Data Transfer Initiative, cofondée par Google, Apple et Meta, accélère

Depuis que le DMA et le Data Act, sur fond de RGPD, sont entrés en vigueur dans l’Union européenne, les grandes plateformes numériques s’organisent pour mettre en pratique la portabilité des données. Google, Apple et Meta accélèrent dans ce domaine via la Data Transfer Initiative (DTI).

Permettre aux utilisateurs de réaliser des transferts de données simples, rapides et sécurisés, directement entre les services. Telle est la promesse de l’organisation Data Transfer Initiative (DTI), basée à Washington et cofondée en 2018 par trois des GAFAM : Google, Meta et Apple. Ces travaux se sont accélérés avec l’entrée en vigueur le 1er janvier 2024 du Data Act (DA), le règlement européen sur « l’équité de l’accès aux données et de l’utilisation des données » (1), et le 7 mars 2024 du Digital Markets Act (DMA), le règlement sur les marchés numériques (2).

Transférabilité des photos, vidéos et musiques
Que dit le DMA au juste ? « Le contrôleur d’accès [gatekeepers] assure aux utilisateurs finaux et aux tiers autorisés par un utilisateur final, à leur demande et gratuitement, la portabilité effective des données fournies par l’utilisateur final ou générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné, y compris en fournissant gratuitement des outils facilitant l’exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données ». Tandis que le DA, lui, consacre le « droit à la portabilité des données » vis-à-vis non seulement des GAFAM (et tout gatekeepers) mais aussi des fournisseurs de services de cloud. La portabilité des données est également prévue par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 (3).
Aussi, sous la pression de l’Union européenne, les travaux de la DTI s’intensifient, comme l’explique Chris Riley (photo), le directeur de cette organisation américaine : « Longtemps considérée comme une question de niche – qualifiée étiquetée comme “un droit obscur des personnes concernées” –, la portabilité des données a pris beaucoup plus d’importance ces dernières années, notamment dans le règlement sur les marchés numériques et celui sur les données. Son impact va au-delà même des contextes de la protection des données et de la concurrence, allant jusqu’à la sécurité en ligne et la gouvernance de l’IA ». Car, toujours dans les Vingt-sept, le règlement sur l’intelligence artificielle (AI Act) est à son tour entré en vigueur, depuis le 1er août 2024 (4). La DTI a donc engagé des travaux sur la portabilité de l’IA personnelle, avec la collaboration de la start-up californienne Inflection (5) qui crée une IA personnelle pour tout le monde, baptisée Pi. Le 18 juin dernier, la DTI a partagé – à l’attention du nouveau Parlement européen – sa vison sur la politique de l’UE pour « responsabiliser les gens par la portabilité des données » et à travers cinq priorités : « Mettre en œuvre les lois existantes de manière efficace ; établir la confiance entre les fournisseurs ; promouvoir la neutralité technologique ; investir dans la sensibilisation et l’engagement ; évaluer la transférabilité dans la pratique, et non sur le papier » (6). Concrètement, la DTI a annoncé le 27 août dernier un outil de transfert des playlists de musique en streaming, adopté par Google et Apple pour assurer le passage d’Apple Music à YouTube Music et vice-versa. Grâce au Data Transfer Project (DTP) développé en open source, cette portabilité musicale est opérationnelle depuis début septembre.
L’utilisateur, lui, n’a pas à télécharger ses contenus. « Ce qui est transféré n’est pas la bibliothèque musicale, mais les playlists d’un utilisateur. La sélection et l’ordre des chansons dans cette liste reflètent la créativité humaine et l’investissement de l’émotion et du temps. Comme le transfert de playlists ne comprend pas les copies des fichiers des chansons elles-mêmes, faire correspondre les chansons sur la destination finales devient un défi potentiel », indique Chris Riley (7), qui fut directeur des affaires publiques de Mozilla (Firefox). L’une des difficultés est de respecter le choix musical de l’utilisateur – comme ne pas confondre un enregistrement en studio et une captation en concert. Une autre passerelle entre Apple et Google dans la portabilité des données avait été présentée le 10 juillet dernier par la DTI : le transfert direct entre cette fois Google Photos et l’iCloud Photo d’Apple. Ce principe de réciprocité est désormais opérationnel, toujours grâce au DTP open source.

Meta met ses outils de transfert dans DTP
De son côté, Meta a lancé fin 2019 un outil sur Facebook qui permet de transférer des messages (posts), des photos et des vidéos directement de Facebook vers des services tiers comme Google Photos (8). « La nouveauté pour Meta est que ses outils entrent désormais dans le cadre du DTP de DTI », précise Chris Riley à Edition Multimédi@. Mais de prévenir : « Une portabilité efficace ne se limite pas à offrir des outils de transfert de données. Il faut réfléchir soigneusement à l’ingénierie et à la conception pour s’assurer que les données d’une personne sont intactes lorsqu’elles passent d’un service à un autre » (9). @

Charles de Laubier

S’il y a un marché qui est en plein boom, c’est bien celui des VPN — grand public et entreprises

Le marché mondial des VPN, pour masquer son adresse IP afin de contourner anonymement les interdictions d’accès sur le Web, va presque tripler d’ici la fin de la décennie. Les offres prolifèrent dans un contexte de censures (notamment étatiques) et de géo-restriction (comme pour le droit d’auteur).

« La demande de VPN augmente dans le monde entier, constate encore aujourd’hui le site Top10VPN fondé par Antonio Argiolas (photo) pour tracker en direct les pics de demande de VPN dans tous les pays (1). Chaque fois que les gouvernements du monde entier tentent de contrôler la population en perturbant l’accès à Internet, les gens se tournent vers les VPN afin de contourner les restrictions ». Bien que les applications VPN gratuites soient attractives, il conseille de faire preuve de prudence et d’utiliser un VPN gratuit digne de confiance ou, dans la mesure du possible, un VPN premium payant.

La hausse de la censure profite aux VPN
Les VPN grand public, gratuits ou payants, tirent parti de cet engouement. NordVPN, ExpressVPN, Surfshark, CyberGhost, Proton VPN ou encore Private Internet Access (PIA) rivalisent avec les VPN des navigateurs web Firefox (Mozilla), Edge (Microsoft) ou Pixel VPN (ex-Google One VPN). Rien qu’en 2024, la demande en VPN a bondi au Brésil à la suite de la censure de X (ex-Twitter), qui a d’abord fermé ses bureaux dans le pays avant que la Cour suprême brésilienne ne confirme le 2septembre (2) l’interdiction d’accès au réseau social appartenant à Elon Musk (3). Même poussée de VPN au Venezuela, en Turquie, au Bangladesh, au Kenya ou encore en Birmanie. Les réseaux privés virtuels – ou Virtual Private Networks (VPN) – ont plus que jamais le vent en poupe.
Selon une étude réalisée en août par la société américaine Global Industry Analysts, le marché mondial des VPN devait bondir à 137,7 milliards de dollars de chiffre d’affaires d’ici 2030, contre 50,9 milliards en 2023. Cela représente une hausse annuelle moyenne de + 15,3 %. « La croissance du marché des VPN est attribuable à plusieurs facteurs, dont une sensibilisation accrue du public aux menaces de cybersécurité, des règlements stricts en matière de protection des données, et l’augmentation généralisée des accords de travail à distance depuis la pandémie de covid-19 », expliquent les analystes. Entre télétravail et cybermenaces, les entreprises s’équipent de plus en plus de VPN pour se protéger contre les intrusions en tout genre, notamment lorsqu’elles ont plusieurs sites distants auxquels leurs employés se connectent (de leur domicile par exemple). Ainsi, les VPN dits managés (Managed VPN ou Cloud VPN) constituent un segment dynamique. C’est le cas des VPN dits MPLS (pour Multiprotocol Label Switching), pour plus de sécurité et de cryptage de bout en bout, qui devraient générer à eux seuls 67,4 milliards de dollars de chiffre d’affaires mondial d’ici la fin de la décennie. Cependant, Talos, centre de recherche sur la cybersécurité appartement à l’équipementier télécom américain Cisco, a signalé au printemps dernier des cyberattaques dites « par force brute » qui visent pour la plupart des services de réseau privé virtuel tels que Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek ou encore Ubiquiti (4). Les cyberhackers ou cybercriminels, eux, se camouflent derrière des proxys (logiciels intermédiaires) ou des VPN pour lancer leurs cyberattaques de façon anonyme en utilisant des milliers d’adresse IP à partir de services comme Tor ou VPN Gate. Les entreprises « VPNisées » sont donc appelées à plus de vigilance.
D’autres raisons expliquent l’engouement pour les VPN comme outils de protection et d’anonymisation en ligne. « La pénétration croissante de l’utilisation d’Internet et des appareils mobiles dans les marchés émergents contribue également à la croissance, car les nouveaux utilisateurs cherchent des moyens de sécuriser leurs activités en ligne », souligne l’étude. Autre motivation pour s’équiper d’un VPN : les changements législatifs et réglementaires – tels que le RGPD en Europe et des règlementations similaires ailleurs dans le monde – ont incité des utilisateurs, tant professionnels que particuliers, à adopter des services de VPN pour assurer d’être en conformité et de protéger la confidentialité des données.
La guerre en Ukraine depuis février 2022 contribue elle aussi à une utilisation accrue de VPN, notamment pour des Russes soucieux d’échapper à la censure de plateformes Internet d’origine occidentale (Facebook, Twitter, la BBC News, …).

Copyright : VPN contre le géo-blocage
Le « territorialité des droits » de diffusion des œuvres culturelles (films, séries, jeux vidéo, musiques, livres, …) est aussi dans le viseur des VPN (proxys ou unblockers), qui permettent à leurs utilisateurs de contourner le géo-blocage. Par exemple, les sites de streaming vidéo tels que Netflix, Hulu, HBO ne sont pas accessibles de n’importe quel endroit du globe. En France, des VPN peuvent-être utilisés pour accéder à des sites pirates en évitant la « réponse graduée » de l’Arcom (ex-Hadopi). Dans le e-commerce, le géo-blocage est considéré par la Commission européenne comme une entrave au marché unique européen (5). @

Charles de Laubier

En prenant X en grippe, Thierry Breton crée un malaise au sein de la Commission européenne

Dix mois après sa première lettre du 10 octobre 2023 à Elon Musk pour lui rappeler les obligations de X (ex-Twitter) au regard du Digital Services Act (DSA), Thierry Breton lui a envoyé une seconde lettre le 12 août 2024. A force d’insister, le commissaire européen créé un malaise à Bruxelles.

Thierry Breton (photo) outrepasse-t-il ses fonctions de commissaire européen en charge du Marché intérieur ? C’est à se demander, tant le Français – que le président de la République française Emmanuel Macron souhaite voir reconduit dans ses fonctions pour le prochain mandat de la Commission européenne – se distingue en prenant parfois des initiatives sans se concerter avec ses collègues à Bruxelles. Il en va ainsi avec le second courrier en dix mois adressé le 12 août 2024 à Elon Musk pour rappeler à ce dernier les obligations du réseau social X (ex- Twitter) en Europe.

Thierry Breton désavoué face à Elon Musk
« Le timing et la formulation de la lettre n’ont été ni coordonnés ni convenus avec la présidente [Ursula von der Leyen] ou le collège [des commissaires européens] », a déclaré Arianna Podestà, porte-parole en cheffe-adjointe de la Commission européenne, selon sa déclaration faite au journal Le Monde. Et d’assurer : « La lettre [de Thierry Breton] ne voulait en aucun cas interférer avec les élections américaines. L’UE n’interfère pas dans des élections » (1). Pourtant, le courrier à Elon Musk daté du 12 août et signé par le commissaire européen au Marché intérieur fait explicitement référence à « la diffusion prévue sur votre plateforme X [en s’adressant à Elon Musk, ndlr] d’une conversation en direct entre un candidat à la présidence américaine et vous-même, qui sera également accessible aux utilisateurs de l’UE ».
Et Thierry Breton d’enfoncer le clou en mettant en garde le propriétaire de la plateforme X : « Nous surveillons les risques potentiels dans l’UE associés à la diffusion de contenu pouvant inciter à la violence, à la haine et au racisme en lien avec un événement politique – ou sociétal – majeur à travers le monde, y compris des débats et des interviews dans le contexte d’élections [en l’occurrence ici des élections américaines, ndlr] ». Dans cette lettre que la présidente de la Commission européenne ne cautionne pas, il est fait ainsi clairement référence à l’interview, prévu le lendemain, que Elon Musk fera lui-même de Donald Trump, candidat Républicain à l’élection présidentielle. L’« interférence » du commissaire européen Thierry Breton aurait pu être considérée comme de l’ingérence de la Commission européenne dans les affaires intérieures des Etats-Unis s’il n’y avait pas eu la mise au point de la porte-parole en cheffe-adjointe de l’exécutif européen. Désavoué par les services de la présidente Ursula von der Leyen, laquelle a été réélue le 18 juillet dernier par les eurodéputés pour un nouveau mandat, Thierry Breton a aussi reçu une réplique cinglante de la part du propriétaire de X.

Entraînement de modèles d’IA grâce aux données collectées par web scraping : les règles à suivre

Les plaintes à l’encontre de fournisseurs de systèmes d’IA se multiplient, que ce soit pour violation des droits de propriété intellectuelle ou pour manquements en matière de données à caractère personnel, notamment en lien avec leurs pratiques de collecte de données en ligne (web scraping).

Par Sandra Tubert et Laura Ziegler avocates associées, Algo Avocats

Afin de développer un système d’intelligence artificielle (IA) performant, il est nécessaire d’entraîner en amont les modèles qui le composent au moyen de vastes ensemble de données. Constituer ces ensembles de données d’entraînement représente donc un enjeu majeur pour les fournisseurs de systèmes d’IA. Plusieurs alternatives s’offrent à eux : utiliser les bases de données dont ils disposent en interne ; obtenir des licences auprès de titulaires de droits de propriété intellectuelle sur des contenus pertinents ; ou recourir au web scraping pour récupérer des données accessibles en ligne sur différents sites Internet. Exception de Text and Data Mining Cette troisième option, le web scraping (« moissonnage des données »), a connu un essor important ces dernières années. Pour autant, bon nombre d’acteurs récupèrent des données en ligne pour entraîner leurs modèles sans appréhender tous les enjeux et problématiques qui y sont attachés. Alors que plusieurs plaintes ou enquêtes d’autorités visent des fournisseurs de modèles d’IA à usage général pour des allégations de violation des droits de propriété intellectuelle ou de manquements au règlement général sur la protection des données (RGPD), l’entrée en vigueur prochaine du règlement européen sur l’intelligence artificielle – l’AI Act dont le texte final (1) a été signé le 13 juin 2024 – pourrait mettre en évidence les problématiques entourant les sources de données utilisées pour entraîner les modèles. En effet, l’article 53 et l’annexe XI de l’AI Act imposent, entre autres, aux fournisseurs de modèles d’IA à usage général (2) de mettre à disposition des informations sur les données utilisées pour l’entraînement de ces modèles, au moyen d’un document-type qui sera mis à disposition par le bureau de l’IA (AI Office). Ils doivent notamment indiquer comment ces données ont été obtenues et sélectionnées, ainsi que toutes les mesures prises pour détecter les sources de données inadéquates. Pour pouvoir se conformer de manière sereine à ces nouvelles exigences (3), il est indispensable de s’assurer que les données d’entraînement ont été récupérées et collectées dans le respect des droits de propriété intellectuelle et du RGPD, sous peine de risquer des actions en contrefaçon ou des procédures de sanction devant les autorités de contrôle (4). En effet, le contenu d’un site Internet qu’un acteur entend scrapper (« moissonner ») pour constituer une base de données d’entraînement peut à la fois contenir des données à caractère personnel, mais également être protégé au titre du droit d’auteur (5) ou du droit des bases de données (6). Or, par principe, toute reproduction et utilisation d’un contenu protégé par un droit de propriété intellectuelle nécessite d’obtenir l’autorisation du titulaire des droits concernés. Néanmoins, afin de favoriser le développement de l’IA, le code de la propriété intellectuelle (CPI) a introduit, pour le droit d’auteur et le droit des producteurs de bases de données, les exceptions de fouilles de textes et de données (dites de Text and Data Mining) qui permettent de scrapper des données à des fins d’entraînement des modèles, sous réserve de respecter un certain nombre de conditions. Il y a en réalité deux régimes : la fouille de textes et de données à des fins de recherche scientifique (7) et celle à des fins diverses (8). L’exception de fouille à des fins de recherches scientifique présente l’avantage d’être un droit absolu (le titulaire des droits ne peut pas s’y opposer), sous réserve que l’accès aux données soit réalisé de manière licite (9). Néanmoins, son périmètre est relativement restreint puisque seuls peuvent s’en prévaloir certains acteurs limitativement énumérés (10). La plupart des fournisseurs de systèmes d’IA ne peut donc pas mobiliser cette exception et doit se rabattre sur l’exception générale dite à des fins diverses. Pour pouvoir invoquer le bénéfice de cette exception générale, le fournisseur de système d’IA doit accéder aux données de manière licite et s’assurer que le titulaire des droits de propriété intellectuelle ne s’y est pas opposé. « Moissonnage » et données personnelles Les textes précisent que l’opposition du titulaire des droits « n’a pas à être motivée et peut être exprimée par tout moyen », notamment « au moyen de procédés lisibles par machine, y compris des métadonnées, et par le recours à des conditions générales d’utilisation » (11). Pour l’opposition via des procédés techniques, plusieurs outils existent (Robot.txt, AI.txt, TDMRep, …). En pratique, cela signifie que pour pouvoir scrapper les données des sites Internet à des fins d’entraînement des modèles, les fournisseurs de systèmes d’IA ne doivent pas contourner les éventuels dispositifs de protection existants (par exemple un accès restreint par un compte utilisateur) et doivent s’assurer, au moment de l’extraction des données, que les conditions générales d’utilisation (CGU) et/ou mentions légales du site Internet ne contiennent pas de clause interdisant l’extraction des données et que les métadonnées du site Internet n’expriment pas non plus une telle interdiction. L’AI Act confirme ce dernier point (12). Lorsqu’un titulaire de droits s’est opposé à l’extraction de ses données, le fournisseur de système d’IA n’a d’autre choix que d’obtenir une autorisation expresse (13) au moyen d’un accord de licence ou de partenariat, comme ont récemment pu le faire OpenAI avec Le Monde, Die Welt et El País (14). Une fois ces vérifications opérées, le fournisseur de système d’IA devra suivre des étapes supplémentaires si le contenu qu’il souhaite « moissonner » contient des données à caractère personnel, afin de respecter le RGPD. Base légale de l’intérêt légitime Ces derniers mois, la Cnil a publié plusieurs fiches pour guider les fournisseurs de systèmes d’IA (15) au sein desquelles elle clarifie comment appliquer les principes clefs aux spécificités de l’IA. Elle y admet qu’il est possible de fonder les traitements d’entraînement des modèles d’IA sur la base légale de l’intérêt légitime, notamment lorsque les données sont collectées à partir de sources publiques (16), sous réserve de mener une analyse au cas par cas permettant de documenter la légitimité de l’intérêt poursuivi, sa nécessité et le fait qu’il n’y a pas d’atteinte disproportionnée aux intérêts, droits et libertés des personnes. Pour autant, en juin 2024, Noyb a porté plainte – auprès de onze « Cnil » en Europe – contre Meta dont il conteste la faculté de se fonder sur l’intérêt légitime pour récupérer les données de Facebook et Instagram afin d’entraîner ses modèles d’IA. Dans l’attente, Meta a stoppé son projet (17). La première étape avant de scrapper des données à caractère personnel est de définir la finalité du traitement, à partir de laquelle l’analyse de conformité aux principes de protection des données personnelles pourra être réalisée. A partir de cette finalité (créer une base de données afin d’entraîner des modèles d’IA permettant d’évaluer l’appréciation d’œuvres par le public, développer un LLM capable de répondre à des questions, générer du texte, effectuer des résumés, etc,…), le fournisseur de modèles d’IA devra s’assurer du respect du principe de minimisation, en ne collectant que les données pertinentes et nécessaires pour atteindre son objectif. Concrètement, cela signifie qu’il doit s’interroger en amont sur les catégories de données nécessaires pour l’entraînement du modèle d’IA. En pratique, il devra définir les catégories de données à collecter et mettre en place des filtres permettant d’exclure la collecte de certaines données. Dans sa fiche dédiée au web scraping (18), la Cnil précise que dans l’hypothèse où des données non pertinentes seraient collectées malgré les filtres mis en place, il convient de supprimer ces données, immédiatement après leur collecte ou dès elles ont été identifiées. Elle appelle également à la prudence sur la collecte automatique de données sensibles en invitant les fournisseurs à appliquer des filtres permettant d’écarter la collecte de données sensibles (19) non pertinentes ou à exclure de leurs activités de scraping certains sites comportant par nature ce type de données. Respecter le RGPD suppose, par ailleurs, d’informer les personnes concernées et de faciliter l’exercice de leurs droits. La Cnil reconnaît (20) qu’en cas de collecte parweb scraping, une information individuelle des personnes pourrait, dans certains cas, être disproportionnée et donc non obligatoire. Elle recommande alors au fournisseur du système d’IA de fournir une information générale (par exemple au sein de sa politique de confidentialité) contenant notamment les catégories de sites sources utilisés avec des liens hypertextes vers ceux-ci, en proposant un modèle dédié. Pour les droits des personnes, elle rappelle qu’un responsable du traitement n’a pas à conserver ou collecter des informations supplémentaires qui ne lui sont pas nécessaires dans le seul but de permettre l’exercice des droits. La Cnil propose néanmoins des exemples de mesures que les fournisseurs de modèles d’IA pourraient mettre en place pour faciliter l’exercice des droits (comme la conservation de métadonnées ou d’informations sur la source des données pour faciliter la recherche d’une personne au sein de la base ou l’indication aux personnes des données à fournir pour les identifier). La Cnil propose enfin de mettre en place des mesures supplémentaires pour garantir l’équilibre attendu de ces traitements basés sur l’intérêt légitime. Certaines mesures découlant des règles précédemment citées semblent réalisables : exclure par défaut la collecte à partir de certains sites contenant des données intrusives ; prévoir la possibilité de s’opposer au traitement de manière discrétionnaire ; appliquer des procédés d’anonymisation ou de pseudonymisation après la collecte des données. D’autres semblent moins pragmatiques. AI Office : recommandations très attendues Certains acteurs pourraient ainsi saisir l’opportunité de remonter leurs questionnements, difficultés pratiques, appréciation des règles dans le cadre de la consultation publique à laquelle sont soumises certaines fiches jusqu’au 15 septembre 2024 (21) ou répondre au questionnaire (22). A l’aune de l’entrée en vigueur de l’AI Act, les fournisseurs de modèles d’IA à usage général attendront donc les précieuses recommandations et modèles du bureau de l’IA, tout récemment créé (23), sur les documents à produire pour les sources de données d’entraînement, afin de leur permettre d’engager les travaux nécessaires à la compilation de ces informations. @

Droit de la consommation, propriété intellectuelle et droit pénal : les enjeux juridiques du métavers

Les défis juridiques posés par les métavers ne sont pas inédits. Mais la clé pour instaurer un climat de confiance dans le monde virtuel réside dans une adaptation proactive du cadre réglementaire actuel pour faciliter l’intégration harmonieuse et sécurisée du métavers dans notre société.

Par Arnaud Touati, avocat associé, et Dany Sawaya, juriste, Hashtag Avocats.

Le métavers est un environnement fictif en 3D, interactif et immersif, qui combine le monde réel avec des mondes virtuels. A l’intérieur, les individus peuvent incarner des avatars et interagir avec d’autres personnes ou avec des objets numériques. Imaginons un immense jeu vidéo multijoueur en ligne, regroupant divers univers de jeu où il est possible de naviguer librement. Une illustration saisissante de cette vision a été présentée dans le film « Ready Player One » de Steven Spielberg, sorti en 2018.

L’avatar, sujet de droit indépendant ?
Le métavers suit une trajectoire similaire aux enjeux soulevés par le Web, et plus récemment par la blockchain (chaîne de blocs, en français). Il est indéniable que, même dans un monde virtuel, la règle de droit continue à s’appliquer. Le métavers, tout comme la blockchain et Internet de manière générale, revêt une dimension intrinsèquement internationale. Le métavers est également un terrain de jeu fertile pour l’innovation et le développement. La France, consciente de cette opportunité, cherche à faire du métavers une priorité et envisage d’utiliser les Jeux Olympiques de 2024 à Paris (du 26 juillet au 11 août 2024) comme catalyseur pour rassembler les acteurs français des métavers. Toutefois, le développement du métavers soulève des questions juridiques complexes dans divers domaines tels que le droit de la consommation, la propriété intellectuelle, et le droit pénal. L’anticipation et l’encadrement juridique du métavers sont indispensables pour instaurer un climat de confiance et garantir une utilisation responsable et sécurisée de cette nouvelle frontière numérique. Défis et considérations juridiques du métavers en matière de consommation. Le métavers pose des défis inédits en matière de droit de la consommation. Par exemple, comment qualifier les contrats conclus entre avatars ? La capacité juridique de l’avatar repose-t-elle dans celle de l’utilisateur qui se trouve « derrière » ou l’avatar peut-il être reconnu comme un sujet de droit indépendant ? Dans ce monde virtuel, les règles de vente et de prestation de services ne sont pas encore clairement définies. Bien que le code de la consommation reconnaisse l’absence de présence physique simultanée des parties contractantes et l’utilisation de « techniques de communication à distance » pour qualifier un contrat à distance (1), la question se pose de savoir si cela est suffisant pour appréhender une transaction dans le métavers. On peut envisager que la capacité juridique de l’avatar repose dans celle de l’utilisateur qui le contrôle, faisant de l’avatar une extension légale de l’utilisateur, ou que l’avatar soit reconnu en tant que sujet de droit indépendant. La validité des contrats conclus entre avatars soulève également des interrogations quant à leur qualification juridique. Concernant la qualification du contrat comme « à distance », cela implique l’absence de présence physique simultanée des parties et « le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat », cette qualification peut être appliquée dans le contexte du métavers. Ainsi, on peut envisager que les avatars qui recourent à un mode virtuel de communication au sein du métavers représentent une autre forme de « technique de communication à distance ». Quant à la qualification du contrat comme « hors établissement », qui repose sur l’exigence de « la présence physique simultanée des parties »soit au lieu de la conclusion soit au lieu de la sollicitation, elle n’est évidemment pas transposable dans le métavers.