La première bougie du Règlement Général sur la protection des données va être soufflée le 25 mai prochain. De nombreuses évolutions ont été constatées sur les différents secteurs traitant des données personnelles, le secteur du jeu vidéo et notamment ses plateformes n’ont donc pas échappé à la règle.

Le jeu vidéo se pratique désormais en ligne grâce à une connexion internet. Cependant, dès que la problématique d’internet est évoquée, il faut nécessairement penser coordonnée avec son adresse IP, utilisation de cookies, création de comptes avec utilisation de pseudonyme. Toutes ces données permettent d’identifier les joueurs grâce au recoupement des données, mais aussi de collecter des informations sur ses habitudes de jeu et de consommation. Désormais, un joueur ne fait plus face à la collecte de ses données seulement par son ordinateur, ou bien sa console, mais aussi par tablette, son smartphone, voir sa montre connectée. À ces données collectées, vont se rajouter celles qui ne sont pas en rapport direct avec le jeu vidéo. En effet, la géolocalisation du joueur va pouvoir être récupérée par les différents supports : on peut donc parler d’une véritable collecte de masse de données personnelles.

Or, ce traitement de données personnelles va se faire aussi bien sur des adultes que sur des mineurs. En effet, l’activité se pratique à tout âge et pour tous les genres. Les données recueillies peuvent donc extrêmement sensible.  Comment l’industrie du jeu vidéo a-t-elle manié le règlement européen et les données collectées, vitales à son modèle économique ?

Merci maman, merci papa de cocher la case « j’autorise la collecte de mes données personnelles » … Eh oui, le règlement européen est strict pas de collecte sans autorisation des titulaires de l’autorité parentale. En effet, il est prévu que le consentement des mineurs pour la collecte de leurs données ne peut s’effectuer par le mineur que si ce dernier est âgé de seize ans et plus. Cependant, une marge de manœuvre est laissée aux États membres, ils peuvent rabaisser cet âge, dans la limite de ne pas aller en deçà de treize ans. En France, le seuil a été fixé à quinze ans.

Concrètement, la collecte du consentement de l’autorité parentale va prendre différentes formes selon les plateformes, si toutefois conformité au règlement européen il y a… En effet, comme partout l’industrie du jeu vidéo a encore un peu mal à lancer la machine RGPD. Ainsi, les plateformes de jeu vidéo ont plusieurs solutions pour se mettre plus ou moins en conformité.

1/ Protection RGPD « Bonus + 100 d’XP »   

La double authentification permet d’empêcher la création du compte d’un mineur s’il manque l’autorisation de la personne détenant l’autorité parentale. En pratique, le joueur va devoir donner son nom d’utilisateur, son âge et son adresse mail. Il existe deux possibilités pour l’éditeur du jeu, si l’âge donné est inférieur à l’âge du public destiné par l’éditeur, représenté par la norme PEGI en Europe, alors le compte ne pourra pas être créé.  Toutefois, si l’âge est supérieur à l’âge du public destiné, mais inférieur à l’âge du consentement du pays de l’enfant, alors ce dernier devra indiquer l’adresse email de ses parents ou du titulaire de l’autorité parentale. À noter que les plateformes précisent généralement que les informations collectées précédemment sans l’autorisation parentale seront supprimées à défaut d’autorisation ou si le consentement est retiré.

« 4. Durée de conservation des données
Nous ne conserverons vos informations qu’aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels les informations sont collectées et traitées ou (lorsque la loi applicable prévoit une période de stockage et de conservation plus longue) pour la période de stockage et de conservation requise par la loi. Après cela, vos Données personnelles seront supprimées, bloquées ou rendues anonymes, conformément à la loi applicable.
[…]

Si vous retirez votre consentement sur lequel est basé un traitement de vos Données personnelles ou des Données personnelles de votre enfant, nous supprimerons vos Données personnelles et les Données personnelles de votre enfant dans les meilleurs délais dans la mesure où la collecte et le traitement des Données personnelles étaient basés sur le consentement retiré ». Extrait de la politique de confidentialité de Valves (steam).

À la suite de cela, le propriétaire de la seconde adresse email va recevoir un courriel d’information précisant que le mineur souhaite créer un compte et que différentes données à caractère personnel ou non vont pouvoir être collectées. Cet email s’accompagne généralement d’un lien de redirection vers la politique de confidentialité de la plateforme et des conditions générales de vente. Sur certaines plateformes, telles que Valves, Pokémon Go ou League of Legends, le titulaire de l’autorité parentale va pouvoir accepter ou refuser directement la création du compte de l’enfant mineur.

« En règle générale, les enfants ne sont pas autorisés à utiliser les Services et nous ne collectons aucune Donnée Personnelle auprès d’eux. Le terme « enfant(s) » désigne les personnes suivantes :

Pour les personnes résidant en dehors de l’EEE : toute personne âgée de moins de 13 ans ;

Pour les personnes résidant au sein de l’EEE : toute personne âgée de moins de 16 ans ou n’ayant pas atteint l’âge requis pour consentir au traitement des données personnelles dans son pays de résidence.

Nous autorisons néanmoins l’accès au Service Pokémon GO aux enfants, sous réserve de l’obtention de l’accord parental requis. Les parents peuvent donner leur consentement et procéder à toute vérification sur ce point via le Portail des parents Niantic Kids ou le Club des Dresseurs Pokémon. Pour plus de détails concernant le Club des Dresseurs Pokémon, consultez les Dispositions spécifiques relatives aux jeux, à la fin de la présente politique relative à la protection des données à caractère personnel ». Extrait de la politique de Niantic (Pokémon Go) relative à la protection des données à caractère personnel.

À défaut de confirmation, deux possibilités existent, soit le mineur ne pourra pas créer son compte soit il n’aura pas accès à certaines fonctionnalités. Par exemple, sur la plateforme Pokémon Go, un refus entraîne l’absence de la fonction « localisation », désactiver cette fonction ne pourra pas permettre au mineur d’utiliser la fonction comptabilisation des pas qui peut se faire même lorsque le jeu n’est pas activé sur son smartphone. Si confirmation il y a, le mineur pourra donner plus d’informations personnelles et accédera à toutes les fonctionnalités du jeu.

Cette double authentification pose un problème : si la géolocalisation n’est pas activée ou si le champ « nationalité » n’est pas à remplir, comment connaître la nationalité de l’enfant ? Généralement, la plateforme va déduire la localisation du mineur par l’utilisation de la langue sur le compte. Cette déduction présente de nombreuses failles notamment avec l’utilisation du français par d’autres pays que la France, par exemple. L’efficacité de cette mesure reste donc encore à prouver, d’autant plus qu’il est de plus en facile d’usurper le compte de ses parents, parfois dépassés par la technologie afin de valider soi-même son compte.

2/ Protection RGPD « Bonus +50 XP »

Certaines plateformes sont encore hésitantes à mettre en place le règlement européen, c’est pourquoi elles ne mettent en place qu’une partie des dispositions prévues. Généralement cela se matérialise par des recommandations faites au mineur en indiquant l’âge minimum pour l’utilisation de chaque service, sans prendre en compte les spécificités du pays dans lequel se trouve l’enfant. On peut donc trouver des plateformes qui mettent en place des pages relatives à la collecte des données des mineurs, sans pour autant mettre en place un système de vérification de l’âge du mineur. D’autres plateformes mettent en avant que certains services sont interdits en fonction de l’âge de l’utilisateur, sans pour autant demander une quelconque autorité parentale.

3/ Protection RGPD « Malus – 100 XP »

Force est de constater que la mise en conformité du RGPD est un vrai champ de bataille et certaine plateforme ont encore dû mal à concevoir qu’il serait temps d’aller au front.

Il est facile de remarque que certaines plateformes et jeux ne ce sont pas encore lancés dans la mise en conformité avec des politiques de confidentialité datant d’avant l’entrée en vigueur du règlement. Pire encore, certaines politiques sur la protection de la vie privée ne prévoient pas de mécanisme de vérification de l’âge, mais également la finalité des traitements des données collectées. Des amendes risquent donc de tomber, en espérant que ces dernières ne seront pas qu’un énième coup d’épée dans l’eau.

Malgré certaines plateformes réfractaires, la protection de l’enfant mineur au sein de l’Union européenne semble avoir de beau jour devant elle. On ne peut pas dire que cela soit le cas pour celui de l’enfant à naître aux États-Unis. En effet, certaines entreprises, dont Activision Blizzard, un des géants de l’industrie du jeu vidéo, payeraient ses salariées américaines 1 dollar par jour pour pouvoir accéder à leur donnée de grossesse afin d’économiser des frais de santé. Cela lui permettrait de suivre le déroulement de la grossesse, mais aussi le développement du bébé, bien que ces données soit anonymes il est possible de procéder à une réidentification de l’individu. L’herbe n’est finalement pas plus verte chez son voisin.

Source :

« Accord sur la protection de la vie privée », https://store.steampowered.com/privacy_agreement/, consulté le 11 mai 2019.

« Politique de Niantic relative à la protection des données à caractère personnel », https://nianticlabs.com/privacy/fr/, consulté le 11 mai 2019.

Riot Games, « Mise à jour de la politique de confidentialité », https://euw.leagueoflegends.com/fr/news/riot-games/announcements/mise-jour-de-la-politique-de-confidentialiten consulté le 11 mai 2019.

ISTO, « RGPD et traitement des données », https://support.riotgames.com/hc/fr/articles/360001316148-RGPD-et-traitement-des-donn%C3%A9es, publié le 19 avril 2019, consulté le 11 mai 2019.

Emmanuel Forsans, « Jeux vidéo et RGPD – quel impact sur la collecte des données ? Premier bilan », https://www.afjv.com/news/9628_jeux-video-et-rgpd-l-impact-sur-la-collecte-des-donnees.htm, consulté le 11 mai 2019.