Six mois au salon avec un Quest 3 vissé sur le crâne, et le constat tombe comme une évidence froide : ce casque est un aspirateur à données biométriques d’une précision sans précédent dans l’histoire du grand public. Pas parce que Meta serait particulièrement malveillant. Mais parce que la VR, par nature, ne peut pas faire autrement. Le problème, c’est que personne ne vous le dit vraiment en face.
À retenir
- Vos mouvements oculaires peuvent vous identifier avec 94% de précision en seulement 100 secondes
- Les données de regard révèlent votre état émotionnel, vos processus cognitifs et vos problèmes de santé
- Chaque application tierce accède à vos données sous ses propres règles, sans contrôle de Meta
Ce que le casque voit quand vous jouez
Le Quest 3 embarque six caméras orientées vers l’extérieur. Six caméras externes, dont quatre visibles à l’œil nu. Leur rôle officiel : cartographier votre salon pour éviter que vous n’emboutissiez votre télé. Mais le résultat est tout autre. Les données spatiales désignent les informations collectées sur la taille, la forme et la position des murs, surfaces et objets d’un espace physique, le casque reconnaît les contours des meubles, les murs, les portes, et estime leurs distances relatives. : après quelques sessions, Meta possède un plan 3D de votre appartement.
Ce n’est pas tout. Le casque capture des données audio, notamment les sons ambiants de votre domicile, mais aussi énormément de données visuelles, les caméras orientées vers l’extérieur mesurent les dimensions de la pièce dans laquelle vous jouez et la disposition de vos meubles. Et le mouvement de votre corps dans cet espace devient, lui aussi, une empreinte. Une empreinte beaucoup plus unique que vous ne l’imaginez.
Des chercheurs de l’UC Berkeley l’ont prouvé de façon spectaculaire. En analysant plus de 2,5 millions d’enregistrements VR anonymisés provenant de plus de 50 000 joueurs de Beat Saber, ils ont établi que les utilisateurs peuvent être identifiés avec plus de 94 % de précision à partir de seulement 100 secondes de données de mouvement. Plus surprenant encore : la moitié des utilisateurs peut être identifiée avec seulement 2 secondes de données. Pas besoin de photo, pas besoin de nom. Vos bras qui esquissent un geste dans le vide suffisent. Les schémas de mouvement sont si propres à chaque individu qu’ils peuvent constituer un identifiant biométrique, au même titre que la reconnaissance faciale ou les empreintes digitales.
La question des yeux : là où ça devient vraiment inconfortable
Le Quest 3 standard n’intègre pas d’eye tracking à proprement parler, c’est une précision importante. Le Meta Quest 3 n’inclut pas de technologie de suivi oculaire. Mais le Quest Pro, lui, en est équipé. Et c’est là que les politiques de confidentialité de Meta deviennent particulièrement révélatrices.
Quand vous choisissez d’activer le suivi oculaire sur le casque ou dans une application, le logiciel analyse les images de vos yeux pour créer une estimation de l’endroit où vous regardez, ce que Meta appelle les « abstracted gaze data ». La promesse de Meta : les images brutes sont traitées en temps réel sur le casque et supprimées une fois le traitement terminé. Meta ne collecte ni ne stocke les images brutes de l’eye tracking sur ses serveurs. Rassurant, en apparence. Mais ce qui reste, ce sont les données de regard traitées, et c’est là que le vrai problème commence.
Les données de mouvement oculaire peuvent être utilisées pour inférer l’identité biométrique, l’état émotionnel, les processus cognitifs, et permettent des analyses fines d’attributs psychologiques comme les troubles neurologiques ou comportementaux. Ce que votre regard fixe dans un jeu VR, combien de temps, à quelle vitesse il se déplace : c’est un journal intime que vous n’avez jamais consenti à écrire. Les données biométriques en VR sont sensibles parce qu’elles peuvent révéler l’état de santé, les réponses émotionnelles, les handicaps, les niveaux de stress, souvent sans que la personne réalise que cette inférence est possible.
Et concernant les applications tierces ? Meta est honnête sur ce point, dans les petites lignes. Meta ne contrôle pas la façon dont une application tierce utilise, stocke ou partage vos données de regard abstrait. Ce qui signifie que chaque application à laquelle vous accordez l’accès à l’eye tracking opère sous ses propres règles, et ses propres appétits.
Un cadre légal qui court après la technologie
Les casques de réalité virtuelle et leurs applications collectent des données personnelles hautement sensibles, et plus ces données sont collectées et stockées, plus elles risquent de tomber entre de mauvaises mains. Le RGPD européen protège théoriquement les utilisateurs français. Dans le RGPD, les données biométriques sont définies comme des données personnelles résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent son identification unique. Les données oculaires et de mouvement d’un casque VR entrent parfaitement dans cette définition.
Mais la réglementation peine à suivre le rythme. Il n’existe pratiquement aucune loi régissant spécifiquement la manière dont les entreprises utilisent les données de jeu des utilisateurs. Les utilisateurs se retrouvent donc à naviguer seuls dans une politique de confidentialité de plusieurs milliers de mots, par définition jamais lue. Les systèmes VR collectent des données comportementales et biométriques fines, mais les politiques de confidentialité sont rarement lues ou comprises en raison de leur langage complexe, de leur longueur et de leur mauvaise intégration dans les flux d’interaction des utilisateurs.
Meta a tout de même fait un effort en 2024 avec l’introduction d’un indicateur de confidentialité sur les nouveaux casques. L’entreprise a introduit un historique des permissions qui permet de consulter les accès des applications installées aux capteurs et données du casque, dont le microphone, la localisation, les données spatiales, sur les sept derniers jours. C’est mieux que rien. Mais cela ne change rien à la collecte elle-même.
Ce que vous pouvez concrètement faire
Désactiver l’eye tracking si vous l’avez activé. Vérifier, application par application, les permissions accordées depuis les paramètres du casque. Refuser l’option de partage de données supplémentaires que Meta propose à la configuration. Si vous choisissez de partager des données supplémentaires avec Meta, l’entreprise collecte des informations complémentaires sur votre usage du casque, y compris l’eye tracking, pour personnaliser vos expériences. Ce partage optionnel est activé par défaut pour de nombreux utilisateurs qui passent trop vite l’étape de configuration.
La vraie question n’est pas de savoir si Meta est malveillant. C’est de comprendre que les données d’eye tracking peuvent révéler l’identité biométrique et des informations sensibles sur l’état cognitif et affectif, ce qui les rapproche davantage des dossiers médicaux que des journaux d’interaction ordinaires, du point de vue de la vie privée et de la réglementation. Un casque VR porté quotidiennement génère un profil biométrique d’une richesse que votre médecin généraliste n’a pas sur vous. Et ce profil, lui, ne reste pas dans son cabinet.
Sources : clubic.com | metavers-tribune.com