Aujourd'hui, noyb a déposé une plainte contre le développeur et éditeur français de jeux vidéo Ubisoft (connu pour Assassins Creed, Far Cry, Prince of Persia). L'entreprise oblige ses clients à se connecter à l'internet chaque fois qu'ils lancent un jeu solo. C'est le cas même si le jeu ne comporte aucune fonction en ligne. Cela permet à Ubisoft de recueillir les habitudes de jeu des joueurs. L'entreprise recueille notamment des données sur le moment où vous démarrez un jeu, sur la durée de celui-ci et sur le moment où vous le fermez. Même après que le plaignant ait explicitement demandé pourquoi il était obligé d'être en ligne, Ubisoft n'a pas divulgué les raisons de cette pratique. En vertu de l'article 6(1) RGPD, aucune base légale n’apparaît valable pour collecter de manière aléatoire de telles données d'utilisateur.
Jeux hors ligne - avec obligation d'être en ligne. La plupart des jeux vidéo proposés par le développeur et éditeur français Ubisoft sont conçus pour être joués par un seul joueur. Parmi les offres les plus populaires de cette catégorie figurent les franchises Assassins Creed, Far Cry et Prince of Persia. Bien que ces jeux puissent être joués sans interaction avec d'autres joueurs, Ubisoft oblige les joueurs PC à se connecter à internet et à ouvrir un compte Ubisoft avant de pouvoir jouer à un jeu acheté. C'est ce qui est arrivé au plaignant : Après avoir acheté le jeu "Far Cry Primal" d'Ubisoft sur le marché en ligne Steam, il a essayé de le lancer en étant déconnecté, mais il s'est rendu compte que ce n'était pas possible. Au lieu de cela, il a été contraint de se connecter à un compte Ubisoft avant de pouvoir commencer à jouer.
Joakim Söderberg, juriste spécialiste de la protection des données chez noyb: "Imaginez que l'homme du Monopoly s'assoit à votre table et prenne des notes chaque fois que vous voulez jouer à un jeu de société avec votre famille ou vos amis. C'est la réalité des jeux vidéo. Souvent, le fait que les jeux soient joués en ligne ou hors ligne n'a même pas d'importance. Dès lors que vous disposez d'une connexion internet ouverte lorsque vous jouez, vos données sont collectées et analysées."
Collecte secrète de données. Pour en savoir plus sur les pratiques d'Ubisoft en matière de collecte et de suivi des données, le plaignant a déposé une demande d'accès en vertu de l'article 15 du RGPD. Ubisoft a répondu en fournissant des informations telles qu'un identifiant unique pour le plaignant et des informations sur le moment où il a lancé le jeu, la durée du jeu et le moment où il l'a quitté. Le plaignant, qui s'y connaît en technologie, a en outre examiné quelles données exactes étaient envoyées à Ubisoft lorsqu'il jouait. Il a découvert qu'en l'espace de 10 minutes seulement, le jeu avait établi 150 fois une connexion avec des serveurs externes. Parmi les destinataires des données du plaignant : Google, Amazon et l'entreprise américaine de logiciels Datadog.
Jeu du chat et de la souris pour obtenir plus d'informations. Pour tenter d'en savoir plus, le plaignant a également contacté le service clientèle d'Ubisoft. Dans sa réponse, Ubisoft a affirmé qu'elle effectuait simplement une vérification de la propriété au moment du lancement. Pour le reste, le plaignant a été renvoyé au contrat de licence utilisateur final (CLUF) et à la politique de confidentialité de la société. Ubisoft y confirme qu'elle collecte des données personnelles "afin de vous offrir une meilleure expérience de jeu" et qu'elle utilise "des outils d'analyse tiers pour collecter des informations concernant vos habitudes de jeu et l'utilisation du produit par d'autres utilisateurs" et qu'elle recueille des "données de jeu" ainsi que "données de connexion et de navigation".
Ce n'est pas nécessaire - et c'est donc illégal. Le problème, c'est que le plaignant n'a jamais consenti à ce traitement. Conformément à l'article 6(1) RGPD, cela signifie que le traitement n'est légal que s'il est nécessaire - ce qui n'est pas le cas pour le plaignant. Ayant acheté le jeu sur Steam, la propriété est déjà confirmée. De plus, Ubisoft propose une option (cachée) pour jouer au jeu hors ligne, ce qui montre que le traitement de toutes les données à caractère personnel dans le cadre de la configuration standard n'est pas réellement nécessaire. Et même si c'était le cas, cela n'expliquerait pas la collecte de données pendant le jeu. Si Ubisoft a besoin de données pour améliorer un jeu, il lui suffit de demander le consentement des utilisateurs. La société peut également demander aux joueurs s'ils souhaitent envoyer des rapports de bogues individuels à ses serveurs. Toutefois, il ne semble pas légal que l'ordinateur d'un utilisateur envoie par défaut des rapports constants.
Lisa Steinfeld, également spécialisée dans la protection des données chez noyb: "Les jeux vidéo sont déjà chers, mais cela n'empêche pas des entreprises comme Ubisoft de forcer leurs clients à jouer inutilement en ligne à des jeux hors ligne, simplement pour pouvoir gagner plus d'argent en suivant leur comportement. Les actions d'Ubisoft sont clairement illégales et doivent cesser".
Plainte déposée en Autriche. noyb a donc déposé une plainte RGPD auprès de l'autorité autrichienne de protection des données (DSB). Nous demandons à la DSB de déclarer qu'Ubisoft a enfreint l'article 6(1) RGPD en traitant des données personnelles sans base juridique valable. En outre, nous demandons qu'Ubisoft supprime toutes les informations personnelles du plaignant qui ont été traitées sans base juridique valable - et que la société cesse tout autre traitement illégal. Enfin, nous suggérons que l'autorité de protection des données impose une amende administrative. Sur la base du chiffre d'affaires d'Ubisoft, qui s'élève à 2 milliards d'euros, l'autorité de protection des données pourrait infliger une amende allant jusqu'à 92 millions d'euros.
