|

92 millions d’euros en jeu : Ubisoft face à une plainte sur le RGPD

GeeKanJi
Ubisoft face à une plainte sur le RGPD

Le géant français du jeu vidéo Ubisoft se retrouve aujourd’hui au cœur d’une controverse juridique qui pourrait lui coûter jusqu’à 92 millions d’euros. L’association de défense de la vie privée Noyb a déposé une plainte contre l’entreprise, l’accusant de violer le Règlement général sur la protection des données (RGPD) en collectant des informations personnelles des joueurs sans leur consentement explicite.

Cette affaire, centrée sur le jeu Far Cry Primal, soulève plusieurs interrogations cruciales. Elle met en lumière les pratiques de l’industrie vidéoludique en matière de collecte de données personnelles, tout en suscitant des questionnements sur les répercussions potentielles pour l’ensemble du secteur. Par ailleurs, elle engendre un vaste débat juridique sur l’interprétation et l’application du RGPD, non seulement dans l’industrie du jeu vidéo, mais aussi dans le secteur des technologies en général.

Une connexion obligatoire qui pose question

Au cœur de cette affaire se trouve un joueur qui, après avoir acheté Far Cry Primal sur la plateforme Steam, s’est vu contraint de se connecter à un compte Ubisoft pour pouvoir y jouer. Une situation qui l’a d’autant plus surpris que ce jeu, essentiellement solo, « ne dispose d’aucune fonctionnalité en ligne » selon la plainte déposée.

La suite après la pub !

Durant une session de jeu de seulement 10 minutes, le plaignant affirme avoir détecté « 150 ensembles DNS uniques » envoyés et « 56 demandes d’établissement d’une connexion » entre son ordinateur et « des serveurs externes ». Ces données incluaient notamment un identifiant unique du joueur, des informations sur les moments de lancement et de fermeture du jeu, ainsi que des connexions à des serveurs tiers comme Google, Amazon et Datadog. Aucune information précise n’est fournie concernant les serveurs tiers. Il est important de rappeler que Google et Amazon sont également des fournisseurs de services cloud.

Ubisoft justifie cette collecte par la nécessité de vérifier la propriété du jeu et d’améliorer la sécurité. Cependant, le plaignant soutient n’avoir jamais consenti au traitement de ces données, argumentant que le jeu peut fonctionner hors ligne et que la vérification de l’achat est déjà effectuée via Steam. Cette affaire soulève des questions fondamentales sur les pratiques de l’industrie vidéoludique en matière de collecte de données et pourrait avoir des répercussions considérables sur l’ensemble du secteur, bien que la pertinence même de cette procédure fasse débat.

Un débat technique qui divise la communauté

La question de la télémétrie dans les jeux vidéo fait l’objet d’interprétations divergentes au sein de la communauté des joueurs et des personnes s’intéressant à l’industrie. Certains défendent cette pratique comme étant standard et nécessaire.

« 150 requêtes vers un serveur de tracking en 10 minutes de jeu, c’est extraordinairement banal« , affirme un commentateur sur Reddit se présentant comme ayant travaillé dans la télémétrie pour différents acteurs du jeu vidéo. « Peu de gens se rendent compte à quel point le tracking de données anonymisées est non seulement une pratique courante, mais quasi-systématique dans le milieu.« 

Selon ce même utilisateur, ces données sont cruciales pour les développeurs : « Ce n’est pas pour vous vendre de la publicité ciblée ou établir un profil de vous, c’est parce que ces données sont utiles pour savoir quelles fonctionnalités du jeu sont utilisées et comment. » Ces informations permettraient ainsi d’orienter les futures mises à jour, de prioriser les corrections de bugs ou de décider du contenu additionnel à développer.

D’autres voix rappellent toutefois que la prévalence d’une pratique ne garantit pas sa légalité. « Quelque part, que ce soit standard ou pas n’est pas vraiment la question. Si toute l’industrie enfreint la loi, ça ne les rend pas moins en infraction« , souligne un utilisateur sur les réseaux sociaux.

La suite après la pub !

Le point 52 de la plainte : une analogie qui fait débat

L’un des arguments marquants de la plainte déposée par Noyb figure au point 52 : « Si vous voulez entrer chez quelqu’un, vous devez être invité, sinon vous entrez par effraction. Si le comportement est illégal dans la sphère physique, il devrait l’être également dans la sphère numérique. Il n’y a aucune raison d’appliquer une norme différente.« 

Cette comparaison entre l’espace numérique et l’espace physique divise. Pour certains, elle illustre parfaitement le principe de consentement qui devrait prévaloir dans toute collecte de données. Pour d’autres, cette analogie est excessive, voire abusive, les mécanismes de protection de la vie privée dans le monde numérique ne pouvant être calqués sur ceux du monde physique en raison de spécificités techniques et d’usages différents.

Un défi rétrospectif pour l’industrie

Un aspect crucial de cette affaire réside dans sa dimension temporelle. Far Cry Primal est sorti en 2016, soit deux ans avant l’entrée en vigueur du RGPD en 2018. Cependant, les jeux publiés avant cette date doivent néanmoins se conformer aux nouvelles règles, ce qui place Far Cry Primal et de nombreux autres titres sous le coup de cette législation.

Cette application rétrospective du RGPD représente un défi considérable pour les studios de développement. Pour les grands groupes comme Ubisoft, cela implique une revue complète de leur catalogue et potentiellement des modifications importantes de leurs systèmes. Pour les studios indépendants disposant de ressources limitées, le dilemme est encore plus aigu : faut-il retirer certains jeux du marché, investir des ressources conséquentes pour les mettre en conformité ou risquer une amende ?

Le caractère rétroactif de cette obligation soulève des questions d’équité, particulièrement pour les petits acteurs du secteur qui peinent déjà à survivre dans un marché hautement compétitif et qui manquent souvent des moyens techniques et juridiques pour s’adapter à ces exigences.

La suite après la pub !

Données anonymisées ou pseudonymisées : une confusion technique

Au cœur du débat se trouve également la question de l’anonymisation des données. Pour certains, l’anonymisation complète des données est presque impossible à garantir. « Collecter des données anonymement, c’est quasiment impossible. Dans la plupart des cas, ça implique d’altérer les données d’une façon qui limite grandement les possibilités d’exploitation« .

Il convient de distinguer l’anonymisation de la pseudonymisation. Dans le premier cas, il serait théoriquement impossible d’identifier une personne à partir des données collectées. Dans le second, cette identification est difficile mais reste possible. « Pour faire simple, il est impossible, et je dis bien impossible, d’identifier quelqu’un à partir de données anonymisées. Dans le cas de la pseudonymisation, c’est difficile mais possible« , précise un commentateur.

Un identifiant unique attribué à une entrée dans une base de données n’est pas nécessairement une donnée personnelle au sens du RGPD. Il le devient s’il permet, directement ou indirectement, d’identifier une personne physique, notamment lorsqu’il est combiné avec d’autres informations. En revanche, si l’identifiant est véritablement anonymisé, c’est-à-dire qu’il ne permet pas d’identifier une personne, même en croisant avec d’autres données, il n’est pas soumis aux obligations du RGPD.

Plusieurs points d’attention méritent d’être soulignés à ce sujet :

  • Pseudonymisation vs anonymisation : La pseudonymisation, qui consiste à remplacer les données identifiantes par des identifiants uniques, ne rend pas les données anonymes. Les données pseudonymisées restent des données personnelles car elles peuvent être ré-identifiées.
  • Anonymisation effective : Pour qu’un identifiant soit considéré comme véritablement anonymisé, il doit être impossible d’identifier la personne concernée, même en croisant avec d’autres données. L’anonymisation doit être irréversible.
  • Évaluation au cas par cas : La qualification d’un identifiant comme donnée personnelle dépend du contexte et des moyens raisonnablement susceptibles d’être utilisés pour identifier une personne.

En pratique, lorsqu’un identifiant est associé à d’autres informations comme des comportements spécifiques ou des données de configuration, le risque d’identification augmente considérablement. Certaines techniques de fingerprinting peuvent permettre d’identifier un utilisateur à travers différents sites ou applications sans utiliser de cookies, simplement en combinant des informations apparemment anodines comme la taille de l’écran, la version du navigateur et d’autres paramètres techniques.

La suite après la pub !

Une amende potentielle jusqu’à 92 millions d’euros

L’association Noyb demande que l’autorité autrichienne de protection des données ordonne la suppression des données collectées illégalement et évoque une amende pouvant théoriquement atteindre 92 millions d’euros à Ubisoft, ce qui représenterait 4% de son chiffre d’affaires mondial.

Ce montant correspond au plafond maximum des sanctions prévues par le RGPD pour les infractions les plus graves. Il reste toutefois peu probable qu’une telle somme soit effectivement réclamée, vu le contexte. Néanmoins, même une fraction de cette somme illustrerait l’ampleur des enjeux financiers liés à la conformité réglementaire dans le secteur et enverrait un signal très négatif à l’industrie du jeu vidéo. Pour Ubisoft, déjà confronté à des défis économiques et une concurrence accrue, une sanction significative aurait un impact non négligeable.

Au-delà du cas d’Ubisoft, cette affaire pourrait créer un précédent et inciter d’autres plaignants à attaquer des éditeurs sur des bases similaires, multipliant les risques juridiques et financiers pour l’ensemble de l’industrie.

Entre protection des données et innovation : un équilibre à trouver

Cette affaire soulève une question fondamentale : le RGPD s’éloigne-t-il de son objectif premier ? La réglementation européenne a été instaurée suite à des scandales majeurs comme celui de Cambridge Analytica, où les données personnelles de millions d’utilisateurs Facebook avaient été exploitées à des fins de manipulation politique.

A lire également : Réseaux sociaux : la désinformation politique sur les élections européennes

La suite après la pub !

Si la protection des utilisateurs contre les abus demeure essentielle, il est légitime de se questionner sur la proportionnalité des mesures dans des affaires comme celle d’Ubisoft. Il convient de rappeler que les RGPD ont été instaurés après plusieurs scandales majeurs liés à la gestion des données personnelles, tel que l’affaire Facebook/Cambridge Analytica, ou encore de fuites de données personnelles. Leur création, à juste titre, visait à renforcer cette protection. Cependant, à l’heure actuelle, des cas comme celui-ci soulèvent la question : ne risquons-nous pas de nous éloigner de l’objectif initial des RGPD ?

Pour l’industrie du jeu vidéo, trouver le juste équilibre entre protection de la vie privée et collecte de données nécessaires à l’amélioration des produits représente un défi majeur. Si les acteurs du secteur doivent incontestablement respecter les droits des utilisateurs, une application trop restrictive des règles pourrait entraver l’innovation et pénaliser particulièrement les plus petites structures.

Consentement et intérêt légitime : une question d’interprétation

Un point central du débat concerne la base juridique sur laquelle Ubisoft collecte ces données. L’entreprise semble s’appuyer sur la notion d' »intérêt légitime » prévue par le RGPD, qui permet dans certains cas de traiter des données sans consentement explicite si ce traitement est nécessaire à la poursuite d’intérêts légitimes.

Cependant, la plainte conteste cette interprétation, arguant que les traitements effectués vont au-delà de ce qui est strictement nécessaire et que le consentement aurait dû être recueilli. Le débat juridique portera donc en grande partie sur cette notion d’intérêt légitime, ses limites dans le contexte des jeux vidéo et la caractère personnel des données.

Certains défenseurs d’Ubisoft soulignent que les conditions d’utilisation du jeu mentionnent ces collectes de données. « En général les jeux aujourd’hui demandent d’accepter le contrat d’utilisateur final. Celui-ci est accessible sur Steam sur la page du jeu avant achat et il y est clairement inscrit ‘Analytics Tools and Ad Serving Technology. UBISOFT uses third party analytics tools to collect information concerning Your and other users’ gaming habits and use of the Product’« , fait remarquer un internaute.

Mais là encore, la question se pose de savoir si ces mentions générales dans des conditions d’utilisation souvent longues et complexes constituent un consentement valide au sens du RGPD, qui exige un consentement « libre, spécifique, éclairé et univoque ».

La suite après la pub !

Une jurisprudence attendue par toute l’industrie

L’association Noyb n’en est pas à son premier combat contre les géants de la tech. Fondée par Max Schrems, elle s’est fait connaître par ses actions contre Facebook et a remporté plusieurs victoires juridiques significatives, notamment l’invalidation du « Privacy Shield », l’accord qui encadrait les transferts de données entre l’UE et les États-Unis.

Sa réputation et son expertise en matière de RGPD donnent du poids à cette plainte contre Ubisoft, et la décision qui en résultera pourrait établir une jurisprudence importante pour l’ensemble de l’industrie du jeu vidéo.

Si l’autorité autrichienne de protection des données suit les arguments de Noyb, les développeurs et éditeurs pourraient être contraints de repenser fondamentalement leur approche de la télémétrie et de la collecte de données, avec des implications significatives sur le développement, le suivi et l’amélioration des jeux.

Conclusion : vers une nouvelle ère pour la télémétrie dans les jeux ?

L’affaire Ubisoft illustre les tensions qui existent entre les pratiques établies de l’industrie du jeu vidéo et les exigences croissantes en matière de protection des données personnelles. La collecte d’informations sur l’utilisation des jeux, longtemps considérée comme un outil essentiel pour les développeurs, se trouve aujourd’hui questionnée sous l’angle du respect de la vie privée.

Pour les joueurs, cette affaire pourrait marquer le début d’une prise de conscience accrue quant aux données qu’ils partagent involontairement lorsqu’ils jouent. Pour les développeurs, elle souligne l’importance d’intégrer les principes de « privacy by design » dès la conception des jeux, plutôt que d’essayer d’adapter après coup des systèmes préexistants.

La suite après la pub !

Quelle que soit l’issue de cette plainte, elle aura le mérite d’avoir ouvert un débat sur ce que signifie le respect de la vie privée dans l’univers du jeu vidéo à l’ère du RGPD. Un débat qui, au-delà des 92 millions d’euros potentiellement en jeu pour Ubisoft, pourrait redéfinir les rapports entre joueurs et développeurs pour les années à venir.

La plainte vient d’être déposée et Ubisoft n’a pas encore communiqué en détail sur le sujet.

Liens recommandés

Si vous appréciez nos articles, ne manquez les prochains en vous abonnant à Cosmo Games sur Google News, vous pouvez également nous suivre sur X (ex Twitter) en particulier pour les bons plans en direct. N'hésitez pas à partager vos réactions, commentaires ou remarques dans les commentaires, afin d'enrichir le contenu, de mieux vous comprendre et intégrer les différents points de vue. Un partage sur les réseaux sociaux nous aide également beaucoup, merci pour votre soutien !

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *