Des normes supérieures s’appliquent à tous, en ligne comme hors ligne, et fondent la base des démocraties : les droits fondamentaux. De fait, ils constituent les plus hautes normes qui s’appliquent aux métavers. Au niveau supranational, plusieurs textes consacrent des droits fondamentaux susceptibles d’être impactés par leur adoption massive, dont :

• la Déclaration universelle des droits de l’homme de 1948 ;
• la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, dont la Cour européenne des droits de l’homme, qui siège à Strasbourg, veille à l’application ;
• la Charte des droits fondamentaux de l’Union européenne, qui est contraignante pour les États membres depuis 2009 : tout citoyen peut s’en prévaloir en cas de non-respect de ses droits.

Le cadre légal applicable au Métavers, composé de textes internationaux, régionaux et nationaux, est complété par des instruments non contraignants légalement. À cet égard, nous pouvons citer, au niveau européen, le Code de bonnes pratiques sur la désinformation et le Code de conduite visant à combattre les discours de haine illégaux en ligne, auxquels les fournisseurs de services en ligne adhèrent de façon volontaire, et qui font l’objet d’un suivi et de rapports rendus publics par la Commission européenne. Certains acteurs privés développent en parallèle leurs propres codes de conduite, à l’image de Meta avec son “Code de conduite sur les expériences virtuelles”. En outre, certaines organisations non-gouvernementales (ONG), à l’instar de Respect Zone en France, ont créé leur propre charte pour un Métavers de confiance, que les opérateurs ou propriétaires de métavers peuvent s’engager à respecter.

Il existe dans nos démocraties modernes des cadres légaux permettant de protéger les individus des infractions pénales et des comportements préjudiciables, et ce dans le monde physique comme en ligne. À la question “un propriétaire de métavers peut-il décider d’autoriser dans son monde virtuel des pratiques qui sont interdites par la loi dans le monde physique ?”, qui a été posée lors de la troisième journée des Metaverse Dialogues, la réponse est donc non, en théorie. La Charte des droits fondamentaux de l’UE et le Code pénal français, par exemple, s’appliquent au Métavers (comme ils s’appliquent sur internet de façon générale). En France, le cyberharcèlement est considéré comme un délit, au même titre que le harcèlement moral ou sexuel, et est sanctionné par l’article 222-33-2-2 du Code pénal.

Malgré l'existence d’un tel cadre, il peut être difficile, à l’ère du Métavers comme à l’ère des plateformes de réseaux sociaux, de définir clairement ces infractions, et donc de lutter contre. Comment caractériser le harcèlement dans un espace virtuel immersif ? Un viol peut-il avoir lieu dans le Métavers ? Faut-il distinguer les espaces privés des espaces publics ? Comment tenir les auteurs d’infractions pénales et de comportements préjudiciables responsables ? Comment prouver ces comportements et obtenir réparation pour les victimes ? Il existe dans nos systèmes judiciaires d’importantes lacunes, à commencer par le manque de définitions. Ainsi, il reste aujourd’hui difficile de définir juridiquement ce qui est illégal en ligne. Au niveau européen, par exemple, il n’existe pas de définition harmonisée du “discours haineux”. Avant le 15 mars 2017, et l’entrée en vigueur de la directive relative à la lutte contre le terrorisme, même le terrorisme n’avait pas de définition commune au sein des États membres. Il n'existe pas non plus de Code pénal harmonisé en Europe – chaque État membre possède le sien. Ce qui constitue un contenu ou un comportement illicite varie donc d’un pays à l’autre. Au Danemark ou en Allemagne, par exemple, le négationnisme n’est pas condamné, alors qu’il l’est en France. Dès lors, comment repérer et lutter contre les comportements illicites dans le Métavers ? Illicites selon qui ? Illicites où ? Dans un autre registre, la question de la pénalisation des viols virtuels se pose depuis plus de trente ans et est largement renseignée. En France, conformément à l’article 222-23 du Code pénal, “[t]out acte de pénétration sexuelle, de quelque nature qu’il soit, commis sur la personne d’autrui ou sur la personne de l’auteur par violence, contrainte, menace ou surprise est un viol”. Pour qu’un viol soit caractérisé pénalement, il faut donc qu’il y ait eu un contact physique. En d’autres termes, en France, le viol n’est pour l’heure pas reconnu comme tel dans le cyberespace, dans la mesure où il est considéré qu’il n’y a pas physiquement de pénétration. Le développement des métavers pourrait-il alors changer la donne du fait d’une immersion renforcée au point qu’une personne ressente physiquement les effets du comportement d’autrui vis-à-vis de son avatar ou de son corps immergé ? Le DSA, entré en vigueur le 25 août 2023, qui établit des règles harmonisées applicables aux fournisseurs de services en ligne, ne règle pas le problème de l’absence de définition. Son article 3(h) définit un “contenu illicite” comme “toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit”. Le DSA renvoie donc au droit de l’Union, qui est incomplet, et au droit des États membres, qui n’est pas harmonisé (cf. “Incohérence juridique et difficulté de mise en œuvre”). Définir et lutter contre les contenus ou comportements préjudiciables s’avère tout aussi complexe, si ce n’est plus. Ce qui est préjudiciable n’est pas nécessairement illégal, ce qui peut laisser place à différentes interprétations.

Afin de garantir une immersion maximale, les dispositifs immersifs, notamment les casques de réalité virtuelle/augmentée/mixte, multiplient les capteurs et systèmes permettant d'analyser les comportements (gestes, postures, etc.), expressions (notamment du visage et liées au regard) et émotions des individus. Il devient ainsi possible de détecter le niveau de dilatation de l’iris, un objet sur lequel le regard se pose, ou encore le signe d’une hésitation dans la parole. En plus des enjeux commerciaux, cela soulève des questions en matière de traitement de données biométriques [[[Les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques (empreintes digitales).]]], de données comportementales et de données émotionnelles. Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable. Or, comme de nombreux textes actuels visant à réguler l’espace numérique, le RGPD s’applique au Métavers. Ce règlement obéissant au principe de neutralité technologique, il s’applique à toute technologie, et tout traitement de données personnelles ayant lieu via le Métavers devra se plier à ses règles. Deux autres règlements européens, le Data Governance Act et le Data Act, établissent des règles horizontales pour le partage de données, et donnent aux utilisateurs le contrôle sur les données générées par leurs terminaux connectés.

Les données mentales, qui permettent de déduire nos émotions, notre état affectif, ou encore notre état d’esprit, ne permettent pas nécessairement, prises individuellement, d’identifier un individu. Dès lors, ces données sont-elles qualifiables de données à caractère personnel, et donc couvertes par le RGPD ? L’interprétation et la déduction des données mentales se font essentiellement par la captation de données à caractère personnel. En effet, dans le monde réel, ces données mentales peuvent résulter de l'interprétation de la captation de l’image d’un individu ou de ses écrits. Dans les métavers, c’est le comportement d’un avatar et son discours qui pourraient permettre de collecter des données mentales. Par conséquent, tant que ces données peuvent être rattachées à un individu, elles sont des données personnelles. Cependant, cette qualification a ses limites. En effet, prises individuellement et totalement détachées de données à caractère personnel, les données mentales pourraient totalement échapper à cette qualification. Enfin, conformément à l’article 7 de la Charte des droits fondamentaux de l’Union européenne, “toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications”. Le droit au respect de la vie privée est un droit fondamental, qui s’applique donc en ligne comme dans le monde physique. Sur internet en particulier, il est en grande partie régi au niveau européen par la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. Afin de mettre à jour cette directive, la Commission européenne a publié, en 2017, la proposition de règlement “vie privée et communications électroniques”. Ce règlement, dit “ePrivacy” n’a toujours pas abouti. Selon un participant à la troisième journée des Metaverse Dialogues, si la révision de la directive “ePrivacy” de 2022 n’a pas encore abouti, c’est essentiellement car les États membres ne parviennent pas à s’entendre sur le niveau de protection adéquat. Conséquemment il n’existe pas, au niveau européen, de mécanisme de gouvernance en matière de protection de la vie privée en ligne (cf. “Incohérence juridique et difficulté de mise en œuvre”).

Avatars, objets virtuels, et plus généralement les productions dans le Métavers ouvrent la question de leur propriété. Est-il possible de reprendre par exemple le design d’un sac à main d’une grande marque de luxe pour en faire un objet virtuel arboré par un avatar ? Si oui, à quelles conditions ? Faut-il différencier les usages commerciaux des autres ? Au contraire, cette possibilité doit-elle être réservée aux marques elles-mêmes ? Ces questions sont susceptibles de se poser pour un ensemble d’objets du quotidien, allant des vêtements et accessoires aux moyens de locomotion, au mobilier personnel et urbain, aux œuvres d’art, etc. Ces préoccupations se sont vues décuplées depuis l’adoption massive par le grand public de solutions d’intelligence artificielle générative. Capable de reproduire la capacité cognitive humaine de manière globale et polyvalente, l’IA générative, couplée au Métavers, renforce les inquiétudes en termes de plagiat, contrefaçon et violation des droits d’auteur. Si les mondes virtuels sont envisagés comme des espaces laissant une grande place à la création (de contenus, de “mondes”, d’avatars, d’objets, etc.), la protection de la propriété intellectuelle pourrait potentiellement constituer un défi majeur. Toutefois, le cadre légal européen applicable au Métavers en matière de propriété intellectuelle et industrielle apparaît relativement complet. La directive de 2016 sur la protection des secrets d’affaires, le règlement sur la marque de l'Union européenne, entré en vigueur en 2017, et la directive sur le droit d’auteur dans le marché numérique, adoptée en 2019, s’appliquent globalement aux mondes virtuels. Selon Alain Strowel, avocat au barreau de Bruxelles et spécialiste du droit d’auteur, ce cadre légal est plutôt bien adapté au Métavers. Seulement, comme pour les données biométriques, la difficulté se situerait plutôt du côté de la mise en œuvre des règles en vigueur. Si le droit substantiel est dans l’ensemble adapté, les systèmes d’enforcement et de règlement des litiges ne le sont pas (cf. “Incohérence juridique et difficulté de mise en œuvre”).

Il rappelle également que si des autorités existent en matière de protection des données personnelles, il n’y a pas, au niveau européen ou dans les États membres, d’autorité indépendante qui soit chargée du respect des droits intellectuels et dotée de pouvoirs. Certes, les tribunaux judiciaires peuvent être saisis, mais la procédure judiciaire traditionnelle n’est pas adaptée (du fait notamment de la lenteur et du manque de spécialisation des tribunaux). Par ailleurs, les offices en propriété intellectuelle n’ont pas de compétence pour sanctionner les comportements qui violeraient les normes.