Le métavers promet de bouleverser notre quotidien professionnel, mais à quel prix ? Dans cet univers virtuel tridimensionnel accessible via des technologies comme la réalité virtuelle où chaque mouvement, chaque interaction peut être captée et analysée, la protection des données personnelles des salariés devient un enjeu majeur.
Alors que le cadre juridique évolue pour suivre cette transition numérique, l’Union européenne doit relever le défi de garantir un équilibre entre innovation et respect des droits individuels. Dès lors, comment assurer la protection de la vie privée des salariés à l’heure où la distinction entre réalité et virtualité tend à disparaître ?

I. Embaucher et intégrer dans le métavers : enjeux juridiques et pratiques.

Recrutement dans le métavers, quand les données deviennent sensibles.

Le développement des recrutements en réalité virtuelle transforme les pratiques de sélection des candidats. Certaines entreprises ont recours à des entretiens immersifs via avatar, une approche adoptée notamment par des start-ups comme Métiers 360 et Talent Solutions. Ce mode de recrutement, bien qu’il réduise certains biais liés à l’apparence physique, ne dédouane pas l’employeur de l’interdiction de traiter toute donnée à caractère personnel qui révèle, entre autres, l’origine ethnique, les opinions politiques et religieuses [1]. L’employeur peut également être amené à collecter des données sensibles telles que les données biométriques, à savoir les expressions faciales et les mouvements corporels des candidats. Ces données doivent être justifiées par un objectif précis. Bien que le consentement explicite des candidats soit légalement acceptable pour leur collecte, il est préférable d’éviter ce fondement en raison du lien de subordination entre un employeur et un futur employé en rendant la liberté du consentement de l’employé contestable.
Quelle solution ? Ne pas les collecter, conformément au principe de minimisation des données. Seules les données nécessaires à l’évaluation des compétences professionnelles doivent être collectées. L’employeur doit également informer clairement les candidats sur les types de données collectées, leur finalité et leur durée de conservation - environ 30 jours maximum.

L’intégration du « méta-salarié » dans l’entreprise : un télétravailleur premium.

Une fois le recrutement effectué, l’intégration du salarié dans le métavers pose d’autres enjeux.
Quel type de contrat de travail l’encadre ? En droit français, un salarié travaillant dans le métavers est assimilé à un télétravailleur. Le métavers, tout en étant un espace virtuel, n’échappe donc pas aux règles du travail à distance. Sa mise en place nécessite néanmoins l’existence soit d’un accord - oral ou écrit - entre l’employeur et le salarié ; soit d’un accord collectif - en pratique intitulé qualité de vie et télétravail - ; soit d’une charte rédigée par l’employeur après avis du Comité Social et Économique (le CSE).
Quelles obligations pour l’employeur ? L’embarquement, appelé également onboarding, du « méta-salarié” » nécessite certaines particularités telles que la fourniture des appareils nécessaires - ordinateur, casque VR -, une formation pour les salariés sur l’usage de ces nouveaux appareils ainsi que la maintenance et support par l’IT pour garantir des conditions de travail optimales.

II. Le quotidien du « méta-salarié » : entre surveillance et sécurité.

Une cybersurveillance limitée.

Le suivi des activités des salariés dans un environnement virtuel est facilité par des technologies permettant de capturer leurs mouvements, leurs déplacements et même leur comportement émotionnel. Toutefois, cette surveillance doit rester proportionnée [2]. L’employeur ne peut imposer une cybersurveillance constante de ses salariés et doit garantir un droit à la déconnexion à ces derniers [3]. Le contrôle doit ainsi être justifié par un intérêt professionnel légitime et ne doit en aucun cas empiéter sur la vie privée des salariés [4].

Une santé mise à l’épreuve.

Le Code du travail impose à l’employeur une obligation générale de sécurité, qui couvre notamment les risques psychosociaux (RPS) et la prévention de la fatigue professionnelle. L’immersion prolongée dans un environnement virtuel peut entraîner des troubles visuels, une fatigue mentale, voire des risques psychosociaux, notamment l’isolement ou la distorsion du temps et de l’espace lié à l’immersion prolongée.
Les employeurs doivent être vigilants à cet égard et adapter le Document Unique d’Évaluation des Risques Professionnels (DUERP) à ces nouvelles réalités afin de pouvoir évaluer le « méta-salarié » à ces nouveaux risques lors de l’entretien annuel.

La nécessaire Analyse d’Impact sur la Protection des Données (PIA).

Dès lors que des données biométriques circulent, les employeurs sont tenus de procéder à une Analyse d’Impact sur la Protection des Données puisque le traitement de ces dernières est susceptible d’engendrer des risques élevés pour les droits et libertés des salariés [5]. Cette analyse, obligatoire en vertu du RGPD, permet de s’assurer que la collecte de ces données est légitime, proportionnée et sécurisée. En l’absence de cette analyse, l’employeur risque des sanctions lourdes de la part de la CNIL - pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial - et des assignations en justice de la part des salariés.

Le rôle du DPO.

Dès lors qu’il est question de création d’avatars et de navigation au sein d’interfaces immersives, les données collectées relèvent du cadre des données à caractère personnel et sont soumises à des régimes spécifiques [6]. La régulation en matière de protection des données reste toutefois agnostique quant aux dispositifs techniques utilisés : les obligations des responsables de traitement dans le métavers sont identiques à celles applicables aux autres environnements numériques. Dans ce contexte, les employeurs doivent respecter les principes de proportionnalité [7], de nécessité [8] et de transparence [9] lors de la mise en place d’outils de surveillance et nommer un délégué chargé des données personnelles (le DPO). En outre, les méta-salariés doivent être informés de toute modalité de collecte ou de traitement de leurs données personnelles. Ainsi, l’enregistrement des réunions organisées dans le métavers ne peut se justifier que par un intérêt professionnel légitime et doit être limité dans le temps.

La sécurité des appareils.

Les employeurs doivent également prendre les mesures nécessaires pour protéger les données d’identification et de connexion, telles que l’authentification à deux facteurs, afin d’éviter toute usurpation d’identité et plus généralement de garantir la sécurité des données personnelles collectées en mettant en œuvre des mesures techniques appropriées pour prévenir tout accès non autorisé : Virtual Private Network (VPN) - un réseau privé virtuel qui vous permet de chiffrer votre adresse IP -, charte informatique, pare-feu, etc. De plus, il incombe à l’employeur de former les salariés aux bonnes pratiques de gestion des données personnelles dans le métavers.

III. La fin de la relation de travail : le futur des données après le départ du « méta-salarié ».

L’avatar du « méta-salarié ».

L’employeur doit s’assurer de la désactivation de l’avatar du salarié pour éviter toute utilisation frauduleuse, tout en prenant en compte les questions de propriété intellectuelle. Un point encore flou sur lequel la doctrine s’interroge, notamment en ce qui concerne les droits liés à la création de l’avatar.

Les données RH.

Les données personnelles collectées doivent être supprimées dès lors que les finalités pour lesquelles elles ont été collectées, sauf si une autre obligation légale impose leur conservation tel est le cas pour les bulletins de paye qu’il faut conserver (cinq ans [10]).

Conclusion.

Bien que les régulations actuelles cherchent à s’adapter aux spécificités du métavers, elles se construisent progressivement au sein de l’Union européenne. À mesure que le métavers se développe, les normes en matière de protection des données personnelles et de droit du travail devront continuer à évoluer pour répondre aux nouveaux enjeux liés à cet environnement numérique.

Bibliographie

• Sklar J., Cybercinétose : passer trop de temps derrière un écran peut nous rendre malade [11], 27 mai 2021.
• Loukili G., Droit du métavers : chronique de l’avènement d’un nouvel espace-temps, entre disruption et continuité du droit du numérique, chap. X, LGDJ, 2024.
• Chatellier R., Affective computing : des casques qui analysent le cerveau [12], LINC CNIL, 25 juin 2018.
• IEEE, Rapport : Le métavers et son impact sur les droits humains, l’État de droit et la démocratie [13], 2022.
• A. Basdevant, C. François, R. Ronfard, Mission exploratoire sur le métavers [14], oct. 2022.
• European agency for safety and health at work, Worker exposure to virtual and augmented reality and metaverse technologies : how much do we know ? [15], 2024
• Comité économique et social européen, Avis exploratoire sur le métavers à la demande de la Commission européenne 2023/C 228/10, Journal officiel de l’Union européenne [16], 29 juin 2023.

Diana de Lima Etudiante en Master 2 Droit général des activités numériques https://www.linkedin.com/in/diana-de-lima-2a12a7170/

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).