

Réflexions juridiques sur les projets de métaverse

Dans le métaverse, les données d'information, qu'elles soient fournies directement par l'utilisateur ou générées indirectement, telles que les caractéristiques biométriques, les informations de localisation et bancaires, les habitudes de consommation et les habitudes de jeu, sont toutes des informations personnelles. 

Par conséquent, il est raisonnable pour les projets de métaverse et les acteurs impliqués de considérer ce qui suit.

Les développeurs de métaverse doivent concevoir des protections de la vie privée lors du développement de logiciels et de matériel, ce qui est déjà une exigence dans les technologies de réalité virtuelle et augmentée.

Par exemple, en vertu du règlement général sur la protection des données (RGPD), Google Glass comporte des symboles audio et visuels qui semblent indiquer aux utilisateurs quand ils sont enregistrés. Dans le même temps, les plateformes de jeux doivent mettre en place des modes de jeu pour les mineurs afin d'éviter la fuite d'informations sur la confidentialité des mineurs. 

En ce qui concerne la responsabilité légale, il est clair que les contrevenants ne seront pas à l'abri simplement parce qu'ils sont sur le métaverse ou sur la blockchain. Le commissaire de la Commodity Futures Trading Commission (CFTC) des États-Unis, Brian Quintenz, a suggéré que les développeurs de codes de contrats intelligents pourraient être poursuivis s'il est clairement prévisible que le code des contrats intelligents sera utilisé par les Américains pour violer les réglementations de la CFTC.

L'article 22 de la loi sur la cybersécurité de la République populaire de Chine stipule également que s'il existe un risque de programmes malveillants ou de failles de sécurité ou de vulnérabilités dans les services ou produits de réseau fournis, des mesures correctives doivent être prises immédiatement, sinon l'utilisateur sera responsable de la responsabilité légale correspondante.

Les joueurs ordinaires doivent protéger leurs informations et leur vie privée pour s'assurer qu'elles ne sont pas facilement volées en créant des mots de passe complexes, en effectuant des nettoyages antivirus réguliers sur leurs appareils et en optant pour des systèmes d'authentification pour la récupération. Comme dans le cas des joueurs Roblox, ils doivent lier leurs adresses e-mail pour prouver qu'ils sont le propriétaire du compte.

Les parents doivent activer les paramètres des enfants ou des mineurs dans le jeu, avec le consentement explicite du tuteur pour l'élimination des données personnelles des mineurs.

Plus à considérer

À propos de Metaverse et NFT, nous avons soulevé les discussions sur la propriété IP,  Propriété NFT, et la protection des données de Metaverse. Bien que la décentralisation soit au cœur de la blockchain, des règles doivent être établies pour la nouvelle forme de monde afin d'éviter les conflits. Existera-t-il un DAO fonctionnant comme un tribunal traitant de questions juridiques similaires dans notre monde réel. Encore plus à considérer.

Date et auteur : 25 janvier 2022, [email protected]

Source de données: Analyse de l'empreinte