Au cours des dernières années, plusieurs sociétés exerçant des activités dans le domaine de la technologie ont vanté tout le potentiel des nouveaux mondes interactifs et immersifs de la réalité augmentée (la « RA ») et de la réalité virtuelle (la « RV ») auxquels les particuliers peuvent se joindre pour socialiser, apprendre, travailler, jouer et, surtout, magasiner. Qu’il s’agisse de la promotion de produits, de la vente de marchandises ou de la prestation de services, les possibilités commerciales offertes par le métavers semblent nombreuses.

Le présent bulletin est le second d’une série en deux parties qui se penche sur les questions juridiques pouvant être soulevées par le métavers. Le premier document de cette série porte sur les défis que pourrait poser le métavers du côté des litiges, tout particulièrement en matière de protection de la vie privée et de responsabilité du fabricant.

Dans le présent bulletin, nous présentons, du point de vue canadien, d’importantes questions que devraient examiner les organisations qui envisagent d’établir leur présence sur une plateforme de métavers. Alors qu’un multivers de métavers en concurrence émerge, des organisations de tous types peuvent se demander comment elles pourraient participer à ce nouveau volet de l’économie numérique. Cependant, comme dans le cas de n’importe quelle nouvelle offre axée sur les données, les organisations doivent réfléchir sérieusement à la façon dont les données associées à de telles initiatives seront gérées, utilisées et partagées (notamment entre et par les différentes plateformes de métavers). Si la participation d’une organisation à un métavers fait en sorte que celle-ci recueille, utilise ou communique des renseignements personnels, cette dernière sera tenue de se conformer aux lois sur la protection de la vie privée, même s’il ne s’agit pas de l’entité qui héberge le métavers ou y donne accès.

Pourquoi rejoindre le métavers?

S’il est peu probable qu’un lieu unique et unifié appelé « le métavers » voit le jour, les métavers de la RA et de la RV se positionnent comme de nouveaux mondes permettant d’interagir avec les consommateurs dans un large éventail d’environnements. Ainsi, des services pourraient être offerts dans une version de RV d’un commerce de détail classique; des biens matériels pourraient être commandés par l’intermédiaire d’un portail de RA au point d’utilisation; et des biens numériques, comme des jetons non fongibles (non-fungible tokens ou « NFT »), pourraient être vendus ou négociés dans un univers de jeux mythiques non reconnaissable. Même si ces nouveaux développements ont un côté irréel, il n’en reste pas moins que les organisations qui songent à rejoindre un métavers doivent établir clairement leurs raisons de le faire.

Les lois canadiennes sur la protection des données sont fondées sur des principes relatifs à l’équité dans le traitement de l’information. Ces principes établissent les règles de base régissant la collecte, l’utilisation, la conservation et la communication des renseignements personnels. En outre, la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE ») prévoit que la collecte, l’utilisation et la communication de renseignements personnels doivent uniquement être faites à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Par conséquent, avant d’établir leur présence sur un métavers, les entreprises auront intérêt à s’assurer que les fins visées par le traitement des renseignements personnels qu’elles proposent sont acceptables. Les entreprises devraient aussi évaluer si leurs pratiques sont conformes au Document d’orientation sur les pratiques inacceptables du traitement des données du Commissariat à la protection de la vie privée du Canada. De plus, les entreprises devraient entreprendre un contrôle diligent rigoureux en vue de savoir si des renseignements personnels sensibles (p. ex., des données biométriques comme le monitorage des mouvements faciaux ou oculaires) seront traités ou si des technologies à haut risque (p. ex., des technologies d’analyse des comportements ou des émotions) pourraient être utilisées. Le bureau de l’Information Commissioner du Royaume-Uni a récemment noté qu’avant de déployer des technologies à haut risque axées sur l’IA, les organisations devraient se demander si leur développement est suffisant pour leur permettre d’effectuer les types d’analyse des comportements ou des émotions qu’elles envisagent et que, ce faisant, elles n’exposeraient pas des personnes vulnérables à des risques, ne connaîtraient pas des problèmes d’exactitude ou ne pourraient pas se faire accuser de discrimination.

Si votre organisation envisage d’établir une présence dans le métavers, il y aurait lieu de songer à effectuer une évaluation des facteurs relatifs à la vie privée ou un examen de votre programme de protection de la vie privée et des répertoires de flux de données afin de vous assurer que les données relatives aux activités que vous mènerez par l’intermédiaire du métavers seront prises en compte. Par exemple, si votre organisation devait offrir un outil de service à la clientèle dans un métavers, ses énoncés de confidentialité devraient comprendre de l’information sur la façon dont les données des consommateurs seront recueillies et utilisées. Le droit canadien de la protection de la vie privée et de l’intelligence artificielle étant en pleine évolution, ces organisations feraient bien d’avoir en place des processus pour l’évaluation et la surveillance proactives de l’incidence de leurs activités de traitement des renseignements personnels dans le métavers. Pour en savoir davantage, consultez notre récent Bulletin Blakes sur le projet de loi C-27.

Comment votre organisation obtiendra-t-elle un consentement dans un
métavers?

Contrairement au Règlement général sur la protection des données de l’Union européenne et aux lois internationales similaires sur la protection de la vie privée, la seule base juridique pour le traitement des renseignements personnels aux termes des lois canadiennes sur la protection des données, c’est le consentement individuel. La récente modification de la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) n’y change rien, tout comme la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») proposée par le gouvernement fédéral qui, si le projet de loi C-27 est adopté, remplacera la LPRPDE.

Les lois canadiennes sur la protection des données stipulent que le consentement n’est valable que s’il est raisonnable de s’attendre à ce que le particulier comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. Les attentes raisonnables du particulier et la nature délicate des renseignements sont pertinentes eu égard au type de consentement requis. En outre, une organisation ne peut lier la fourniture de produits ou de services à l’obligation de consentir à la collecte, à l’utilisation ou à la communication de renseignements personnels, sauf si la collecte, l’utilisation ou la communication de renseignements personnels est nécessaire à la fourniture des produits ou des services demandés. Les particuliers doivent avoir la possibilité de retirer leur consentement en tout temps, sous réserve de restrictions légales et contractuelles.

Dans un métavers, l’obtention d’un consentement valable peut être difficile. Il est vraisemblable de penser que seules quelques organisations offrant des plateformes de métavers sortiront du lot. Ces métavers pourraient représenter de nouveaux types de « jardins fermés ».

Avant de rejoindre un métavers, les organisations qui prévoient recueillir, utiliser et communiquer des renseignements personnels dans le nouveau monde virtuel devraient examiner soigneusement les outils que les exploitants de plateformes utiliseront afin de porter les avis sur le consentement requis à l’attention des particuliers avant le début des activités relatives au traitement des renseignements personnels. Dans la mesure où les organisations se fient à ce que les fournisseurs de plateformes de métavers présentent les avis et obtiennent les consentements, elles devraient s’assurer que les ententes conclues avec les plateformes énoncent les obligations relatives au consentement, y compris en ce qui concerne la partie responsable d’obtenir le consentement, et que le consentement donné corresponde aux rôles des parties (« responsable des données » ou « entreprise de traitement des données ») et aux utilisations prévues des données. Les organisations devraient également entreprendre un contrôle diligent significatif des flux de données et des processus sous-jacents, par exemple, en exigeant un organigramme permettant de vérifier la validité du consentement.

Comment votre organisation limitera-t-elle la cueillette de renseignements personnels?

Dans un monde complètement virtuel, les flux de données pouvant être traités par une organisation pourraient être sans fin. Par exemple, si une organisation présentait une conférence virtuelle, elle pourrait, en théorie, obtenir des données sur l’ensemble des mouvements, des interactions, des conversations et des commentaires des participants, soit des données beaucoup plus riches que celles qu’une conférence en présentiel pourrait générer.

En vertu des lois canadiennes sur la protection de la vie privée, les organisations ne peuvent recueillir que les renseignements personnels nécessaires à des fins légitimes déterminées et doivent procéder de façon honnête et licite. Les organisations devraient savoir que moins elles recueillent de renseignements, plus elles réduisent le risque de perte de renseignements personnels ou d’accès, d’utilisation ou de communication non autorisés à des renseignements personnels.

Afin d’assurer leur conformité aux lois canadiennes sur la protection des données applicables, les organisations qui participent à un métavers doivent s’assurer de comprendre tout ce qui entourera la collecte et le traitement des données, notamment en ce qui a trait aux droits d’utilisation des données que la plateforme pourrait elle-même détenir à l’égard des données recueillies pour le compte de l’organisation. Pour ce faire, les organisations devraient disposer de mesures de contrôles rigoureuses dans les contrats ainsi que d’un système de gestion des données flexible grâce auquel l’organisation peut identifier tous les types de renseignements personnels recueillis directement et indirectement auprès de particuliers.

En outre, les organisations devraient s’assurer que leurs systèmes de gestion des demandes des sujets de données sont bien adaptés aux offres dans le métavers.

Votre organisation peut-elle se protéger contre d’autres risques associés à la collecte de renseignements personnels?

Pour connaître tous les risques inhérents au fait de se joindre à un métavers, il faut également examiner les ententes qu’une plateforme de métavers peut demander aux entités commerciales de conclure afin de pouvoir offrir des services dans un tel monde virtuel. Les organisations devraient se demander si leurs interactions potentielles avec des consommateurs sur une plateforme de métavers valent le coup compte tenu des risques additionnels associés à la collecte de renseignements personnels.

La Loi sur la protection des renseignements personnels dans le secteur privé (Québec) récemment modifiée prévoira bientôt des amendes pouvant atteindre 25 M$ CA ou, si elle est plus élevée, une somme correspondant à 4 % du chiffre d’affaires mondial de l’organisation pour l’exercice précédent. Si elle est adoptée, la LPVPC imposera également de lourdes amendes en cas de non-conformité.

Il est à noter que, dans un métavers, il peut être difficile d’établir avec certitude qu’une interaction est en cours. Compte tenu des amendes pouvant être imposées en vertu des lois internationales sur la protection des données, les organisations devraient passer au peigne fin les différents régimes juridiques internationaux auxquels elles s’exposent en se joignant à un métavers.