Alors que la réalité virtuelle trouve de plus en plus d’applications dans la vie quotidienne, les données collectées par ces systèmes pourraient en dire beaucoup trop sur nous… jusqu’à permettre de nous identifier même lorsque l’on pense jouer de manière anonyme.
C’est la conclusion d’une étude publiée chez Nature en octobre dans laquelle des chercheurs veulent alerter l’opinion publique sur les risques associés à la collecte des données de gestes et mouvements par les systèmes de réalité virtuelle.
Nos mouvements signature constituent notre identité
La réalité virtuelle permet de s’immerger dans une simulation 3D grâce à un casque. Pour reproduire fidèlement nos mouvements dans le virtuel, ces systèmes utilisent des capteurs mesurant l’orientation de la tête, la position du corps dans l’espace et les gestes des mains. Certains (plus rares) vont jusqu’à récupérer des données sur la position des pieds, la posture du dos et de la poitrine, même des coudes et des genoux.
C’est la collecte et l’exploitation de ces données qui font peser une grande menace sur la vie privée des utilisateurs. A partir de ces informations, les systèmes de réalité virtuelle peuvent deviner l’identité des joueurs, leurs conditions médicales et même leurs humeurs.
Lors de l’expérience menée par un groupe de scientifiques de l’Université de Stanford auprès de 511 participants, un modèle de machine learning simple a été capable d’identifier 95 % des participants en 5 minutes seulement en analysant leurs manières de se positionner dans l’espace. Le système n’est pas capable de trouver l’identité du joueur à proprement parler (à savoir le nom de la personne) mais il peut reconnaître et distinguer les joueurs sur plusieurs sessions grâce à la manière unique qu’ils ont de bouger, chacun ayant un mouvement signature qui les distingue des autres participants.
Et plus les joueurs jouent, plus le système est capable de les identifier avec précision. Au delà de 8 sessions, l’algorithme approche des 100 % de succès de reconnaissance.
Si ces données peuvent être utilisées pour améliorer l’expérience de jeu, elles pourraient aussi servir à dresser un profil marketing complet pour proposer des publicités ciblées en fonction de notre morphologie (corpulence, taille…) et de nos problèmes de santé éventuels (surpoids, hyperactivité, dépression…).
Trois grandes menaces liées à cette identification
Les auteurs de l’étude pointent trois grands risques :
1/ Il est impossible d’anonymiser les données des joueurs de réalité virtuelle : les deux plus grands fabricants de casque (HTC et Oculus) font savoir dans leur conditions générales d’utilisation qu’ils se réservent le droit de partager des données anonymisées (sans le nom) des utilisateurs de leurs services, une procédure assez courante chez les géants du numérique, Facebook et Google en tête. Sauf que… enlever le nom ne suffirait plus à protéger les données puisque la manière de bouger permet d’identifier une personne, en tout cas de la reconnaître de manière distinctive.
2/ On peut facilement identifier les joueurs sur plusieurs sessions : il est possible d’unifier les différentes sessions d’un joueur, même lorsqu’il ne s’identifie pas, grâce à son “mouvement signature”, la manière unique dont il bouge. A terme, il y a donc un risque de pouvoir générer un gigantesque fichier individuel de toutes nos expériences en réalité virtuelle y compris celles considérées comme “sensibles” (dont on parlera un peu plus bas).
3/ En réalité virtuelle, oubliez le mode incognito : même si elle demande de nombreuses couches de protections, la navigation privée sur Internet est possible quand on est sur un ordinateur ou sur mobile. Mais il paraît impossible de délier de l’identité d’un joueur les données récoltées en réalité virtuelle puisqu’elles sont rattachées à l’essence même de son corps, à la manière dont il bouge.
Ce n’est pas la première étude à pointer du doigt de tels dangers.
Même sans fournir des données liées à nos mouvements, les choix que l’on prend dans les jeux vidéo peuvent déjà en dire beaucoup sur notre personnalité. Dès 2011, des chercheurs avaient montré qu’il était possible de mieux connaître la personnalité réelle des joueurs en fonction de la manière dont ils jouaient à Second Life, un monde virtuel très populaire dans les années 2010. Selon les conclusions de l’étude, un degré élevé d’exploration de la carte renvoie plutôt à des personnalités avec un haut degré de conscience individuelle par exemple. Ajoutez à ces informations des données physiologiques collectées par les casques de réalité virtuelle et le profiling devient extrêmement précis.
En 2018, Jeremy Bailenson, professeur de communication à Stanford, alertait déjà l’opinion publique sur le danger d’une récolte de données à grande échelle par les systèmes de réalité virtuelle. Dans un article pour le Virtual Interaction Lab dont il est un des fondateurs :
“ces systèmes [de réalité virtuelle] scannent généralement les mouvements du corps 90 fois par seconde pour afficher la scène de manière appropriée, et les systèmes haut de gamme enregistrent 18 types de mouvements de la tête et des mains. Par conséquent, passer 20 minutes dans une simulation de réalité virtuelle donne un peu moins de 2 millions d’enregistrements uniques du langage corporel.”
La réalité virtuelle va progressivement envahir nos vies
Autrefois réservés au divertissement, les casques de réalité virtuelle trouvent de plus en plus d’applications concrètes dans le quotidien.
ll faut dire que les technologies progressent très vite. A titre d’exemple, le casque de réalité mixte de Microsoft, l’Hololens 2 (sorti fin 2019), a un champ de vision deux fois plus grand et est beaucoup plus confortable que le premier modèle. Il n’est pas aussi immersif que l’Hoculus ou le casque de HTC mais permet de créer des applications en réalité mixte (inclure des éléments virtuels dans le réel).
Ces progrès dans le confort et la qualité des casques ont permis de développer tout un tas de nouveaux services. On retrouve la réalité virtuelle dans les environnements professionnels, comme avec la solution de la start-up américaine Spatial qui permet de créer un espace de travail collaboratif en réalité mixte pour avoir des meetings plus “immersifs” pour les employés.
Spatial, qui se présente comme le Zoom ou le Google Hangout de la réalité virtuelle, a réalisé une levée de fonds de 14 millions de dollars début janvier 2020. La start-up se vante de compter parmi ses clients de grosses entreprises au profil pas vraiment “tech” comme Mattel, Nestlé ou BNP Paribas qui l’utilisent comme un outil pour stimuler la créativité et le partage des idées.
Il existe aussi de plus en plus d’applications en lien avec le bien être ou même le soin. La startup espagnole Psious développe des traitements thérapeutiques immersifs grâce à la réalité virtuelle qui permettent de simuler des situations de stress pour apprendre à surmonter ses phobies (une démo ici).
Et bien sûr… la pornographie. Aujourd’hui, les plus gros sites porno proposent des vidéos à visionner en réalité virtuelle (on vous laisse faire vos recherches 😇). Un an seulement après le lancement de sa section spéciale “réalité virtuelle” en 2016, Pornhub annonçait déjà plus de 500 000 vues par jour pour un catalogue total de 2600 vidéos disponibles. Ce type de vidéos plairait d’ailleurs particulièrement aux femmes puisqu’elle constituent 22 % de l’audience selon les chiffres du site Womansera.
Maintenant, imaginez qu’on puisse lier toutes ces sessions entre elles grâce à un mouvement signature, à une manière unique de bouger ses bras et sa tête. Cela donnerait un profil très précis de l’identité de l’utilisateur : sa profession, ses peurs et ses désirs…
Les risques pour notre vie privée
Donner des informations sur la manière dont on bouge la tête ou la main ne paraît pas constituer une menace de premier ordre.
Mais ces données constituent notre signature cognitive individuelle (qu’on appelle aussi empreinte cinématique), des informations qui permettent aux systèmes de nous identifier de manière unique. L’armée américaine s’appuie déjà sur ce concept pour sécuriser ses réseaux internes en analysant la manière dont chaque individu tape au clavier ou bouge la souris pour reconnaître son identité.
Notre signature cognitive individuelle est donc un élément aussi important à protéger qu’une photo ou qu’un état civil puisqu’elle est rattachée à notre identité propre. Le caractère sensible de ces données tient aussi au fait qu’elles soient intimement liées à notre état de santé.
C’est ce que soutient la juriste en droit du numérique Laura Barrera Cano qui en fait la démonstration dans son analyse sur la Réalité virtuelle, données biométriques et RGPD :
“Une étude réalisée en 2004 sur des élèves dans une classe virtuelle a permis de diagnostiquer l’attention de chacun. La quantité de mouvements de la tête, des bras et des jambes était plus élevée chez les enfants qui avaient reçu un diagnostic de trouble de déficit de l’attention ou bien d’hyperactivité que chez ceux qui n’en avaient pas reçu un tel diagnostic. Ils ont également mesuré les mouvements de la tête et ont démontré que les élèves ayant reçu un diagnostic de trouble du spectre autistique de haut niveau regardaient moins fréquemment leurs camarades dans la classe virtuelle lors d’une conversation, par rapport aux autres non diagnostiqués.”
Pour l’instant, l’utilisation de la réalité virtuelle dans le cadre de la santé semble plutôt thérapeutique (comme le cas de Psious nous le montre) mais on ne peut pas exclure, qu’à terme, ces éléments d’identification soient utilisés à des fins d’exclusion ou de stigmatisation “quid d’une assurance qui refuse un client car les données biométriques collectées lors d’un jeu de réalité virtuelle ont permis de diagnostiquer une dépression ? C’est un scénario qui pourrait se présenter dans la société de demain,” conclut Laura Barrera Cano.
Comment se protéger de tels risques ?
Alors quelles solutions existent pour nous protéger de tels risques ? Quelques pistes :
►Idée n°1 : Informer plus précisément les joueurs et récolter leur consentement de manière plus explicite
Le RGPD est assez clair : “Le traitement des données à caractère personnel (..) ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé (..) sont interdits. (…) sauf si la personne concernée a donné son consentement explicite(…)”.
Mais le problème vient de ce que l’on entend clairement par “identifier une personne physique de manière unique”. Les fabricants s’appuient sur le fait que ces données collectées ne servent pas à identifier les personnes mais à faire fonctionner le jeu.
Sauf que la collecte de ces données semble bien impossible à délier d’un processus d’identification. Les jeux en réalité virtuelle devraient donc récolter le consentement du public de manière beaucoup plus explicite et mettre en avant un message clair sur le traitement de leurs données personnelles et de l’identification qui peut en résulter.
► Idée n°2 : Repenser la réalité virtuelle avec le principe de Privacy by design
C’est un des principes fondateurs sur lequel a été développé le RGPD qui recommande d’inclure la question du respect de la vie privée et du traitement des données sensibles au centre des différents stades de conception d’un produit.
Concrètement, dans le cadre des casques de réalité virtuelle cela pourrait signifier ne pas partager les informations personnelles des joueurs (même anonymisées) à des tiers. Mais cela forcerait les fabricants à complètement repenser leur business model qui repose, au contraire, sur la collecte massive des données personnelles.
Cela n’est d’ailleurs pas un hasard si Facebook a mis la main sur le fabricant de casque Oculus en 2014 pour un peu plus de 2 milliards de dollars. C’est aussi pour avoir un accès privilégié à ce réservoir de données personnelles.
► Idée n°3 : Confier la réglementation du secteur à un comité indépendant
Enfin, une proposition a émergé lors d’un sommet d’experts qui s’est réuni en 2018 à Stanford, celle de la mise en place d’un comité indépendant au secteur de la réalité virtuelle que l’on appelle aussi un IRB (Institutional Review board). Ce genre de groupes régule déjà le cadre universitaire ou médical pour s’assurer de l’absence de conflits d’intérêt des chercheurs ou professeurs sur certains sujets d’études, à la manière d’un comité éthique indépendant.
Ce conseil serait chargé d’identifier l’ampleur et la probabilité des dommages potentiels faits aux utilisateurs et d’agir de manière préventive pour minimiser de tels risques.
Mais encore faut-il que les entreprises de réalité virtuelle acceptent de s’auto-réguler ; qu’auraient-elles à y gagner ? Peut-être introduire un peu plus de transparence dans leur fonctionnement permettrait, in fine, de proposer une technologie mieux comprise et donc mieux acceptée par tous.
