Dès qu’un projet VR sort du simple pilote, la question du RGPD arrive très vite sur la table. C’est normal : une entreprise qui déploie des casques pour la formation, l’onboarding, la démonstration ou l’accompagnement métier ne gère pas seulement des appareils. Elle gère aussi des données. Et selon les usages, certaines peuvent être très sensibles. Le RGPD s’applique à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. La CNIL rappelle aussi qu’un traitement ne se limite pas à une base de données : enregistrer, consulter, transmettre, rapprocher ou conserver des informations dans une application ou un dispositif entre bien dans le champ du règlement.
La première bonne nouvelle, c’est qu’un déploiement VR n’implique pas automatiquement un traitement massif de données sensibles. La seconde, c’est qu’il ne faut surtout pas tout mettre dans le même panier. En pratique, la bonne approche consiste à distinguer les données strictement nécessaires à l’exploitation d’une flotte, celles utiles au support et à la supervision, et celles qui exigent une vigilance renforcée parce qu’elles touchent à la biométrie, à la santé ou à la vie au travail.
Première étape : identifier ce qui est vraiment une donnée personnelle
Dans un environnement XR, beaucoup d’éléments peuvent devenir des données personnelles dès lors qu’ils sont rattachés à une personne ou permettent de la retrouver. La CNIL cite notamment comme données personnelles le nom, l’image, la voix, un identifiant de connexion, une adresse IP, des données d’usage d’une application ou encore le croisement de plusieurs informations apparemment banales. Autrement dit, un identifiant utilisateur, un historique de session, une remontée d’usage liée à un casque attribué nominativement ou un flux audio/vidéo associé à un compte peuvent relever du RGPD.
Dans un projet VR d’entreprise, il est donc utile de cartographier les données par familles plutôt que par outils. C’est plus opérationnel et cela évite deux erreurs fréquentes : sous-estimer des données qui paraissent “techniques”, ou à l’inverse surqualifier tout le projet comme s’il traitait forcément des données hautement sensibles.
1. Les données de compte, d’organisation et d’administration
C’est la couche la plus classique, et souvent la moins controversée. On y retrouve les comptes utilisateurs, les rôles, les invitations, les historiques de connexion, les droits d’accès, les journaux d’activité et parfois des informations d’organisation comme le site, l’équipe ou le profil métier. Ce ne sont pas nécessairement des données sensibles au sens du RGPD, mais ce sont bien des données personnelles qu’il faut encadrer : base légale, information des personnes, contrôle d’accès, durée de conservation et sécurité. La CNIL rappelle d’ailleurs que toute personne doit être informée de manière concise, transparente et compréhensible sur la finalité du traitement, les destinataires et ses droits.
Côté produit, Pulse gère précisément cette couche d’administration avec comptes, invitations, rôles, permissions granulaires, audit logs, 2FA, passkeys et SSO. Cela ne dispense évidemment pas l’entreprise cliente de sa propre gouvernance RGPD, mais cela montre qu’une plateforme XR sérieuse doit traiter la sécurité et la traçabilité comme des fonctions natives, pas comme des options.
2. Les données d’usage et de supervision
C’est souvent là que les choses deviennent plus intéressantes — et plus floues pour les équipes métier. Temps d’usage, lancements de contenus, taux de complétion, statut d’un appareil, téléchargements, progression dans une session, ou encore traces d’opérations effectuées sur la flotte : toutes ces données peuvent être parfaitement légitimes, à condition d’être justifiées par une finalité claire et de respecter le principe de minimisation. La CNIL rappelle que les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité poursuivie.
Concrètement, cela veut dire qu’il est rarement pertinent de tout conserver “au cas où”. Si votre objectif est de piloter une flotte, de vérifier qu’un contenu est bien synchronisé, d’aider un formateur ou de mesurer l’adoption d’un programme, il faut collecter ce qui sert réellement à ces usages — et pas transformer un déploiement XR en système de surveillance diffuse. Cette distinction est particulièrement importante dans les contextes de travail, où les droits des salariés et la proportionnalité des dispositifs doivent être pris au sérieux.
Dans Pulse, les tableaux de bord, les statistiques et les journaux d’activité existent justement pour aider à piloter la flotte, suivre l’usage des contenus et tracer les opérations sensibles. La bonne pratique consiste à configurer ces fonctionnalités selon un besoin métier défini, et non à activer ou conserver indifféremment toutes les remontées possibles.
3. La voix, l’image et le partage d’écran
Dès qu’un projet XR inclut du support à distance, du partage d’écran, de l’audio bidirectionnel, de la démonstration ou de l’accompagnement en direct, il faut regarder de près la place de la voix et de l’image. La CNIL rappelle explicitement que la voix et l’image peuvent être des données personnelles. Si elles sont diffusées, enregistrées, conservées ou associées à une personne identifiable, elles doivent être intégrées à votre cartographie et à votre information RGPD.
Cela ne signifie pas qu’il faut bannir ces fonctionnalités. Cela signifie qu’il faut décider clairement : s’agit-il d’un flux temps réel sans conservation ? d’un enregistrement ? qui y a accès ? combien de temps ? pour quelle finalité ? Dans beaucoup de cas, la question du stockage fait toute la différence entre une supervision opérationnelle acceptable et un traitement beaucoup plus intrusif.
Pulse Control propose justement du partage d’écran multi-appareils et de l’audio bidirectionnel pour l’accompagnement terrain. Dans un cadre RGPD, cela invite à documenter précisément le mode d’usage retenu, les habilitations et les règles de conservation éventuelles.
4. Biométrie, mouvement, regard : le vrai point de vigilance
C’est la zone que beaucoup d’entreprises redoutent, souvent sans bien distinguer les cas. La CNIL définit la biométrie comme l’ensemble des techniques permettant de reconnaître automatiquement une personne à partir de caractéristiques physiques, biologiques ou comportementales. Les données biométriques sont des données personnelles et, lorsqu’elles sont utilisées pour identifier une personne de manière unique, elles relèvent des données sensibles au sens du RGPD.
La conséquence pratique est importante : tout ce qui passe par le visage, la voix, l’iris, certains schémas de mouvement ou d’autres caractéristiques comportementales ne devient pas automatiquement “interdit”, mais exige une analyse beaucoup plus stricte. La question clé est la suivante : le système traite-t-il ces caractéristiques pour identifier ou authentifier une personne de manière unique ? Si oui, vous entrez sur le terrain de la biométrie au sens fort.
Pour la VR, cela veut dire qu’il faut être particulièrement prudent avec les usages autour de l’eye tracking, de la reconnaissance vocale, du suivi de posture ou de comportement, surtout si ces données sont rattachées à des comptes nominatifs, croisées avec d’autres données, ou utilisées à des fins d’identification, d’évaluation ou de profilage. Ce n’est pas la présence d’un capteur qui déclenche à elle seule la qualification la plus sensible ; c’est la finalité et la manière dont les données sont exploitées. C’est une inférence juridique prudente à partir des définitions CNIL et du RGPD.
5. Les données de santé : un risque sous-estimé
Dans certains contextes, la VR touche aussi à la santé ou à des informations qui peuvent en révéler. La CNIL définit les données de santé comme les données relatives à la santé physique ou mentale, passée, présente ou future, qui révèlent des informations sur l’état de santé d’une personne. Si vous déployez la VR dans des contextes de rééducation, de bien-être médicalisé, de santé au travail, de suivi clinique ou d’accompagnement de publics fragiles, vous devez regarder ce sujet très sérieusement.
Même en entreprise, certaines informations apparemment anodines peuvent devenir sensibles selon le contexte. Un historique révélant qu’une personne suit tel module lié à une pathologie, qu’elle a interrompu une expérience pour cause de malaise, ou qu’elle est orientée vers un protocole spécifique peut suffire à faire monter le niveau de risque. Là encore, il faut raisonner par finalité et par contexte, pas seulement par type brut de donnée. Cette qualification dépend des faits ; en cas de doute réel, il faut impliquer le DPO ou le conseil juridique.
6. Les obligations à ne pas oublier
Une fois les données identifiées, le cœur du travail RGPD reste assez classique : définir une base légale, informer les personnes, limiter la collecte, encadrer les accès, fixer des durées de conservation, sécuriser techniquement l’environnement et formaliser les rôles entre responsable de traitement et sous-traitant. La CNIL rappelle aussi qu’une AIPD est nécessaire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Un point mérite une attention particulière dans les déploiements en entreprise : ne partez pas du principe que le consentement est toujours la meilleure base légale. La CNIL rappelle que tout traitement doit reposer sur une base légale adaptée, et ses référentiels RH soulignent aussi que, dans la relation employeur/employé, le consentement libre est souvent difficile à établir. Dans beaucoup de cas, il faut donc raisonner autrement, selon la finalité du traitement et le cadre de travail concerné.
Ce qu’il faut demander à un fournisseur XR
Pour une entreprise, la conformité ne se joue pas seulement dans la politique interne. Elle dépend aussi énormément de l’outillage choisi. Avant de déployer, il faut pouvoir répondre simplement à quelques questions : où les données sont-elles hébergées ? quels flux sortent du réseau ? quelles mesures de sécurité existent ? quels journaux d’activité sont disponibles ? quelles fonctions permettent de limiter les accès ? le fournisseur documente-t-il ses rôles et ses sous-traitants ?
Sur ce point, Pulse met en avant plusieurs éléments utiles pour un cadre de conformité : hébergement en France chez OVHcloud, absence annoncée de transfert hors UE, contrôle d’accès par rôles, audit logs, 2FA, passkeys, chiffrement des données sensibles au repos, et une logique de moindre privilège. Pulse Control ajoute un point intéressant pour certains contextes : son pilotage local des casques sur le réseau Wi-Fi, sans dépendance systématique à Internet pour les opérations terrain. Ces éléments ne remplacent pas l’analyse du traitement par l’entreprise, mais ils vont clairement dans le bon sens.
Conclusion
Dans un déploiement VR en entreprise, la vraie question n’est pas “la VR est-elle conforme au RGPD ?”. La vraie question est : quelles données traitez-vous réellement, pour quelles finalités, avec quel niveau de risque, et avec quelles garanties ?
La plupart des projets commencent avec des données classiques de compte, d’usage et d’administration. C’est déjà suffisant pour exiger un vrai cadre de conformité. Puis, selon les cas, viennent s’ajouter des couches plus sensibles : voix, image, partage d’écran, biométrie, données de santé ou suivi comportemental. C’est là que la cartographie, la minimisation et l’AIPD deviennent décisives.
En pratique, une plateforme XR bien pensée aide énormément : gouvernance des accès, auditabilité, pilotage centralisé, sécurité native et maîtrise des flux. C’est d’ailleurs l’une des forces d’une solution comme Pulse : permettre à l’entreprise de professionnaliser sa gestion XR sans traiter la conformité comme un sujet ajouté après coup.
Je peux maintenant vous faire le prompt d’image de couverture pour cet article, dans la même DA que les précédentes.
