L'éditeur français de jeux vidéo Ubisoft est actuellement ciblé par une plainte déposée par l'association de consommateurs UFC-Que Choisir auprès de la CNIL, l'autorité française de protection des données, mais également de la Noyb, une ONG autrichienne auprès de la DSB, l'équivalent national de la CNIL. Cette démarche fait suite à des allégations de non-conformité avec le Règlement Général sur la Protection des Données (RGPD) concernant la manière dont l'entreprise collecterait et utiliserait les informations personnelles de ses joueurs.
Les pratiques de collecte de données mises en cause
Selon les éléments rapportés dans la plainte, plusieurs aspects des pratiques de collecte de données d'Ubisoft seraient questionnés. Un point particulièrement soulevé est la possibilité que des données personnelles soient recueillies y compris lorsque les joueurs utilisent leurs jeux en mode hors ligne, sans connexion Internet active. L'association UFC-Que Choisir met également en avant un potentiel manque de clarté et de transparence concernant les types exacts de données qui sont collectées et les finalités pour lesquelles elles sont utilisées par l'éditeur. Des interrogations existent aussi sur le lien entre ces collectes et les mécanismes de connexion parfois imposés par Ubisoft.
Sous couvert de connexion obligatoire pour valider les clés de licences, il s'agirait en réalité pour Ubisoft de continuer à collecter des données y compris dans les parties en solo en mode local. De son côté, Ubisoft explique que ses collectes ne se font que dans un seul but : offrir une meilleure expérience de jeu.
Le RGPD et le consentement au cœur du dossier
L'ensemble du dossier repose sur l'application du RGPD, le cadre réglementaire européen qui définit des règles strictes pour la protection des données personnelles. La plainte suggère qu'Ubisoft pourrait ne pas se conformer à certains des principes clés de ce règlement. Il s'agit notamment de l'obligation d'obtenir un consentement valide (libre, spécifique, éclairé et univoque) de la part des utilisateurs avant de collecter leurs données, et du principe de minimisation des données, qui stipule que seules les informations strictement nécessaires à un objectif précis doivent être collectées. L'information fournie aux joueurs sur ces traitements de données serait également jugée insuffisante.
Ces mesures, Ubisoft les contournerait allegrement en imposant une collecte massive de données telles que les horaires de lancement et fermeture des jeux, les identifiants uniques, durées des sessions... Selon certains tests, lors d'une partie de jeu de 10 minutes, Ubisoft aurait établi pas moins de 150 connexions avec des serveurs externes qui se veulent multiples : localisés chez Amazon, Google ou encore Datadog.
Plainte à la CNIL et risques financiers potentiels
Avec le dépôt de cette plainte, UFC-Que Choisir demande formellement à la CNIL d'ouvrir une enquête pour examiner les pratiques d'Ubisoft au regard du RGPD. Si, au terme de ses investigations, la CNIL constatait des manquements avérés à la réglementation, elle pourrait décider d'imposer des sanctions à l'entreprise. Ces sanctions peuvent aller de simples rappels à l'ordre ou mises en demeure de se conformer, jusqu'à des amendes administratives. Le RGPD prévoit un plafond pour ces amendes pouvant atteindre 4% du chiffre d'affaires annuel mondial de l'entreprise, ce qui représente un risque financier non négligeable pour un acteur majeur du secteur du jeu vidéo.
En Autriche, la plainte de la Noyb est déjà effective auprès de la DSB, l'autorité autrichienne de la protection des données. L'ONG indique ainsiq que l'amende administrative pourrait "atteindre 92 millions d'euros compte tenu du chiffre d'affaires annuel d'Ubisoft, qui s'élève à plus de 2 milliards d'euros."