Veille Juridique n°48 – Juin 2022

Le meilleur des mondes. En mars 2022, l’événement Metaverse Fashion Week a eu lieu dans Decentraland, l’un des mondes virtuels les plus populaires.

Un concert en ligne diffusé en continu sur la plateforme de jeu Fortnite a récemment rassemblé 12 millions de spectateurs.

Un monde virtuel se développe aujourd’hui, sans que ses implications humaines, économiques et sociales n’aient encore été totalement appréhendées.

Le rapport tout juste publié par le Parlement européen sur ce sujet mentionne que, d’ici 2026, 25 % des personnes passeront au moins une heure par jour dans le métavers pour le travail, les achats, l’éducation, les activités sociales et/ou le divertissement.

De nombreuses sociétés commerciales ont commencé à y développer leurs propres plateformes, même quand leurs activités n’ont qu’un rapport très lointain avec le numérique.

Le Métavers peut être décrit comme un monde virtuel immersif et constant en 3D dans lequel les personnes interagissent par l’intermédiaire d’un avatar pour profiter de divertissements, faire des achats et effectuer des transactions, ou travailler sans sortir de chez eux.

L’écosystème du métavers économique s’appuie sur les technologies des blockchains et des crypto-monnaies, telles que les « jetons non fongibles » (NFT), pour monétiser les transactions dans l’environnement numérique.

Cette évolution du web pose de nombreuses questions, notamment quant à l’application du droit.

Comment réguler en pratique des fusions acquisitions en ligne, du harcèlement, des transactions plus ou moins légales effectuées en cryptomonnaies, des collectes de données massives concernant les comportements des individus via leurs avatars, ou encore la surveillance des individus en ligne par les forces de l’ordre ?

L’enjeu est conséquent en ce qui concerne le RGPD, comme le souligne une récente tribune publiée le 20 mai dernier dans le journal Le Monde, et comme le rappelle le Parlement européen, compte tenu de la qualité et de la quantité sans précédentes de données collectées.

Il peut s’agir d’expressions faciales, de gestes ou d’autres types de réactions physiques ou émotionnelles qu’un avatar pourrait produire lors de ses interactions, en temps réel et sans en être conscient.

Des données sensibles comme les données biométriques peuvent ainsi être collectées.

Ces informations permettront par exemple aux entreprises de mieux comprendre le comportement des utilisateurs et d’adapter les campagnes publicitaires de manière très ciblée.

Les règles existantes sont-elles adaptées à ce nouvel univers ?

Comment obtenir le consentement des individus à une telle collecte de données, et qui est responsable de la collecte, dans un environnement où les rôles sont multiples et où il est d’autant plus difficile d’identifier le responsable du traitement ?

Comment gérer les interactions avec l’intelligence artificielle, inhérente au fonctionnement du Métavers, et les décisions automatisées qui en découlent ?

Plusieurs pistes sont évoquées, qui s’appuient non seulement sur le RGPD, mais aussi sur des propositions de réglementations européennes concernant l’intelligence artificielle et la gouvernance des données.

Citons le rôle des intermédiaires de données, qui pourraient centraliser les autorisations des utilisateurs quant à l’utilisation de leurs données.

La proposition de réglementation sur la gouvernance des données prévoit une protection des espaces de données personnelles, ou portefeuilles de données, en encadrant le partage des données et le contrôle du consentement des personnes.

Dans la mesure où les intermédiaires utilisent l’intelligence artificielle dans la gestion des données, des garanties sont toutefois nécessaires afin d’éviter détournements et abus.

Rappelons que ces deux propositions de règlements ont fait l’objet de commentaires du Contrôleur européen et du Comité européen de protection des données, qui insistent sur le respect du principe de finalité dans l’utilisation des données, et appellent à des mesures qui prévoient davantage de contrôles et de garanties pour la personne concernée, par exemple des codes de conduite ou des mécanismes de certification.

Les autorités émettent également des réserves quant au scoring social effectué dans le contexte des réseaux sociaux en général, a fortiori dans le Métavers.

Une attention particulière devra en outre être accordée à la protection des groupes vulnérables, notamment des enfants, afin de vérifier leur âge et de les dissuader de fournir leurs données personnelles.

Certains plaident en outre pour un Métavers ouvert et décentralisé, contrôlé par les utilisateurs eux-mêmes sous la forme d’organisations autonomes décentralisées (DAO).

Dans ce type de modèle, différent d’un modèle commercial centralisé, les utilisateurs auraient plus de contrôle sur leurs données et leur partage.

Ici encore, outre des orientations réglementaires, des codes de conduite et des mécanismes de certification contribueraient à une meilleure sécurité juridique.

Quelques réponses, pour un grand nombre de questions…

En tous les cas, l’application du droit ne se fera pas sans une plus grande responsabilisation des acteurs concernés.

Et aussi

France :

La CNIL a publié le 7 juin dernier des questions-réponses concernant l’utilisation de Google analytics.

La Commission a mis plusieurs organismes en demeure de se mettre en conformité avec le RGPD, aucune des garanties supplémentaires qui lui ont été présentées ne permettant d’empêcher l’accès des services de renseignements des Etats-Unis aux données personnelles des utilisateurs européens.

Une solution permettant d’utiliser un proxy pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure peut selon elle être envisageable, si ce serveur remplit un ensemble de critères respectant les recommandations du Comité européen de protection des données (EDPB), publiées le 18 juin 2021.

Le Conseil d’Etat a confirmé que la CNIL était compétente pour imposer des sanctions en dehors du mécanisme de guichet unique européen.

Le cas d’espèce concerne la société Amazon online France qui dispose d’un établissement sur le territoire français qui traite les données de personnes résidant en France.

L’amende de 35 millions d’euros prononcée en 2020, sanctionnant l’utilisation de cookies sans consentement des utilisateurs, a ainsi été confirmée.

Le 30 juin, la CNIL a prononcé une sanction de 1 million d’euros à l’encontre de la société Total Energies Electricité et Gaz de France notamment pour ne pas avoir respecté les obligations en matière de prospection commerciale et de droits des personnes.

La CNIL a lancé le 13 juin une étude sur les données de géolocalisation collectées par des applications mobiles.

Comme annoncé dans son plan stratégique 2022-2024, la CNIL souhaite sensibiliser le public et les professionnels aux enjeux liés à la collecte de données de géolocalisation par les applications mobiles.

Il s’agit également de vérifier la conformité au RGPD des professionnels du secteur de la prospection commerciale.

Europe :

Le Contrôleur européen de la protection des données (EDPS) exprime ses préoccupations quant aux modifications apportées au règlement Europol, entrées en vigueur le 28 juin 2022.

L’EDPS souligne qu’elles affaiblissent le droit fondamental à la protection des données, ne garantissent pas un contrôle approprié de l’agence et élargissent considérablement le mandat d’Europol en ce qui concerne les échanges de données personnelles avec des parties privées, l’utilisation de l’intelligence artificielle et le traitement de grands ensembles de données.

Le 14 juin, le Comité européen de la protection des données (EDPB) a publié sa réponse à la consultation de la Commission européenne sur la création d’un euro numérique.

Le 16 juin, l’EDPB a adopté des lignes directrices sur la certification en tant qu’outil pour les transferts de données personnelles vers des pays tiers qui ne présentent pas un niveau de protection adéquat.

La conférence organisée en juin par l’EDPS, suivie en ligne et en présentiel par plus de 2000 personnes, s’est conclue par des observations critiques concernant la coopération européenne en matière d’enquêtes.

Pour l’EDPS, tout bon modèle devrait comporter de solides mécanismes de collégialité, et les enquêtes stratégiques pourraient être menées à un niveau central, ce qui permettrait de surmonter « les problèmes découlant de législations nationales incompatibles ou de tentatives d’harmonisation disparates. »

Le Conseil de l’Europe publie une étude sur le spyware Pegasus et son impact sur les droits fondamentaux. Rappelons que ce logiciel espion est également l’objet d’une enquête du Parlement européen.

Le Consumer Protection Cooperation Network (CPC), en coopération avec des autorités de protection des données, a approuvé 5 principes clés pour une publicité loyale envers les enfants.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) de Suisse a conseillé à la Suva (Caisse nationale suisse d’assurance en cas d’accidents qui assure la couverture des soins de santé de ses employés) de reconsidérer sa décision d’externaliser le traitement de ses données personnelles aux Etats-Unis – plus précisément dans le service de cloud de Microsoft, même si les données sont hébergées sur un serveur de MS en Suisse.

Les transferts hors Europe sont également au cœur de la décision récente du Conseil d’Etat de Belgique, qui a suspendu une décision de choisir un contractant américain dans le cadre d’une procédure de marché public au motif que cette autorité n’a pas suffisamment examiné si le contractant respectait les exigences du GDPR, en particulier les dispositions relatives aux transferts.

La décision met aussi en cause un traitement ultérieur par une autre société, Smart Analytics, basée en Russie (via GDPRhub).

Dix associations de consommateurs, sous la coordination du Bureau européen des unions de consommateurs (BEUC), annoncent ce 30 juin prendre des mesures pour que Google se conforme à la loi : le géant de la tech orienterait les consommateurs vers son système de traçage lorsqu’ils s’inscrivent à un compte Google, au lieu de prévoir la protection de leurs données par défaut et par design, comme l’exige le RGPD.

La réforme post-Brexit de la législation britannique sur la protection des données a franchi une nouvelle étape ce 17 juin avec la réponse finale du gouvernement à sa consultation publique.

Le document comporte plusieurs réformes, telles que la suppression de l’obligation de désigner un délégué à la protection des données, le remplacement de l’exigence du consentement par un droit d’opposition en cas de traçage des internautes, et des modifications du fonctionnement de l’Information Commissioner’s Office.

L’APD finlandaise a ordonné à un hôpital de supprimer les historiques, journaux de localisation et autres données personnelles des employés générées par la fonction d’enregistrement par défaut de la localisation dans Windows 10.

Ce paramètre violait le principe de « protection des données par défaut » de l’article 25(2) du RGPD (via GDPRhub). 

L’autorité italienne de protection des données a infligé une amende de 70 000 € à un hôpital pour avoir mis les destinataires de deux newsletters médicales en CC au lieu de CCI, révélant leurs données personnelles (y compris les données de santé) à tous les destinataires sans base légale (via GDPRhub).

Sur le même sujet, l’APD de Roumanie a également infligé une amende de 1 000 € à un sous-traitant responsable de la mise en œuvre d’une campagne de marketing pour avoir envoyé un courriel de marketing à 27 personnes sans cacher les adresses électroniques.

Rappelons que la Belgique a considéré le 29 avril dans une affaire similaire qu’envoyer un tel email ne constituait pas une violation de sécurité lorsque moins de 16 personnes étaient concernées.

International :

Russie : Un tribunal de Moscou inflige une amende de 15 M RUB à Google pour non-respect répété de la règle de localisation des données.

Google avait déjà fait l’objet d’une sanction administrative en 2021 pour avoir enfreint ce même principe de la loi russe sur les données personnelles, qui oblige les entreprises à stocker les données personnelles des citoyens russes sur le territoire de la Fédération de Russie.

Etats-Unis : les conséquences de la décision de la Cour Suprême « Roe vs Wade » s’étendent aux questions de confidentialité des données. 

La question concerne l’attitude des géants de la tech quant à l’accès par les autorités aux données liées à la fertilité.

Ces données peuvent être révélées par des sources telles que l’historique des navigateurs, les recherches, les journaux d’emails et de textos, l’utilisation d’applications de fertilité et autres produits commerciaux avec lesquels de nombreux utilisateurs interagissent quotidiennement.

Ce type d’informations a déjà été utilisé par les forces de l’ordre comme preuve dans des affaires liées à l’avortement, comme le précise The Register.

Chine : le New-York Times publie une enquête citant des centaines de documents décrivant en détail le logiciel acheté par la Chine pour passer au crible ses vastes bases de données de surveillance, afin de prédire qui deviendra un suspect ou potentiel fauteur de troubles.

Au Canada, une Charte des droits digitaux protège depuis le 16 juin les droits des consommateurs et les données à caractère personnel, et réglemente l’intelligence artificielle.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.