Données personnelles et jeux vidéos

La France regrouperait 10,3 millions de « joueurs grand public » (sans classement ni compétition) dont la moitié d’individus âgés de 15 à 34 ans (Baromètre France Esports – Résultats de l’édition 2020.)

Or, qu’il soit mineur, amateur ou professionnel, le joueur a rarement conscience que son loisir a pour effet de faire circuler ses précieuses données personnelles (RGPD).

• Quelles sont les données collectées ?

• Pourquoi ?

• Comment sont-elles exploitées ?

• Est-il possible de préserver sa vie privée en jouant en ligne ?

• Quels sont les risques d’une telle collecte, notamment pour les mineurs ?

Force est de constater que les gamers peinent à y voir clair.

Données personnelles et jeux vidéo : des logiciels "datavores"

Qu'est-ce qu'une donnée à caractère personnel RGPD ?

L’article 4-1 du RGPD définit la notion de « donnée à caractère personnel » comme :

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Quelles sont les catégories de données personnelles ?

De cette définition extrêmement large, on comprend qu’il s’agit des données fournies par l’utilisateur et permettant l’identification et liées au profil : identifiant, nom, prénom, adresse, courriel, pays, numéro de téléphone, langue, date de naissance, photo de profil, mot de passe, question de sécurité, intérêts.

Il y a aussi les informations de facturation : carte de crédit ou autre numéro relatif au paiement, adresse de facturation et tous les processus : achat, assistance technique, clientèle et commerciaux (sondages, tests bêta, études de marché).

Il faut y ajouter toutes les actions en jeu (obstacles contournés, niveaux), scores, classements, trophées, amis, parties, bibliothèque de jeux, et vos succès !

Mais il y a aussi toutes les informations saisies dans les fonctionnalités : les messages texte ou vocaux, les blogs, les sondages, le contenu créé par les utilisateurs, les streams d’activité ou les réseaux sociaux.

D’autres informations sont collectées de façon passive (sans action positive de l’utilisateur). En effet, pour les joueurs en ligne, de nombreuses données personnelles sont collectées par l’intermédiaire des logiciels qui sont sur la console (p. ex Playstation), mais aussi de toutes les interactions avec ces logiciels à partir de toute interface permettant de s’y connecter (téléphone, PC, TV connectée…).

La collecte porte sur des aspects techniques qui ont un impact sur la vie privée : identifiants de réseau (adresse IP, adresse MAC), identifiants d’appareil mobile, identifiants de vos cookies ou les numéros de série, le contenu et les publicités téléchargées sur votre appareil pour les services en ligne auxquels vous accédez.

Que vous soyez en ligne ou hors ligne, il y a aussi la date et l’heure d’utilisation, les jeux ou la musique que vous avez lancés, le contenu que vous avez visionné, les services auxquels vous avez accès et la durée de leur utilisation ainsi que la fréquence à laquelle vous utilisez les applications de chat et de communication. Egalement en cas de crash, sont collectées les captures d’écran ou la vidéo capturée au moment du crash.

Sachant que la console permet d’utiliser Netflix, Spotify ou de diffuser vos parties sur Twitch et bien d’autres services, toutes les données liées à ces usages sont aussi collectées.

A partir du moment où le joueur est sur Internet, toutes les données de navigation sont collectées.

Données personnelles et jeux vidéo : Comment se protéger ?

Première protection : jouer hors ligne !

L’autre option est de paramétrer les autorisations en validant les données nécessaires au fonctionnement de la console et en bloquant la collecte de données supplémentaires.

Toutefois, les conditions d’utilisation notamment de Playstation sont de plus en plus ‘datavores’ : elles imposent une collecte étendue de données. D’ailleurs, la console offre un téraoctet (1 000 gigaoctet) de stockage. Ainsi, en achetant votre console, vous achetez en fait un lieu de collecte permanent de toutes vos données !

Pour prendre pleinement conscience de l’étendue des données collectées, il suffit d’exercer votre droit d’accès.

Cet extrait des conditions d’utilisation des logiciels Playstation illustre clairement le vaste domaine des données collectées, communiquées sous l’intitulé « Contenu généré par l’utilisateur » :

« textes, messages, commentaires, images, photographies, enregistrements vocaux, musiques, vidéos, contenus de jeux, vidéos et informations concernant un jeu ou tout autre matériau (i) créés par vous ou d’autres utilisateurs sur le PSN [PlayStation Network NDLA] et/ou (ii) partagés en ligne par vous ou d’autres utilisateurs via le PSN. »

L’utilisateur est donc producteur de contenu sans toutefois en être propriétaire.

Pour rappel, l’utilisateur peut faire savoir son opposition à l’utilisation de ses données à des fins publicitaires (marketing ciblé : publicités personnalisées, suggestions d’achat …).

Le droit à l’effacement des données (art.17 RGPD) est ici bien limité puisqu’il résulte de la suppression du compte de l’utilisateur.

Quelles sont les finalités de cette collecte ?

Concernant le Playstation Network, les données sont exploitées dans des conditions qui ne sont pas aisément accessibles. Le site renvoie à la page de ses mentions légales avec ce lien www.playstation.com/legal/PSNTerms. Si bien que l’utilisateur devrait parcourir tous ces renvois pour avoir une réponse ! Une pratique qui manque de transparence.

En prenant le temps de rechercher, on trouve des finalités telles que : l’amélioration des jeux, la publicité ciblée (vous la constatez en vous connectant sur le PlayStation Store) et des partenaires listés par catégorie tels que : fournisseurs de services, éditeurs de jeux et partenaires commerciaux entre autres.

Pour protéger les utilisateurs les plus jeunes, leurs parents devront prendre le temps de paramétrer les multiples fonctionnalités de la console afin de protéger l’intimité de la vie privée des membres du foyer.

Par exemple, on veillera à contrôler la capacité de son enfant à poster ou visionner du contenu créé par les utilisateurs, en particulier les photos, vidéos, dessins et contenu importé de sources extérieure. En effet, tous ceux-ci peuvent contenir des informations personnelles !

Cas des données personnelles des E-sportifs jouant en club

Concernant les joueurs en club, d’autres données sont collectées et traitées par le club. Il s’agit notamment des:

• données médicales,

• statistiques de performances et d’entrainement,

• informations détenues par le club sur les supporters et abonnés des joueurs,

• ainsi que les images et vidéos.

Les conditions de collecte et de traitement des données des cyber-athlètes sont déterminées par le club et doivent refléter les obligations découlant de la loi Informatique et Libertés.

Cela signifie que ce sont les clubs, les fédérations qui sont des responsables de traitements. Il leur appartient de documenter et justifier leurs modalités de protection des données personnelles en tenant des fiches de traitement et un registre. Cette mission est confiée au délégué à la protection des données qui présente des garanties d’indépendance.