Le géant français du jeu vidéo Ubisoft est dans la ligne de mire de l’association autrichienne Noyb (pour None of your business), qui vient de déposer une plainte officielle pour violation du règlement général sur la protection des données. L’organisation accuse l’éditeur de collecter illégalement des données personnelles, même lorsque les joueurs jouent hors ligne.
Une collecte de données jugée excessive
La plainte, adressée à la DSB -qui est l’équivalent autrichien de la CNIL- vise spécifiquement la manière dont Ubisoft oblige les utilisateurs à se connecter à Internet et à créer un compte Ubisoft, et ce, même pour jouer à des titres solo, hors ligne, comme Far Cry Primal.
Selon Joakim Söderberg, juriste chez Noyb, c’est comme si Monsieur Monopoly s’invitait à votre table pour prendre des notes à chaque partie. L’association affirme qu’il est quasiment impossible de jouer sans connexion et que l’option pour le faire est volontairement cachée.
150 connexions en 10 minutes de jeu
Noyb s’appuie sur le témoignage d’un joueur ayant analysé les connexions établies pendant une simple session de jeu. En dix minutes, Far Cry Primal aurait établi environ 150 connexions vers des serveurs tiers, notamment ceux de Google et Amazon. Le contenu exact de ces échanges reste inconnu, les transmissions étant cryptées.
L’association rappelle que, selon l’article 6 du RGPD, un tel traitement de données ne peut être légal qu’avec le consentement explicite de l’utilisateur ou s’il est nécessaire, ce qui ne serait pas le cas ici selon elle. Fort du chiffre d’affaires d’Ubisoft (plus de 2 milliards d’euros), elle demande à la DSB d’infliger une amende administrative pouvant aller jusqu’à 92 millions d’euros. Une somme colossale, mais prévue par la législation européenne en cas de violation grave et systémique.
Article 6 - RGPD - Extraits Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Image NOYB
Ubisoft se défend et mise sur la transparence
Contacté par plusieurs médias, Ubisoft rejette les accusations de collecte illégale. L’éditeur affirme qu’une connexion n’est exigée que lors du premier lancement, afin de valider l’achat et lier le jeu au compte utilisateur. Ubisoft s’engage à protéger les données personnelles des joueurs sur ses sites et jeux, précise un porte-parole, ajoutant que les données collectées en ligne servent à optimiser les performances des jeux.
La décision est désormais entre les mains de l’autorité autrichienne, qui doit examiner la plainte avant de statuer sur une éventuelle sanction. Pour Ubisoft, cette affaire soulève une question plus large sur la transparence et le respect du consentement dans l’univers du jeu vidéo en ligne.
Les pratiques par défaut des plateformes se trouvent désormais scrutée de près, car elles imposent souvent des connexions systématiques. La tension grandit entre confort d’usage, sécurité et vie privée, des points que l’Europe commence à encadrer de plus en plus fermement.
