Au cours des dernières années, plusieurs entreprises technologiques ont vanté le potentiel de nouveaux mondes interactifs et immersifs en réalité augmentée (AR) ou en réalité virtuelle (VR) que les individus peuvent rejoindre pour socialiser, apprendre, travailler, jouer et, surtout, faire des achats. Qu’il s’agisse de promouvoir des produits, de vendre des biens ou de fournir des services, les opportunités commerciales dans les métavers pourraient être nombreuses.
Cet article est le deuxième d’une série en deux parties qui examine les questions juridiques uniques que les métavers peuvent soulever. Dans la première partie de la série, nous nous sommes concentrés sur les défis en matière de litiges posés par le métavers, en mettant l’accent sur les litiges relatifs à la vie privée et à la responsabilité du fait des produits.
Dans le présent bulletin, nous soulignons, d’un point de vue canadien, certaines questions clés que devraient se poser les organisations qui cherchent à établir une présence dans une plateforme métavers. À mesure qu’émerge un multivers de » métavers » concurrents, tous les types d’organisations peuvent envisager de prendre part à ce type d’économie numérique. Toutefois, comme pour toute nouvelle offre axée sur les données, les organisations doivent réfléchir soigneusement et de manière critique à la façon dont les données associées à ces initiatives seront régies, utilisées et partagées (y compris entre et par les différentes plateformes métavers). Si la participation d’une organisation à un métavers entraîne la collecte, l’utilisation ou la divulgation d’informations personnelles, les lois sur la protection de la vie privée s’appliqueront à l’organisation, même si elle n’est pas l’entité qui héberge ou facilite le métavers.
Quel est l’objectif de la participation à un métavers ?
S’il est peu probable qu’un seul lieu unifié appelé « métavers » émerge, les métavers virtuels de RA et de RV se positionnent comme de nouveaux mondes permettant d’interagir avec les clients dans un large éventail de contextes. Des services pourraient être proposés dans une version VR d’un magasin de détail traditionnel, des biens physiques pourraient être commandés via un portail de RA au point d’utilisation, ou des biens numériques tels que des NFT pourraient être vendus ou échangés dans un univers de jeu mythique méconnaissable. Indépendamment de l’aspect extra-terrestre de ces développements, il est important pour les organisations d’identifier clairement les raisons pour lesquelles elles rejoignent un métavers.
Les lois canadiennes sur la protection des données reposent sur des principes d’équité en matière d’information. Ces principes établissent les » règles de base » pour la collecte, l’utilisation, la conservation et la communication des renseignements personnels. De plus, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral prévoit que toute collecte, utilisation ou divulgation de renseignements personnels doit se faire uniquement à des fins qu’une personne raisonnable estimerait appropriées dans les circonstances. Par conséquent, avant d’établir une présence dans les métavers, les entreprises devraient évaluer le caractère approprié des fins de traitement des renseignements personnels qu’elles proposent. Les entreprises devraient évaluer si leurs pratiques ne vont pas à l’encontre du Guide sur les pratiques inappropriées en matière de données du Commissariat à la protection de la vie privée du Canada. En outre, les entreprises doivent faire preuve de diligence raisonnable pour comprendre si des renseignements personnels sensibles (p. ex. des données biométriques comme les mouvements du visage ou le suivi du regard) sont traités ou si des technologies à risque élevé (p. ex. des technologies d’analyse des émotions/comportement) peuvent être utilisées. Récemment, le Bureau du Commissaire à l’information du Royaume-Uni a noté qu’avant de déployer des technologies d’IA à haut risque, les organisations devraient évaluer si elles sont suffisamment développées pour entreprendre les types d’analyse émotionnelle/comportementale qu’elles prétendent entreprendre et si elles ne présentent pas de risques pour les populations vulnérables, ne soulèvent pas de problèmes d’exactitude ou ne pourraient pas conduire à la discrimination.
Si votre organisation envisage de lancer une présence dans un métavers, envisagez de procéder à une évaluation des incidences sur la vie privée ou de revoir votre programme de protection de la vie privée et vos inventaires de flux de données pour vous assurer que les activités que vous menez par le biais d’un métavers sont prises en compte. Par exemple, si votre organisation offre un outil de service à la clientèle par le biais d’un métavers, les informations sur la manière dont les données du client sont collectées et utilisées doivent être incluses dans les déclarations de confidentialité de l’organisation. Les organisations devraient mettre en place des processus pour évaluer et surveiller de manière proactive l’impact de leurs activités de traitement des renseignements personnels dans les métavers, d’autant plus que la législation canadienne en matière de protection de la vie privée et d’intelligence artificielle est en pleine évolution. Pour en savoir plus, consultez notre récent Bulletin Blakes sur le projet de loi C-27.
Comment votre organisation obtiendra-t-elle le consentement dans un métavers ?
Contrairement au Règlement général sur la protection des données de l’UE ou à d’autres lois internationales similaires sur la protection de la vie privée, le seul fondement juridique du traitement des renseignements personnels en vertu des lois canadiennes sur la protection des données est le consentement individuel. Cela reste vrai même pour la Loi québécoise sur la protection des renseignements personnels dans le secteur privé, récemment modifiée, et pour la Loi sur la protection des renseignements personnels des consommateurs (LPRP) proposée par le gouvernement fédéral qui, si le projet de loi C-27 est adopté, remplacera la LPRPDE.
Les lois canadiennes sur la protection des données prévoient que le consentement n’est valable que s’il est raisonnable de supposer que la personne comprend la nature, le but et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquels elle consent. Les attentes raisonnables d’une personne et la sensibilité des informations sont pertinentes pour la nature du consentement requis. En outre, une organisation ne peut pas lier la fourniture de produits ou de services à l’obligation de consentir à la collecte, à l’utilisation ou à la communication de renseignements personnels, sauf dans la mesure où la collecte, l’utilisation ou la communication de renseignements personnels est nécessaire pour fournir les produits ou services demandés. En outre, les personnes doivent pouvoir retirer leur consentement à tout moment, sous réserve des restrictions contractuelles et légales.
Obtenir un consentement valable dans un métavers peut s’avérer difficile. Il est probable que seules quelques organisations émergeront avec des plateformes de métavers populaires. Ces métavers pourraient devenir de nouveaux types de « jardins clos ».
Avant de se joindre à un métavers, les organisations qui recueilleront, utiliseront et divulgueront des renseignements personnels dans le nouveau monde virtuel devraient examiner attentivement les outils que ces exploitants de plateformes fourniront pour porter les avis de consentement requis à l’attention d’une personne afin de s’assurer qu’elle les consulte avant que les activités de traitement ne se produisent. Dans la mesure où les organisations comptent sur les fournisseurs de plateformes métavers pour présenter les avis ou recueillir le consentement, elles doivent s’assurer que leurs accords avec la plateforme décrivent toutes les obligations en matière de consentement, y compris qui est responsable de l’obtention du consentement et s’assurer que le consentement s’aligne sur les rôles des parties (« contrôleur » contre « processeur ») et les utilisations des données. Les organisations doivent également faire preuve de diligence raisonnable en ce qui concerne les flux de données et les processus sous-jacents, par exemple en demandant des organigrammes de consentement.
Comment votre organisation limitera-t-elle la collecte de renseignements personnels ?
Dans un monde entièrement virtuel, une organisation pourrait disposer d’un flux infini de données à traiter. Par exemple, si une organisation organise une conférence virtuelle, elle pourrait théoriquement obtenir des données sur tous les mouvements, interactions, conversations et commentaires des participants – des données beaucoup plus riches que celles qu’une conférence physique pourrait générer.
En vertu des lois canadiennes sur la protection de la vie privée, les organisations ne peuvent recueillir que les renseignements personnels nécessaires à la réalisation d’une fin légitime identifiée et ne peuvent recueillir des renseignements personnels que par des moyens justes et légaux. Il est important que les organisations sachent que le fait de recueillir moins de renseignements réduit le risque de perte ou d’accès, d’utilisation ou de divulgation inappropriés des renseignements personnels.
En outre, les organisations doivent s’assurer que leurs systèmes de gestion des demandes des personnes concernées prennent en compte de manière adéquate les offres des métavers.
Votre organisation peut-elle se protéger contre les risques supplémentaires liés à la collecte d’informations personnelles ?
Il est difficile de déterminer tous les risques potentiels liés à la participation à un métavers sans tenir compte des accords qu’une plateforme de métavers peut exiger des entités commerciales pour offrir des services dans ces mondes virtuels. Les organisations devraient se demander si les interactions potentielles qu’elles peuvent avoir avec leurs clients sur une plateforme métavers valent les risques supplémentaires associés à la collecte de renseignements personnels.
La Loi québécoise sur la protection des renseignements personnels dans le secteur privé, récemment modifiée, prévoira bientôt des pénalités pouvant atteindre 25 millions de dollars canadiens ou, si ce montant est plus élevé, un montant correspondant à 4 % du chiffre d’affaires mondial de l’organisation pour l’exercice précédent. Le projet de CPPA, s’il est adopté, prévoit des amendes tout aussi lourdes en cas de non-conformité.
Il convient de noter que dans un métavers, il peut être difficile de déterminer où se produit une interaction. Étant donné le risque d’amendes importantes en vertu des lois internationales sur la protection des données, les organisations devraient réfléchir attentivement aux différents régimes juridiques internationaux auxquels elles s’exposent en participant à un métavers.
