Les plateformes de jeux vidéo en ligne font l’objet d’attaques régulières de pirates informatiques au-delà des déclarations rassurantes des professionnels du secteur on peut légitimement se demander si nos données personnelles font l’objet d’une protection adéquate lorsque l’on utilise un tel service.

Une évolution rapide du secteur vidéo ludique et des enjeux juridiques de prime abord insoupçonnable

Alors que le jeu vidéo constituait à ses débuts une industrie de niche son usage en tant que loisir a une tendance à se généraliser là où il fallait posséder un matériel spécifique dédié il y a encore quelques années on peut aujourd’hui le rencontrer sur toutes sortes de plateformes.

Ainsi si la console de jeu fut le premier appareil donnant accès à ce loisir, l’ordinateur dès sa conception en pris la mesure on passera par la console portable pour en arriver aujourd’hui à de nouvelles plateformes non dédiées au jeu vidéo (smartphone, tablette) où l’usage en tant que console de jeu à une grande tendance à se démocratiser.

Cette industrie est ainsi devenue en l’espace d’une 20 aine d’années la première industrie culturelle mondiale. Devant cette industrie florissante, la multiplication des services annexes au simple jeu, pris en sa pratique la plus simple c’est à dire au départ une personne seule devant son écran ayant acheté un matériel  (hardware) et un logiciel adapté (le jeu vidéo) dans une boutique plus ou moins spécialisée. L’évolution des réseaux et surtout la démocratisation d’Internet a eu pour effet d’apporter une nouvelle dimension sociale au jeu vidéo.

Ainsi le jeu en ligne est apparu comme une composante d’abord accessoire du jeu dit en solo jusqu’à devenir une composante essentielle voir suffisante ainsi certains jeux ne sont jouable aujourd’hui qu’à la condition de disposer d’un accès internet et n’ont d’intérêt qu’au regard de leur composante multijoueur en ligne.

On peut coupler cela avec une autre tendance technologique qui semble s’ancrer durablement dans l’esprits des consommateurs vidéo ludiques mais pas uniquement: la dématérialisation.

La ou au départ l’on se rendait dans une boutique afin d’acheter un jeu vidéo sur un support physique, de la cartouche propriétaire en passant par le dvd-rom et maintenant le Blu-ray Disc un marché dématérialisé, qui selon certains est voué à terme à remplacer le marché des supports physiques s’est développé. C’est en ce sens que nous arrivons au différentes plateformes de jeu en ligne qui à la manière d’un Netflix du jeu vidéo propose d’acheter directement par un service en ligne un jeu vidéo et de le télécharger directement sur son ordinateur sans passer par le circuit de distribution traditionnel.

Là où l’achat en boutique ne présupposait aucune communication de données personnelles obligatoires l’acquisition du jeu ne nécessitant que de s’acquitter du prix fixé pour ce dernier une plateforme telle que Steam pour fonctionner nécessite du consommateur de communiquer des données personnelles afin de pouvoir acquérir un jeu vidéo.

Les données personnelles de l’utilisateur recueillies avec son consentement sous la forme d’un compte utilisateur

Le compte utilisateur synthétise toute les informations visant l’identité, la domiciliation, les coordonnées bancaires de l’utilisateur, il s’agit donc d’un traitement automatisé de données au sens de la loi informatique et liberté de 1978 qui dispose en son article 2 : « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Le but du traitement est donc clairement identifié et est nécessaire à la tenue de l’activité économique de la plateforme.

Là où le bât blesse c’est que devant la manne financière de plus en plus importante générée par cette activité purement informatique la tentation d’accéder frauduleusement à ces données n’a de cesse de croître.

Qui est responsable en cas de piratage informatique de nos données personnelles ?

L’importance des conditions générales d’utilisation (CGU)

Ce qui nous amène au 25 décembre 2015 dernier exemple en date de fuite de données personnelles sur Steam plateforme de jeux vidéo détenue par la société Valve.

Conformément aux exigences de sécurité afférentes au traitement de données personnelles le responsable du traitement doit au sens de l’article 34 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Mettre en œuvre les mesures nécessaires afin de garantir le secret et le caractère privé du traitement de données personnelles.

À partir de là plusieurs problèmes peuvent subvenir:

Tout d’abord l’ingéniosité des hackers (pirates informatiques) semble difficilement enrayable à chaque nouvelles normes de sécurité sa faille et l’idée même d’un système informatique inviolable n’est qu’une chimère. Dans ce cas comment remonter jusqu’aux pirates dans une infrastructure de réseau complexe et mondialisée ou la remontée vers une adresse Ip machine semble dérisoire quoi de plus simple aujourd’hui que de télécharger un logiciel d’IP tournante permettant d’empêcher de localiser le terminal et donc le pirate informatique.

Ensuite, en cas de bug informatique mettant à disposition les données de chacun?

Comment dès lors engager la responsabilité du responsable du traitement alors que celui d’une part n’est pas forcément basé en France et qu’en outre ce dernier par le jeu de ces conditions générales d’utilisation vient limiter sa responsabilité de façon drastique :

“b. limitation de responsabilité

Dans la limite autorisée par le droit en vigueur, ni valve, ni valve ue, ni leurs concedants de licence, sociétés affiliées et prestataires de services ne sauraient être responsables des pertes et dommages quels qu’ils soient résultant de l’utilisation ou de l’impossibilité d’utiliser steam, votre compte, vos souscriptions et les contenus et services, notamment la perte de clientèle, l’arrêt d’activité, les défaillances ou les dysfonctionnements informatiques, ou les autres pertes et dommages commerciaux. en aucun cas valve ne saurait être responsable des dommages indirects, accessoires, spéciaux, punitifs, exemplaires ou autres lies d’une quelconque façon a steam, aux contenus et services, aux souscriptions et aux informations y afférentes disponibles, ou aux retards ou à l’impossibilité d’utiliser les contenus et services, les souscriptions ou les informations, même en cas de faute, de responsabilité délictuelle (y compris la responsabilité pour faute lourde), de responsabilité stricte, de manquement a la garantie de valve ou de valve ue de la part de valve, de valve ue ou de leurs sociétés affiliées, y compris si valve a été informe de la possibilité de tels dommages. Les présentes limitations et exclusions de responsabilité s’appliquent même en cas d’échec des recours.

Dans la mesure ou certains Etats ou juridictions interdisent toute exclusion ou limitation de responsabilité au titre des dommages accessoires ou indirects, dans ces états ou juridictions, la responsabilité de valve, de valve ue, de leurs concédants de licence et de leurs sociétés affiliées est limitée dans les limites autorisées par le droit en vigueur.

c. absence de garanties

ni valve, ni valve ue, ni leurs sociétés affiliées ne garantissent le fonctionnement et l’accès continu, libre d’erreurs, sans virus ou sécurisé a steam, aux contenus et services, a votre compte et/ou a vos souscriptions ou aux informations y afférentes disponibles.”

Quels recours face à ces CGU abusives ?

De telles clauses ont par ailleurs fait l’objet d’une plainte de l’association UFC que choisir qui sur le fondement de l’article L421-6 du code la consommation est fondée à agir pour demander au juge la suppression d’une clause abusive. En ce sens L’association a donc assigné le TGI de paris pour demander la suppression de pas moins de 12 clauses des conditions générales d’utilisation. Dont précisément les clauses précitées en ce qu’elles privent tout simplement de recours l’utilisateur.

Cette action est toujours pendante aujourd’hui.

De surcroît on peut relever que la société prévoit également de se placer sous l’égide du droit de l’Etat de Washington en cas de litige, droit américain donc bien moins soucieux de la protection des données personnelles (cf Note précédente sur la remise en cause du Safe Harbor) Sauf pour les utilisateurs européens :

« Pour les clients de l’UE :

Vous acceptez que le présent Accord soit réputé avoir été conclu et signé dans le Grand-Duché de Luxembourg et qu’il est régi par le droit du Luxembourg, à l’exception de ses dispositions de droit international privé et de ses références à la Convention sur les contrats de vente internationale de marchandises. Toutefois, lorsque le droit du Luxembourg offre un degré de protection du consommateur inférieur par rapport au droit de votre pays de résidence, les lois sur la protection du consommateur du droit de votre pays de résidence prévalent. En cas de litige découlant du présent Accord, la partie obtenant gain de cause sera indemnisée de ses frais d’avocat et de justice. »

Cela suppose donc que le consommateur ait connaissance du droit non seulement français mais aussi du droit Luxembourgeois pour savoir lequel est applicable au litige.

Valve entend faire de l’adage nul n’est censé ignorer la loi une fiction non plus seulement nationale mais internationale ! On peut à tout le moins se raccrocher au fait que la directive 95/46/CE du 24 octobre 95 largement inspirée de notre droit national a du faire l’objet d’une transposition dans le droit Luxembourgeois…

SI on en revient plus factuellement à la fuite de Noel dernier on peut noter que si Valve (la société responsable de la plateforme Steam s’est immédiatement exprimée et a signalé l’incident se voulant rassurant auprès de ses utilisateurs en expliquant que les données bancaires tel que le numéro de carte bleue étaient conformément à la loi américaine cryptée et donc n’avaient pas été rendues accessible à cause du bug de cache les seules données ayant été divulguées n’étaient que les adresses mails. Quid alors du préjudice pour les utilisateurs quand on sait qu’une adresse mail à en soi une valeur économique en ce qu’elle permet une publicité de masse dans le meilleur des cas mais également une porte d’entrée pour des virus informatiques.

On note ici que la protection des données personnelles semble être à géométrie variable les données bancaires étant plus sensible que l’adresse mail de l’utilisateur tout du moins dans l’esprit du professionnel.

On aurait pu imaginer pour ce type de litige la mise en œuvre d’une action collective encore méconnue en France introduite par la LOI n° 2014-344 du 17 mars 2014 relative à la consommation qui est venu insérer un article L423-1 dans le code de la consommation qui dispose : « Une association de défense des consommateurs représentative au niveau national et agréée en application de l’article L. 411-1 peut agir devant une juridiction civile afin d’obtenir la réparation des préjudices individuels subis par des consommateurs placés dans une situation similaire ou identique et ayant pour cause commune un manquement d’un ou des mêmes professionnels à leurs obligations légales ou contractuelles ».

Mais la pratique commerciale et donc le jeu des CGU peuvent venir priver les utilisateurs d’un tel recours en effet la section 11 est intitulée renonciation au recours collectif cette clause est valable dans le droit américain qui laisse plus de liberté au contrat mais pas dans le droit de l’Union européenne.

On note que cette exception est également prévue en effet cette section 11 est stipulée comme privée d’effet en cas d’utilisateur résidant sur le territoire de l’Union.

Une action de groupe serait donc envisageable si tenté que l’on arrive à démontrer un préjudice patrimonial au sens de l’alinéa 4 de l’article L423-1.

Dans le cas de la divulgation d’adresse e-mail il semble cependant que la preuve du préjudice soit impossible à rapporter.

Il conviendra donc de suivre le sort de l’action de l’association UFC que choisir, La plateforme steam n’étant pas la seule sur ce marché ses concurrents stipulent également des clauses analogues. Cette économie numérique entravée de telles clauses exonératoire de responsabilité pourrait à terme causer de graves préjudices pour le consommateur, et si la fuite de noël dernier avait effectivement concernée les données bancaires ? En se fiant qu’aux seules CGU il aurait été impossible de se retourner contre la société Valve pour obtenir réparation.

On touche ici à un paradoxe concernant les données personnelles si à peu près tout le monde estime qu’une protection est nécessaire peu de gens vont effectivement lire les CGU et cela concernant tout type de service dématérialisé et pourtant c’est dans ces dernières que peuvent se glisser des atteintes à la protection de nos données.

Cela à plusieurs titres au premier duquel on peut noter la façon dont elles sont rédigées, un utilisateur non averti aura tout le mal du monde à déterminer à quelles obligations il se soumet.

Mais encore la longueur de celles-ci qui a pour effet de décourager toute lecture.

En l’Etat il ne fait donc pas bon d’être utilisateur de plateforme de jeu vidéo en ligne s’il on est soucieux du sort de ses données personnelles mais ce constat semble généralisable à une grande majorité des acteurs du numérique (Google, Facebook). En ce sens on peut noter qu’un projet de règlement européen devrait venir réformer le régime vieillissant de la directive de 1995 et accorder un niveau de protection supérieur tout en donnant les moyens légaux de sanctionner les grands acteurs du web ne respectant pas le niveau de protection à l’européenne.

Sources :

Accord de souscription Steam (CGU), consulté le 10 janvier 2016 <http://store.steampowered.com/subscriber_agreement/french/>

Anonyme, communiqué de l’association UFC que choisir, quechoisir.org, publié le 17 décembre 2015, consulté le 20 janvier 2016,« Plateforme de jeux vidéo Steam L’UFC-Que Choisir assigne la société Valve », <http://www.quechoisir.org/telecom-multimedia/informatique/communique-plateforme-de-jeux-video-steam-l-ufc-que-choisir-assigne-la-societe-valve>

Hottot (K.),  « L’UFC-Que Choisir traîne en justice les conditions d’utilisation de Steam », Nextimpact.com, publié le 17 décembre 2015, consulté le 25 janvier 2016, <http://www.nextinpact.com/news/97768-lufc-que-choisir-traine-en-justice-conditions-dutilisation-steam.htm>

Hottot (K.), « Valve revient sur le bug de Noël de Steam et va contacter les utilisateurs touchés », nextimpact.com, publié le 31 décembre 2015, consulté le 20 janvier 2016, < http://www.nextinpact.com/news/97884-valve-revient-sur-bug-noel-steam-et-va-contacter-utilisateurs-touches.htm>