La Réalité virtuelle prend au fil du temps une place croissante dans notre société numérique. Connue de prime à bord dans la sphère des jeux vidéo, elle a néanmoins commencé à se frayer un chemin dans d’autres sphères. Les problématiques légales afférentes à son utilisation sont pour l’instant peu débattues au profit d’autres discussions telles que sur l’intelligence artificielle et la reconnaissance faciale alors qu’elles méritent néanmoins que l’on y accorde plus d’attention. Celle relative à la protection des données personnelles des utilisateurs apparait comme principale eu égard à l’intérêt porté à la vie privée ces dernières années, et la technologie même de la Réalité virtuelle.
Cet article a pour but d’alimenter le débat autour de l’utilisation de cette technologie et ne se veut donc pas exhaustif des problèmes relatifs à la protection des données.

I/ Définitions et introduction : l’étendue de la réalité virtuelle.

La Réalité virtuelle se différencie de la réalité augmentée en ce qu’elle immerge la personne dans un monde virtuel grâce à un ensemble d’équipements adaptés : casque (headset), mannettes, écouteurs... La réalité virtuelle reproduit de manière artificielle une expérience sensorielle incluant tous les sens, la vue, le toucher, l’ouïe dont parfois l’odorat.

La réalité augmentée quant à elle apporte le monde virtuel au réel, l’exemple le plus connu étant celui du jeu « Pokémon go ».

L’usage de la réalité virtuelle se fait de plus en plus commun dans notre société. Celle-ci n’est plus utilisée que dans la sphère des jeux vidéo mais bien dans d’autres sphères telle que l’audiovisuel. En 2018, Le monde affirmait ainsi que les chaînes de télévision « en quête d’une audience plus jeune, s’intéressent de plus en plus à cette nouvelle technologie » [1]. De plus, des chaines hôtelières ont commencé à se l’approprier [2].

Elle fait déjà part entière de parcs d’attractions : que ce soit en Asie au Japon au Universal studios avec la fameuse attraction « d’Attack on Titans » en réalité virtuelle ou même les nombreux parcs dédiés à la réalité virtuelle tel que le « Joypolis », ou en Europe avec les attractions virtuelles d’Europapark. En France le 24 juin 2020 a par ailleurs été ouvert « Illucity park » à Brest, un parc d’aventures en réalité virtuelle [3].

Elle fait même partie du quotidien de certains hôpitaux, car pour traiter les phobies de plus en plus de praticiens utilisent les casques de réalité virtuelle. La Pitié Salpêtrière l’utilise dans le service de psychiatrie pour ne citer que celui-ci [4].

Dans le monde des eSports, les tournois en réalité virtuelle se font de plus en plus nombreux. Omni VR, le créateur des arènes d’eSport VR Omni Arena, va doubler les prix à gagner lors de ses tournois en 2020 suite à un partenariat avec HP : 100 000 dollars à gagner et partager [5].

La réalité virtuelle n’étant plus utilisée en marge la question de la protection des données personnelles traitées apparaît comme essentielle.

II/ Vie privée et réalité virtuelle.

Avant-propos et collecte de données personnelles dans le cadre des jeux vidéo.

« - Article 4 - données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement (…) ».

La Réalité Virtuelle implique de facto un traitement de données personnelles concernant leurs utilisateurs. Ce traitement de données personnelles est en partie commun à tout jeu vidéo en ligne : localisation, adresses IP, toutes autres informations sur leurs activités que ce soit sur le jeu, sur la plateforme de l’entreprise, les données du compte utilisé, en passant par la carte bancaire si des achats sont intégrés.

Dans les jeux vidéo classiques en ligne, des chercheurs ont déjà donné l’alerte sur les données collectées relatives à l’activité des individus dans le jeu.

En effet, dans la majorité des jeux le système est construit de manière à garder une trace des choix effectués. Lors qu’un simple choix est enregistré, on ne peut en disposant seulement de cette donnée identifier la personne car elle serait isolée.

Néanmoins, si ces choix sont regroupés et incluent d’autres informations tels que les dialogues choisis, il est alors possible d’identifier un individu. Ces données peuvent ensuite servir à analyser le comportement de la personne et son caractère [6].

Dès 2010 une étude a illustré les connections entre la personnalité de joueurs de Second Life, un jeu vidéo avec un monde virtuel en ligne, et leur comportement dans ce monde virtuel [7] Cette étude a été reprise en 2011 par des chercheurs expérimentant la collecte de données dans le monde virtuel de World of Warcraft, afin de faire des test de personnalité, ils concluaient déjà que :

"Above all, the ability to create tracking systems that essentially shadow a user wherever they go in a Virtual World raises privacy concerns. In our study, the consent process spelled out the data collection scripts to participants, but given that Virtual Worlds like World of Warcraft are a kind of pseudonymous public space, data collection studies (without a survey component like ours) largely fall into the exempt category for human subjects Institutional Review Board (IRB) review. The gray area arises due to the fact that the public space of WoW is unlike any physical public space we know—with microphones and video cameras that could follow every user unobtrusively” [8].

Il est en effet courant dans les jeux vidéo, de faire appel à des « Data analysts » chargés d’analyser le comportement des joueurs pour ensuite améliorer l’expérience de jeu : équilibrer la difficulté des niveaux, apporter du nouveau contenu, et bien plus [9].

On a tendance à oublier que le monde virtuel, bien que virtuel et considéré majoritairement comme un « loisir », reste un monde où il est facilement possible de suivre et tracer les utilisateurs, et ce même derrière un avatar.

En l’espèce, la collecte de données personnelles qui vient marquer la limite entre les jeux vidéo en ligne classiques, est celle des données biométriques [10]. Ici, les dangers pesant sur la protection des données apparaissent plus clairement du fait de la sensibilité de ces données, qui sont collectées comme condition intrinsèque à l’utilisation de cette technologie.

La collecte de données biométrique dans la réalité virtuelle.

Dans le RGPD, les données « biométriques » sont définies comme étant :
 « des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telle que des images faciales ou des données dactyloscopiques » ;
 les données collectées rentrent bien dans la définition du RGPD de données personnelles biométriques. Afin d’interagir avec le monde virtuel, il est nécessaire de collecter les données de mouvement : micromouvements de la tête, du torse, des mains et des yeux, etc. Un mouvement de la tête permettra au jeu de savoir où la personne regarde afin de lui monter les bonnes images, un mouvement de la main quant à lui servira peut-être au jeu de savoir quand effectuer une action telle que se battre contre un animal.

Ces données, comme l’affirment des chercheurs de l’Université de Liverpool, et de Missisippi dans un papier publié en mai 2020, sont uniques à la personne :

« People are kinesiologically unique, having individual behavioral and movement characteristics » [11].

Ils soutenaient alors la nécessité d’avoir un mécanisme d’identification sûr, transparent et non intrusif [12].

Ces données sont collectées en grand nombre de manière constante, et sont nécessaires pour assurer l’expérience de jeu. A titre d’exemple passer 20 minutes dans le monde de réalité virtuelle laisse plus de 2 millions d’enregistrements de langage corporel (mouvements, micro mouvements etc..) [13].

Des données difficilement anonymisées.

Bien que pouvant être « anonymisées », il n’est pas certain que cela soit aussi efficace que l’on ne pense. Sans renter dans le débat de la re-identification à partir de sets de données anonymisés [14], ces données peuvent être considérées comme de prime à bord ne rendant pas identifiable la personne : après tout ce n’est qu’un mouvement de tête ou de main.

Cependant, elles sont difficilement anonymes car les schémas de nos mouvements sont uniques à chaque personne. Nous n’avons pas les mêmes temps de réaction, ni les mêmes micromouvements.

En 2015, l’armée américaine parlait déjà de signature cognitive, une méthode pour vérifier l’identité d’un utilisateur en prenant en compte son comportement. The Register, l’agence pour les projets de recherche avancée de défense (DARPA) avançait « le principe d’une authentification active qui observe l’attitude de l’usager lorsqu’il manipule l’outil informatique (mouvements de la souris, vitesse de frappe au clavier, etc) » [15]. Il ne s’agit donc plus de parler seulement d’authentification faciale, par l’iris ou l’empreinte digitale.

Pourtant, l’autorité de Protection des Données Espagnole (AEPD) a publié en collaboration avec l’EDPS une note technique, juin 2020, où elle mentionne notamment que tout traitement de données biométriques n’implique pas identification en prenant comme exemple de données biométrique le mouvement de la souris pour voir si c’est un robot ou un humain dans le site web [16].

Pour l’AEPD l’identification n’interviendrait dans l’exemple que si c’est la finalité du traitement. Cependant, les données collectées dans l’exemple de l’AEPD sont beaucoup moins importantes que dans le cadre de la réalité virtuelle ou les projets de DARPA.

En l’occurrence, dans le cadre de la réalité virtuelle, leur isolation est difficile et le regroupement possible du fait du volume de la collecte, ce qui mérite une attention particulière.

De données biométriques à des données de santé.

Le traitement de ces données est intrinsèquement lié à l’expérience du jeu, on ne peut jouer à un jeu de réalité virtuelle sans que celui-ci prenne en compte nos mouvements et actions dans le monde réel afin de réagir en conséquence dans le monde virtuel. Elles permettent néanmoins d’identifier d’autres caractéristiques de la personne et la frontière étant fine, finir par être des données de santé [17].

Les données de santé sont des données permettant de déduire une information sur l’état de santé de la personne. Elle est interprétée au cas par cas mais de manière large.

« On peut parler de 3 catégories de données :
 celles qui sont des données de santé par nature ;
 celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne ;
 celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical. »

Dans le cadre de la réalité virtuelle, à partir de ces données biométriques on peut diagnostiquer une personne : anxiété, dépression, addictions et plus. On peut donc débattre qu’elles rentrent dans la seconde catégorie de données de santé.

En ce sens, une étude réalisée en 2004 sur des élèves dans une classe virtuelle a permis de diagnostiquer l’attention de chacun. La quantité de mouvements de la tête, des bras et des jambes était plus élevée chez les enfants qui avaient reçu un diagnostic de trouble de déficit de l’attention ou bien d’hyperactivité que chez ceux qui n’en avaient pas reçu un tel diagnostic. Ils ont également mesuré les mouvements de la tête et ont démontré que les élèves ayant reçu un diagnostic de trouble du spectre autistique de haut niveau regardaient moins fréquemment leurs camarades dans la classe virtuelle lors d’une conversation, par rapport aux autres non diagnostiqués [18].

Pour l’instant il semblerait que dans le monde de la santé, cette technologie ne soit pas encore utilisée pour détecter des maladies mais pour les soigner. L’approche est donc plutôt thérapeutique [19] mais on ne peut exclure leur détournement : quid d’une assurance qui refuse un client car les données biométriques collectées lors d’un jeu de réalité virtuelle ont permis de diagnostiquer une dépression ? C’est un scénario qui pourrait de présenter dans la société de demain.

Un autre exemple d’utilisation détournée serait la possibilité pour les publicitaires de voir plus précisément comment la personne perçoit la publicité : voir au travers des yeux du consommateur [20]. Ce qui rendrait le profilage [21] beaucoup plus intrusif : ce serait utiliser des données biométriques non plus pour authentifier la personne mais pour regarder au travers du subconscient de la personne.

Ces données peuvent donc être analysées puis détournées pour d’autres finalités particulièrement intrusives de la vie privée de l’individu. Ces détournements ne sont pas seulement propres à la réalité virtuelle, c’est également le cas avec les données biométriques plus « classiques » telles que la biométrie faciale pour identifier ou authentifier la personne. A la différence que les mouvements en diraient peut-être plus sur nos comportements et donc sur notre personne, venant se glisser à la frontière des données de santé.

Le possible détournement de ces données représente un véritable danger en termes de protection de données personnelles.

Un traitement de données biométriques initialement prohibé.

Par principe le RGPD pose l’interdiction de leur collecte et traitement dans son article 9, paragraphe 1.

« Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel ;
1. Le traitement des données à caractère personnel (..) ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé (..) sont interdits.  »

Néanmoins le paragraphe 2 donne les cas de figure permettant sa collecte et traitement licite :

« 2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ; »

Ainsi la personne concernée doit donner explicitement son consentement pour la récolte et l’utilisation de ses données.

La nuance ici c’est que le règlement indique que le traitement interdit est celui « aux fins d’identifier une personne physique de manière unique » ce qui rejoins l’AEPD quand ils affirment que tout traitement de données biométriques n’implique pas identification.

Mais, bien que les données récoltées soient aux fins d’utilisation du jeu de Réalité Virtuelle et donc pas aux fins d’identifier une personne, au vu de leur nombre important (passer 20 minutes dans le monde de réalité virtuelle laisse plus de 2 millions d’enregistrements de langage corporel) et leur caractère unique, elles permettent malgré tout cette identification. De plus, comme détaillé, elles interviennent à la frontière des données personnelles de santé, c’est-à-dire

« celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne ».

Le consentement de la personne concernée apparait donc comme nécessaire pour traiter les données personnelles collectées dans le cadre de la Réalité Virtuelle.

Ce consentement doit revêtir les critères classiques du consentement en protection des données, respecter l’Article 7, c’est-à-dire les conditions applicables au consentement et être une « manifestation de volonté, libre, spécifique, éclairée et univoque ».

En pratique cela devrait se traduire par l’information claire et précise que l’utilisateur consent à la captation de ces données et à leur traitement afin de pouvoir jouer au jeu, si non il ne pourrait pas y avoir accès : les deux étant liés pour pouvoir fonctionner correctement. La difficulté surviendrait au moment de tracer la ligne entre ce qui est strictement nécessaire pour pouvoir jouer et ce qui ne l’est pas.

Une autre question serait celle de la captation pour améliorer les services, en ce sens, l’utilisateur devrait encore une fois avoir le choix de consentir ou non. Pour chaque traitement des données biométriques pour une finalité différente, le consentement doit être recueilli.

Quelques points de réflexion pour permettre un traitement licite :

 Limiter la collecte - Art 5.
Ces données doivent être celles strictement nécessaires à l’objectif final, il faudrait donc limiter leur collecte. Cette limite de collecte peut se traduire par l’interdiction de données brutes.

 Crypter les données.
La CNIL a déjà rappellé que les données biométriques doivent être stockées dans un appareil en possession de la personne concernée ou bien dans une base de données centralisée et ce sous une forme cryptée.

 Avoir un DPO et faire une PIA.
Les entreprises de réalité virtuelle devront de forme obligatoire avoir un délégué à la protection des données (DPO). Le DPO devra procéder à une analyse d’impact sur la vie privée des personnes concernées (PIA).

 Privacy by design/by default.

Cette technologie se devrait d’être développée selon le principe de la privacy by design et by default, c’est-à-dire en prenant en compte la vie privée dés sa conception. En ce sens la fabrication des jeux et des outils de réalité virtuelle se doit d’être soucieuse de la vie privée, et doit par exemple prendre en compte la minimisation de la collecte des données collectées dés la conception.

 Délimiter la durée de stockage - Art 5.
Ces données ne doivent être stockés que pour la durée nécessaire à leur traitement, mais en pratique cela pose des questions : est-ce juste après la réponse virtuelle au mouvement réel ? Est-ce quand le joueur se déconnecte ?

Enfin, l’autorité de protection des données personnelles Italienne indiquait dans ses recommandations que les accès aux bases de données contenant des données biométriques se devaient d’être enregistrés et vérifiés.

III/ Le débat autour de la Réalité Virtuelle.

Des solutions ont été débattues en 2018 au niveau universitaire.

Fin 2018, des professionnels ainsi que des experts du monde universitaire et des organisations à but non lucratif, ont été invités à participer à un sommet sur la protection de la vie privée à l’université de Stanford pour examiner les risques de cette technologie et imaginer des solutions potentielles.

Certaines recommandations ont été formulées, parmi lesquelles certaines sont particulièrement intéressantes pour régler les problèmes de données personnelles mais insuffisantes au vue de leur difficile application.

Une solution s’est imposée lors du sommet : l’adoption d’un système similaire aux comités d’examen institutionnel (Institutional Review Boards, IRB) qui existent dans les universités, les centres médicaux et les entreprises du monde entier. Un IRB traditionnel examine les propositions des chercheurs afin de s’assurer que lorsque les participants à la recherche consentent à faire partie d’une étude, celle-ci est menée de manière impartiale qui préserve leur autonomie, et que les risques de leur participation sont minimisés. Contrairement aux conseils consultatifs techniques plus généraux, les IRB sont indépendants par définition, avec une composition diversifiée, et sont axés sur l’éthique, la justice et le respect de ceux qui sont la source des données de recherche [22].

De nos jours : une augmentation de l’utilisation de la RV rend nécessaire le débat.

Si des travaux de recherche juridiques ont été effectués par parcimonie, il s’agirait désormais de lancer un véritable débat.

Comme affirmait en 2018 Jeremy Bailenson, Doctorant de l’Université de Stanford en Californie :

“Virtual reality provides incredible experiences, and I remain bullish on its successful integration into the media landscape given its role in communication, education, and training. But unless we solve the privacy issue early on, violations of our nonverbal privacy might trump these benefits” [23].

Si l’attention doit être mise sur la réalité virtuelle, la réalité augmentée ne doit pas être mise de côté : quid par exemple de la captation d’images de son salon pour tester les nouvelles techniques de vente de e-commerce ? [24].

La pandémie de 2020 a accéléré notre relation avec les nouvelles technologies, il y a matière à débattre et discuter car il n’est pas possible de donner une réponse à ces problématiques de manière unilatérale. Il est désormais temps de se poser les bonnes questions en impliquant l’ensemble des parties concernées.

Laura Barrera Cano, Juriste spécialisée dans le droit du numérique/NTIC