Epic Games est une entreprise américaine de développement de jeux vidéo et de logiciels fondée en 1991, elle est surtout connue pour son jeu en ligne à succès : « Fortnite » qui est devenu l’un des jeux les plus populaires au monde. Cependant, plus un jeu sera connu, plus il aura d’utilisateurs et plus les données recueillies seront immenses et la protection des données est un enjeu crucial dans le secteur des jeux vidéo en raison du nombre conséquent d’informations personnelles partagées. Dans le cas où ces informations seraient compromises, les risques d’atteintes à la vie privée n’en seraient que multipliés. Il est donc important pour les développeurs de jeux et les plateformes de jeux en ligne de prendre les mesures nécessaires afin de protéger les données de leurs utilisateurs, notamment lorsque ceux-ci sont mineurs en raison de leurs vulnérabilités.
La protection des mineurs : un enjeu universel
Le 19 décembre 2022, la Fédéral Trade Commission qui est chargée de garantir les bonnes pratiques commerciales afin que celles-ci soient justes et équitables pour les consommateurs aux États-Unis, et qui trouve son équivalent dans la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) en France, a condamné d’une sanction record de 520 millions de dollars l’entreprise américaine de jeux vidéo Epic Games pour n’avoir pas suffisamment protégé ses utilisateurs mineurs. En effet, la FTC a reproché à Epic Games d’avoir récolté les données personnelles des joueurs mineurs sans avoir obtenu au préalable l’accord des parents ou des représentants légaux et donc en outre, de ne pas avoir respecté la loi COPPA. Ce n’est pas tout puisque la firme américaine a également été accusée d’avoir mis en place des stratégies, plus communément appelé des « dark patterns », ayant incité les joueurs mineurs à procéder à des achats, en plus de les avoir exposés à du cyberharcèlement sur la plateforme de jeu. La sanction a donc été divisée en deux parties : 275 millions de dollars pour les manquements à la loi COPPA et 245 millions de dollars pour indemniser les consommateurs des préjudices financiers subis par les stratagèmes mis en place par Epic Games.
Pourquoi une telle sanction ?
Pour comprendre l’origine de cette sanction à l’égard de la collecte des données, il faut revenir à la source : la célèbre loi américaine COPPA qui signifie « Child Online Privacy Protection Act » conditionne la collecte, l’utilisation et la divulgation des données personnelles des mineurs de moins de 13 ans sur des sites web et des services en ligne, au consentement des parents ou des représentants légaux. Cette loi s’applique aussi bien aux entreprises américaines qu’aux entreprises étrangères qui cibleraient spécialement les données personnelles des enfants aux États-Unis, telles que les noms, les prénoms, les adresses, les numéros de téléphone ou encore les informations relatives aux modes de paiements. En effet, c’est dans une lettre adressée à BabyBus, application développée par une société chinoise, que la FTC a affirmée que la loi COPPA s’appliquait bien aux sites web et services en ligne basés à l’étranger, mais qui offraient leurs produits ou services aux États-Unis. En somme, cette loi vise donc à protéger la vie privée des enfants sur internet, mais également à aider les parents à contrôler les données que les entreprises seraient susceptibles de collecter à leur sujet ou concernant leurs enfants.
Ainsi, au terme de la loi COPPA, le responsable de traitement est soumis à certaines obligations afin que la collecte des données personnelles des mineurs soit légale. Il doit pour cela : fournir des mentions décrivant ses pratiques en matière de traitement des données à caractère personnel, obtenir le consentement des représentants légaux avant de collecter les données (obligation qui se traduit quant à elle par une obligation de moyens), permettre aux représentants légaux de revoir et de demander l’effacement des données à caractère personnel collectées au sujet de leurs enfants, limiter la collecte aux données nécessaires ou encore protéger les données contre un accès non autorisé. Ainsi, il semblerait qu’Epic games ait ignoré ses obligations.
Par conséquent, Epic games a été condamné a 275 millions de dollars et devra, de plus, supprimer de tous ses serveurs les données personnelles de ses utilisateurs mineurs récoltées de manière frauduleuse.
Dark Patterns ou Comment manipuler les consommateurs en un simple clic ?
Epic games a frappé fort ! Le développeur de jeux vidéo a également mis en œuvre des manœuvres trompeuses et déloyales afin de tromper ses joueurs et de les amener à faire des achats involontaires et non consentis. Ce phénomène est également appelé « dark patterns » et consiste en l’élaboration de techniques trompeuses ou en la conception même d’une interface conçue de manière illusoire afin de manipuler l’utilisateur à faire des choix qui vont à l’encontre de ses intérêts. Les Dark Patterns incluent des tactiques telles que la dissimulation d’option, la confusion de la terminologie et la distraction visuelle pour encourager les utilisateurs à donner des informations personnelles, à acheter des produits ou à effectuer d’autres actions qui profitent à l’entreprise plutôt qu’à l’utilisateur.
En effet, le célèbre jeu Fortnite possède en son sein une boutique en ligne permettant d’améliorer l’expérience utilisateur du jeu par l’acquisition de plusieurs spécificités. Cependant, la plateforme étant semée de nombreux pièges, celle-ci a tout naturellement mené les utilisateurs a effectuer des achats par le biais de simples clics, sans possibilité de revenir en arrière puisqu’aucune fenêtre d’alerte invitant le consommateur à confirmer son achat ou à y renoncer n’est proposée, ou qu’aucune confirmation parentale n’est requise, notamment lors de l’achat des fameux V-Bucks (monnaie virtuelle du jeu). C’est notamment ce qu’a expliqué la FTC : « La configuration contre-intuitive, incohérente et déroutante des boutons de Fortnite a conduit les joueurs à encourir des frais non désirés en appuyant sur un simple bouton ».
De plus, lorsqu’une procédure de remboursement est ouverte, celle-ci se trouve être lente et fastidieuse, tout laissant indiquer qu’Epic Games souhaiterait dissuader son client d’obtenir la somme qu’il s’est fait « illégitimement » prélever. D’après la FTC, c’est près d’un million d’utilisateurs qui s’étaient déjà plaints de la difficulté à obtenir un remboursement ou à annuler des achats. Le développeur du jeu ne se cache d’ailleurs pas de l’absence de fonctionnalité permettant de prévenir les clients des achats qu’ils sont en train d’effectuer puisqu’il a lui-même déclaré concernant la mise en place de notification de confirmation, que cela ajouterait « des frictions » dans l’expérience et réduirait les « achats d’impulsion ».
Par ailleurs, La FTC a dressé une liste relative aux pratiques trompeuses de la part d’Epic Games qui lui ont permis de tromper ses utilisateurs au moment des achats : par exemple, sur le même jeu mobile, les boutons « Acheter » et « Prévisualiser l’objet » sont si proches qu’ils mènent l’utilisateur à commettre une erreur, ou encore le fait qu’il y ait une confusion des boutons permettant de valider l’achat sur console et qui mène une fois de plus à commettre l’acte d’achat sans forcément le vouloir.
Par conséquent, Epic Games est condamné à payer 245 millions de dollars pour manque de transparence dans le système de transaction du jeu vidéo sous forme de remboursement au bénéfice des utilisateurs pour avoir mené de jeunes joueurs à dépenser des sommes astronomiques à l’insu de leurs parents, et parfois même à leur propre insu. De plus, l’entreprise a également veillé à mettre en place des « comptes cabinés » qui vont permettre de désactiver automatiquement les fonctions d’achats en ligne ou le chat vocal lorsque les joueurs sont en dessous de l’âge légal requis pour le libre consentement (15 ans en France et 13 ans aux États-Unis). Également, une limite de dépense a été instaurée, ainsi qu’un système de double validation pour les paiements et le choix de ne pas enregistrer un système de paiement.
Des conséquences allant au-delà de la simple violation de la vie privée
Enfin, les paramètres et fonctionnalités du jeu ont également permis le harcèlement en ligne auprès des jeunes utilisateurs, notamment par les fonctions de communication vocales et textuelles activées par défaut. Ainsi, dans un communiqué, la FTC a déclaré que « ces paramètres par défaut […] ont porté préjudice aux enfants et aux adolescents ».
En effet, certains mineurs auraient ainsi été exposés à de l’intimidation, des menaces ou du harcèlement, y compris sexuel par des adultes qui pouvaient librement envoyer des messages à des mineurs, ce qui aurait laissé pour certains d’entre eux des séquelles psychologiques traumatisantes allant parfois même au suicide… Pourtant, cette mauvaise pratique avait déjà fait l’objet d’un premier signalement par un employé d’Epic Games en 2017.
Par conséquent, Epic Games devra donc adopter de nouveaux paramètres de confidentialité par défaut pour les enfants et les adolescents qui permettront de restreindre et de désactiver les fonctionnalités telles que le micro et les chats afin de veiller à la sécurité des utilisateurs mineurs. De surcroît, les mineurs de 13 ans ne devront plus avoir accès à ce type de fonctionnalité dans les jeux en ligne en général, sauf si ces derniers disposent d’un accord explicite des parents ou des représentants légaux.
Ainsi, Epic games a accepté tous les torts qui lui sont reprochés et s’engage à rembourser les utilisateurs lésés par ses pratiques douteuses, à mettre en place des fonctionnalités permettant de protéger les données personnelles des mineurs, d’expliciter le mode opératoire lors d’un achat et de protéger les utilisateurs mineurs des dangers numériques tels que le cyberharcèlement. Epic games souhaite par ce geste, expliquer sa volonté d’avancer sur la question de la protection des consommateurs : « Nous avons accepté cet accord parce que nous voulons qu’Epic soit à la pointe de la protection des consommateurs et offre la meilleure expérience à nos joueurs ». Pour la FTC, cette amende record servira d’exemple et dissuadera n’importe quelle entreprise de n’importe quel secteur à violer les règles relatives à la protection des mineurs en général. Elle a d’ailleurs affirmé que :
« Protéger le public, et plus particulièrement les enfants, des invasions de la vie privée et de pratiques déceptives est un objectif majeur pour la Commission ».
Fédéral Trade Commission
Source :