Alors que le Digital Services Act (DSA) et le Digital Market Act (DMA) devraient prochainement entrer en application, le Métavers suscite de nouvelles interrogations juridiques. Au cours d'un échange informel, Fabrice Croiseaux, CEO d'InTech, et Pascal Agosti, avocat associé au sein du Cabinet Caprioli & Associés et spécialisé dans le droit du numérique, ont partagé avec nous leurs réflexions et leurs idées sur la place du droit dans le Métavers. 

TS: Quelle définition donneriez-vous du Métavers ? 

FC: "Plutôt qu'une définition, je proposerais plutôt une série de caractéristiques. Le Métavers est un monde numérique, il est immersif et propose une forme de continuité entre les objets du monde réel et leurs jumeaux numériques." 

PA: "Mais le Métavers est-il bien 'un monde' ? Je ne le crois pas. Il ne s'agit pas d'une vie virtuelle pleine et accomplie. Pour moi, il s'agit plutôt d'un nouveau produit qui offre plus d'interaction, plus d'immersion. Et à mon sens, il y a autant de métavers que d'opérateurs privés comme Méta, Amazon ou d’autres groupes qui les créent et les animent."

TS: Se pose aussi la question de la régulation?

PA: "Oui, et c’est un point fondamental. Pour l'instant, ce sont des opérateurs privés qui se sont lancés dans le Métavers, développant chacun leur ligne de produits. Et ils vont devoir imposer des règles." 

"Nous connaissons déjà le problème avec les réseaux sociaux, qui peuvent être considérés comme des proto-métavers. Ce sont des espaces où des interactions entre plusieurs personnes sont possibles. Ce qui est premier en termes de droit sur les réseaux sociaux, et qui devrait l'être également en matière de Métavers, c’est le contrat - contrat d'adhésion ou règlement de communauté. Ainsi, par exemple, en cas de message diffamant ou dénigrant publié sur un média social, c'est vers l'opérateur que l'on se tourne en premier, pas vers le juge. Ce n’est que si le média social ne s’exécute pas qu’il conviendra de le saisir. Pareillement, c'est le contrat d'adhésion – les règles imposées par l'opérateur privé - qui sera la première charte qui s'appliquera à chaque personne qui entrera dans le Métavers." 

"Il ne faut pas oublier que certains textes sont impératifs, comme le RGPD qui s'applique lorsque l'on traite avec un citoyen de l'UE. Cela signifie que la nationalité du jumeau physique aura un impact sur son avatar dans le Métavers. Le RGPD est une loi impérative qui s'impose au contrat. Il en va de même pour les délits de contrefaçon. C'est un délit pénal qui est supérieur au contrat. Une marque d'articles de luxe pourra ainsi dénoncer un "skin" – un accessoire virtuel destiné à un avatar - qui ne se serait qu'une contrefaçon de son produit. Il en est de même pour la réglementation en matière d’actifs numériques."  

"Pour résumer, en termes de droit, c'est le contrat qui va s'imposer à chaque utilisateur du Métavers sans oublier les cas où la loi viendra s’imposer dans les domaines impératifs. Bien évidemment, les conditions contractuelles ne peuvent être contraires à l’ordre public."  

FC: Avec des environnements plus immersifs, les comportements indésirables qui se produisent sur les réseaux sociaux peuvent être vécus de manière plus violente par ceux – et celles - qui en sont victimes. Des cas semblables ont déjà été signalés sur Minecraft et Roblox, certains impliquant de jeunes mineures. A ce sujet, doit-on considérer qu'un avatar a le même âge que son "jumeau" physique ? 

PA: "Nous devons partir du principe qu'un avatar, dans l'état actuel des choses, n'est rien d'autre que le prolongement de la personne physique qu'il représente. L'avatar n'a pas d'autonomie. L'avatar d'une jeune fille de 12 ans, même s'il paraît en avoir 25, n'est ni plus ni moins âgé que sa 'propriétaire'." 

FC: Et à l'inverse, la problématique de l’avatar se présentant et ayant l’apparence  d’un enfant ou d’un adolescent alors que c’est un adulte est encore plus prégnante dans le Métavers. Ne faut-il pas vérifier et renforcer les liens entre les caractéristiques d’un avatar et de son propriétaire ? D’ailleurs, «le terme jumeau numérique?» implique une ressemblance forte. 

PA: "Cette problématique peut être rapprochée des débats qui ont lieu en France autour du contrôle renforcé de l’âge des internautes accédant aux sites pornographiques. Ces solutions de contrôle ne sont pas simples à mettre en place. Le recours à FranceConnect - un dispositif tiers d’authentification – a été évoqué. D'autres pistes sont envisagées comme un contrôle via la carte bancaire ou un 'passe porno' à acheter dans le commerce, avec une vérification de l’âge au moment de passer à la caisse. L’attribut de l’âge pourrait être vérifié avant toute ouverture d’un 'compte' avatar." 

FC: Que se passerait-il pour moi si mon avatar se trouvait impliqué dans un acte à caractère illégal alors que je suis en mode 'déconnecté' ? En corollaire, une IA – en l'occurrence celle que j'utilise pour faire vivre mon avatar - a-t-elle une personnalité juridique ? 

PA: "Un avatar déconnecté qui agit par rapport à une IA qui a été programmée sur mes propres actions n'a pas, à mon sens, de responsabilité autonome par rapport à son jumeau physique." 

"Il y a des propositions de réglementation autour de l'IA au niveau européen. Il apparaît que l'IA doit être réglementée suivant différents gradients de responsabilité en fonction de l'usage qui est fait du module d'intelligence artificielle."  

"Actuellement, le principe repose sur la mise en place d'une matrice de responsabilité par rapport à un module d'intelligence artificielle. Au début du cycle, c'est-à-dire avant que le module d'IA ne soit mis en fonction, c'est sur le concepteur que porte la responsabilité. Quand le client commence à utiliser le module, la responsabilité de celui-ci va s'accroître au fur et à mesure du processus d'apprentissage et en fonction des agissements."  

"Par exemple, un cas s'est présenté en France au sujet d'un logiciel de PAO qui présentait un vice de conception. La responsabilité a été répartie par le juge entre l'architecte utilisateur du logiciel et son concepteur en fonction d'un gradient."  

TS: L'Europe a-t-elle un rôle à jouer dans le Métavers ? 

FC: "On peut envisager que l'Europe joue un rôle significatif en matière de régulation et de sécurisation du Métavers. Je pense que c'est une opportunité à explorer. Jusqu'à présent, les acteurs du Métavers sont essentiellement des opérateurs américains. L'Europe a cependant des atouts à faire valoir, notamment en matière de régulation. Nous avons déjà évoqué le RGPD. Le Digital Markets Act, qui a fait l’objet d’un accord le 24 mars 2022, s’appliquera en octobre. Et le parlement européen a décidé de réglementer les cryptomonnaies avec un nouveau texte nommé MiCA, pour Market in Crypto-Assets. Le Luxembourg a quant à lui adopté le concept d' e-ambassade, une idée novatrice dans les relations diplomatiques qui permet d'assurer l'hébergement de données sensibles dans un pays ami avec des garanties d'immunité et de privilèges similaires à celles d'une ambassade traditionnelle. Aujourd'hui, l'Estonie et Monaco disposent d'une e-ambassade au Luxembourg. Jusqu’ici la territorialité des actes exécutés sur internet était décidée implicitement en fonction du contexte. Je suis convaincu que les Métavers auront une territorialité qui leur sera propre et décidée a priori, comme c’est le cas pour une e-ambassade. Cette innovation du Luxembourg était visionnaire par rapport au Métavers." 

PA: "Dans ce domaine, tout est envisageable mais il faut parvenir à déterminer le gradient de souveraineté numérique qu'un Métavers institutionnel public pourrait apporter à l'Union européenne. Il faudrait aussi que l'opérateur chargé de mettre en œuvre ce Métavers soit soumis au droit européen, ce qui me paraît improbable dans l'état actuel du marché." 

FC: "La problématique de l'opérateur me semble primordiale parce que c'est lui qui est le garant du SLA et contre qui on peut se retourner en cas de défaut. Il est donc essentiel de pouvoir l'identifier. Or il existe un certain nombre de sujets pour lesquels il n'existe pas d'opérateur. Je pense aux cryptomonnaies et aux blockchains publiques à travers lesquelles transitent des valeurs mais qui n'ont pas d'opérateurs contre lesquels se retourner en cas de défaut ou de problème. Cela peut être vu comme un facteur de liberté mais il ne faut pas oublier que sans opérateur garant d’un SLA, c’est l’utilisateur final qui assume l’ensemble des risques."       

"Un nouveau monde à explorer, énormément de libertés, beaucoup de risques,… il ne faudrait pas que le Métavers deviennent un nouveau Far West, faute d'opérateur responsable et de cadre juridique mature."