L’association autrichienne noyb n’épargne personne, et sûrement pas Ubisoft.
L’organisation fondée par le militant Max Schrems a annoncé jeudi dernier avoir déposé plainte devant l’autorité autrichienne de protection des données contre l’éditeur des séries Assassin’s Creed, FarCry ou encore Rainbow Six.
Collecte de données et transferts à l’étranger
La plainte déposée par noyb s’appuie sur l’expérience d’un joueur ayant récemment acheté le jeu Far Cry Primal, un jeu édité par Ubisoft. Au lancement du jeu, pourtant prévu pour être uniquement joué en solo, celui-ci a constaté plusieurs flux de données et connexions vers des serveurs distants. Selon noyb, sur une session de 10 minutes de jeu, le plaignant a constaté plus de 150 connexions vers des serveurs distants, transférant notamment les données vers des serveurs appartenant à des sociétés américaines comme Google et Datadog.
Il a ensuite demandé à Ubisoft quelles étaient les données collectées et transmises dans le cadre de ces différentes connexions. La société lui a répondu qu’elle collectait « des données personnelles « afin de vous offrir une meilleure expérience de jeu ».
Et qu’elle utilise « des outils d’analyse tiers pour collecter des informations concernant vos habitudes de jeu et l’utilisation du produit par d’autres utilisateurs ». Mais aussi qu’elle recueille des « données de jeu » ainsi que « données de connexion et de navigation ». Le tout est associé à un identifiant unique pour chaque utilisateur. Ce qui en fait selon noyb des données personnelles au sens de la jurisprudence établie sur le sujet par la CJUE.
Une collecte superflue et donc potentiellement illégale
L’association noyb rappelle qu’à aucun moment le jeu ne demande l’autorisation de l’utilisateur pour le traitement des données personnelles. Ubisoft explique que cette collecte est nécessaire pour lutter contre le piratage des jeux. Mais noyb rappelle que Steam, la plateforme utilisée pour acheter et lancer le jeu, se charge déjà de cette vérification.
Ubisoft assure également que les données sont collectées pour « améliorer l’expérience de jeu ». Mais noyb rappelle que dans ce cas là, le jeu doit demander le consentement de l’utilisateur avant de transmettre ces données.
Selon les juristes de noyb, le RGPD n’autorise le traitement de ce type de données que dans le cas ou l’utilisateur donne l’autorisation expresse. Ou bien si elles sont nécessaires au fonctionnement du service. Mais Ubisoft propose également un mode hors ligne permettant de jouer au jeu sans se connecter à internet. La collecte de données n’est pas ici nécessaire au fonctionnement du jeu. L’association demande donc à l’éditeur français de cesser ces pratiques qu’elle juge « illégales ».
La transparence, de gré ou de force
Ubisoft a publié au mois d’avril son premier « rapport de transparence sur la sécurité des joueurs d’Ubisoft ». Il s’agit d’une obligation au titre du règlement européen sur les services numériques.
Dans celui ci, l’éditeur explique notamment les mesures mises en œuvre pour modérer les propos de ses utilisateurs sur ses plateformes en ligne. Par exemple la façon dont Ubisoft inspecte les pseudonymes et les échanges textuels à l’aide d’outils de détection automatisés.
Le rapport recense également les différentes demandes émises par les autorités des États membres et les actions prises en conséquence. Mais aussi les actions de modérations prises suites aux signalements émis par les utilisateurs et les associations « signaleurs de confiance« . Au total, Ubisoft explique avoir pris un peu plus de 95 000 actions suite à des signalements d’utilisateurs. Mais n’avoir reçu aucun signalement émanant d’un signaleur de confiance.