La protection des données dans le web 3 : déjà une réalité ?

Si le web3 (version courte de web 3.0) fait couler beaucoup d’encre, c’est parce qu’il est irréductiblement lié à la notion de métavers, environnement immersif 3D où les individus peuvent interagir en ayant recours à des avatars. Et pourtant, le web3 est un concept bien distinct. En effet, considéré comme la prochaine évolution d’Internet, il s’articule autour de technologies telles que la blockchain, les NFT et le wallet qui ne sont pas des ingrédients indispensables au métavers. Bien que fondé sur l’idée de redonner du pouvoir aux internautes en créant un web « décentralisé » visant à supprimer les géants de la tech, le web3 présente un risque certain de cyberattaques pour les utilisateurs car il encapsule différents actifs numériques. Mais, si ses contours demeurent relativement flous, il existe d’ores et déjà un environnement juridique à s’approprier pour protéger les données personnelles.

 

Pas de “no man’s land” juridique mais un cadre légal qui existe bel et bien

Le web3 est composé d’une multitude de facettes – ou plus précisément de métavers (avec et sans blockchain, avec et sans casque de réalité virtuelle…) – pouvant déjà renseigner sur les enjeux de collectes de data en fonction des technologies associées pour s’appuyer sur d’autres réglementations que le RGPD. Il existe notamment le DSA (Digital Service Act), alias le règlement des services numériques, qui défend un Internet européen sûr et à vocation international en créant de la transparence via la désignation de responsables conformité en France des acteurs étrangers. Le DMA (Digital Market Act), quant à lui, est destiné à lutter contre l’abus de position dominante. Des organismes à l’instar de la CNIL (Commission Nationale de l’Informatique et des Libertés) qui cible la protection des données des personnes vulnérables vont assurer une mission de surveillance et de contrôle pour appliquer des sanctions en cas de manquement ou d’excès. On observe d’autre part que les métavers existants dépendent de lois applicables différentes mais qu’ils sont tous soumis à la réglementation européenne et se doivent donc d’appliquer le RGPD. Il faut toutefois s’en référer aux privacy policies et aux conditions générales de tous ces métavers qui sont des univers fermés afin de vérifier la présence de la mention. Enfin, pour se prémunir des éventuelles attaques associées au wallet (solution qui permet notamment de sécuriser des fonds et de tracer des transactions), il est possible de fonctionner avec des plateformes d’échanges qui ont obtenu l’agrément PSAN délivré par l’autorité de contrôle de la Banque de France (dispositif créé dans le cadre de la loi Pacte ayant pour objet la régulation du marché lié aux devises numériques).

 

Être en conformité dans le web3, c’est possible

Se lancer dans le métavers nécessite bien souvent de faire appel à la sous-traitance et de l’encadrer en réalisant d’abord un audit de sécurité. La première étape consiste à demander au DSI la transmission de la politique de sécurité du SI du prestataire afin de connaître les mesures mises en place pour protéger les données (infrastructure et architecture, localisation des données, politique d’habilitation, procédures, sécurisation des données et certifications). Cette démarche doit être suivie d’un contrat signé par les deux parties (obligation qui découle de l’article 28 du RGPD) comprenant un certain nombre d’informations dictées par le RGPD et les instructions dictées par le responsable de traitement (de la détermination des données collectées à leur durée de conservation, en passant par les catégories de personnes concernées, le principe de minimisation et l’encadrement de la sous-traitance ultérieure). Pour garder la main sur les transferts hors UE, il existe un certain nombre d’outils juridiques tels que la décision d’adéquation ou des garanties appropriées listées par le RGPD. La clause contractuelle type n’étant pas suffisante, la mise en place de mesures techniques et organisationnelles de sécurité supplémentaires peut s’avérer opportune, tout comme une anonymisation plus forte des données. Il est somme toute nécessaire d’éduquer ses utilisateurs en mettant à leur disposition une notice d’information relative à la politique de confidentialité et en diffusant un disclamer dans le métavers. Il s’agira également de les sensibiliser aux risques auxquels ils peuvent être exposés (piratage, hameçonnage…) et à la maîtrise de leurs données, en leur rappelant les bons réflexes à adopter (communiquer le moins possible des informations sensibles…). Le registre de conformité interne permettra de centraliser et de tenir à jour l’ensemble des informations, y compris les destinataires de données et tous les acteurs de l’écosystème.

 

À l’aube du big data que nous vivons, la protection des données est devenue un sujet majeur. Des lois existent déjà et se voient appliquées, même si elles ne sont pas suffisantes et qu’une adaptation est nécessaire en fonction des caractéristiques des métavers. L’important est avant tout de limiter les risques et d’être en conformité avec la réglementation si l’on ambitionne d’opérer dans le Web3.

Tribune rédigée par Julie Jacob, Fondatrice de Jacob Avocats

 

<<< A lire également : Rencontre avec Morgan Pezzo, CEO de CarFT : quand la passion automobile investit le web3 >>>