L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureL’association NOYB porte plainte contre Ubisoft pour violation du RGPD
L’organisation autrichienne accuse l’éditeur de jeux vidéo de forcer ses utilisateurs à se connecter en ligne. Elle estime à 90 millions d’euros l’amende méritée.
Un géant tricolore bientôt dans la panade ? Selon nos informations, la célèbre organisation autrichienne de protection de la vie privée None Of Your Business vient de porter plainte contre Ubisoft, l’éditeur des fameux jeux Prince of Persia, Assassin’s Creed ou encore Far Cry. La structure fondée par le juriste et activiste Max Schrems accuse le groupe de plusieurs violations flagrantes du règlement général sur la protection des données (RGPD) s’agissant des titres qui se jouent en « solo » mais nécessitent malgré tout une connexion en ligne. Le dossier, déposé devant l’Österreichische Datenschutzbehörde, l’autorité autrichienne chargée de la protection des données à caractère personnel, pourrait tôt ou tard arriver devant la Commission nationale de l’Informatique et des Libertés (CNIL), puisque l’éditeur a son siège en France. Auprès de l’Informé, l’association considère que l’éditeur pourrait se voir infliger une amende de plus de 90 millions d’euros. Nous avons pu consulter sa plainte.
À en croire les engagements d’Ubisoft, qui a enregistré un chiffre d’affaires consolidé de 2,3 milliards d’euros l’an passé, seules sont collectées les informations utiles « pour améliorer l’expérience utilisateur ainsi que le contenu » des jeux. Selon son dernier rapport annuel, l’entreprise voit même dans le RGPD « une opportunité de renforcer la relation de confiance établie avec les joueurs et joueuses, ainsi qu’avec toutes ses équipes à travers le monde ». Du côté de NOYB, l’analyse est bien plus contrastée. L’association autrichienne reproche à l’éditeur français de forcer les utilisateurs à se connecter en ligne pour accéder à des jeux en solo. L’un d’entre eux, qu’elle représente dans sa plainte, a acheté « Far Cry Primal » sur la plateforme Steam (éditée par Valve). « Il a été contraint de se connecter à un compte Ubisoft avant de pouvoir commencer à jouer », assure l’organisation Et à cette occasion, plusieurs flux de données personnelles ont été repérés.
S’appuyant sur le règlement européen, le gamer a demandé un accès aux éléments que le groupe avait collectés le concernant. Après analyse de ces datas, il a acquis la conviction que l’éditeur avait identifié, via son « ID », quand il avait lancé le titre et s’était arrêté. En examinant les flux, il a également relevé que quelque 150 requêtes entrantes et sortantes avaient été envoyées en une dizaine de minutes de jeu, notamment via Google, Amazon ou Datadog, une solution américaine d’analyse des applications en ligne. Impossible d’en savoir plus, ces informations étant chiffrées. Selon un échange avec le service client, des informations seraient effectivement traitées lors du lancement du jeu pour permettre de vérifier la pleine propriété de la licence, mais aucune explication n’a été fournie sur les informations transférées par la suite aux autres acteurs tiers, pas plus que dans le contrat de licence utilisateur final (CLUF). Le plaignant considère qu’il ne dispose d’aucun choix pour la mise en œuvre ou non de ces traitements, qui mêlent des outils d’analyse avec des données destinées à améliorer l’expérience utilisateur.
Le service lui a tout de même indiqué l’adresse d’une page expliquant comment jouer hors ligne. Mais la situation ne convient pas à NOYB. « Ayant acheté le jeu sur Steam, la propriété est déjà confirmée. De plus, Ubisoft propose une option (cachée) pour jouer au jeu hors ligne, ce qui montre que le traitement de toutes les données à caractère personnel dans le cadre de la configuration standard n’est pas réellement nécessaire. Et même si c’était le cas, cela n’expliquerait pas la collecte de données pendant le jeu. », explique l’association Selon l’organisation, si l’éditeur doit collecter des données pour améliorer l’expérience utilisateur, il doit à tout le moins obtenir le consentement libre du joueur. Faute de quoi, la structure dénonce une violation de l’article 6 du RGPD, relatif aux bases juridiques des traitements, mais également de l’article 5, qui exige que les données personnelles soient traitées « de manière licite, loyale et transparente ». Elle suggère aux autorités compétentes d’imposer une amende administrative à hauteur du parc d’utilisateurs (138 millions joueurs sur l’exercice 2023-2024) et du chiffre d’affaires d’Ubisoft.
Contacté, Ubisoft nous indique qu’ « une connexion n’est obligatoire qu’au premier lancement du jeu pour valider l’achat et ajouter le jeu au compte du joueur. Ensuite, nos jeux solos peuvent être joués hors ligne si le joueur le souhaite ». Quant aux données collectées lorsque le joueur joue en ligne, elles « sont utilisées pour améliorer les performances du jeu », étant précisé que « les joueurs peuvent contrôler leurs données personnelles via notre Centre de confidentialité »
