RGPD et jeux vidéos

Le Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Les entreprises ont appris à se plier, bon gré mal gré, à ses exigences. Mais, certains domaines semblent plus en retard que d’autres. Ainsi, les jeux vidéos en ligne font partie des mauvais élèves puisque 90% des jeux mobiles ne seraient pas conformes au RGPD, selon une étude d’Usercentrics.

Or, ce secteur n’échappe pas aux radars de la Commission nationale de l'informatique et des libertés (CNIL) qui a sanctionné le 29 décembre 2022, l’entreprise Voodoo, éditrice de jeux pour mobile, d’une amende s’élevant à 3 millions pour défaut de conformité.

Afin de comprendre les enjeux du RGPD en matière de jeux vidéos, penchons-nous sur plusieurs sujets.

• En quoi ce secteur est-il spécifique pour le traitement des données ?
• Quelles sont les priorités pour se mettre à jour ?

Jeux vidéos : quelles sont les données concernées ?

Les données personnelles : de quoi parle-t-on au juste ?

Une donnée personnelle est définie comme toute information liée à une personne physique qui peut être identifiée directement ou indirectement.

Classiquement, une identification directe pourrait se produire si la personne utilise son vrai nom et prénom comme nom d'utilisateur pour jouer ou télécharger des fichiers.

Là où l’affaire devient compliquée, c’est lorsqu’on touche à l’identification indirecte. Ici, plusieurs faisceaux d’indices peuvent amener les entreprises de jeux vidéos à cerner les individus au travers de leurs :

• comportements ;
• préférences de consommation ;
• profils sociologiques ;
• lieux géographiques ;
• voix lorsqu’il s’agit d’une plateforme multijoueurs ;
• statistiques de jeux.

Dans le feu de l’action, les joueurs ne se rendent pas compte de la quantité de données qu’ils sèment sur leur passage. Il appartient ainsi aux éditeurs de jeux de ne pas déraper !

La particularité du domaine des jeux vidéos : la jeunesse des utilisateurs

La spécificité du secteur réside dans le fait qu’on touche rapidement les enfants. En effet, les jeux vidéos en ligne font partie du quotidien des mineurs. Sur smartphone ou sur ordinateur, 72 % des enfants âgés de 9 à 16 ans en France y jouent au moins une fois par semaine.

Si vous êtes dans le business du jeu vidéo, la vigilance est de mise. Le sujet des mineurs est de plus en plus sensible comme en témoigne l’amende record de 405 millions d’euros infligée à Instagram qui avait rendu publics les numéros de téléphone et les mails d’utilisateurs de moins de 18 ans.

Un exemple plus parlant est l’amende de 800.000 euros prononcée par la CNIL le 10 novembre 2022 à l’encontre de Discord qui propose aux utilisateurs un canal de communication pendant les jeux. La sanction a notamment été justifiée par l’utilisation de ses services par un grand nombre de personnes mineures.

Éditeurs de jeux vidéos et RGPD : les étapes de mise en conformité

Conformité RGPD : les bases à mettre en place

Étape 1 - Audit et analyse des données récoltées

La première étape consiste à identifier toutes les données personnelles collectées par le jeu vidéo :

• les noms d'utilisateur ;
• les adresses e-mail ;
• les informations de paiement ;
• les adresses IP ;
• les informations sur le comportement du joueur ;
• les données de localisation, etc.

En somme, effectuez une cartographie des informations que vous avez dans votre base de données et conservez seulement celles qui sont absolument nécessaires pour le bon fonctionnement du jeu.

Étape 2 : Justification de la collecte

Il peut être tentant de récolter massivement des données d’autant plus que les joueurs seront moins méfiants concernant leur vie privée dans un contexte ludique.

Néanmoins, chaque information doit trouver une justification légale, aussi appelée “base légale” (article 6 RGPD), parmi lesquelles :

• le consentement ;
• le contrat ;
• l’obligation légale ;
• la sauvegarde des intérêts vitaux ;
• l’intérêt public ;
• les intérêts légitimes.

Cette étape est le moment propice pour rédiger votre registre de traitements pour avoir une vision claire de votre politique de conformité. Attention, la collecte des informations personnelles des joueurs est essentiellement autorisée que sur deux fondements légaux : le consentement explicite ou l’exécution du contrat (de vente du jeux par exemple).

Étape 3 - Information et consentement

Les entreprises de jeux vidéos doivent réellement être proactives pour informer des joueurs passionnés enclins à donner un accord dont ils ne comprennent pas toujours la portée. Veillez à tenir à jour une Politique de confidentialité accessible, claire et transparente.

Obtenir un consentement libre, éclairé et sans ambiguïté nécessite une information claire et facile à comprendre (ce qui n’est pas toujours le cas lorsqu’on prend connaissance des CGU et de la politique de confidentialité des entreprises).

Étape 4 - Droits des personnes concernées

Les individus doivent rester maîtres de leurs données. À ce titre, vous devez donner la possibilité à chaque personne d’exercer leurs droits :

• le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
• le droit de rectification permet la modification et la correction des données personnelles ;
• le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
• le droit à l’effacement permet d’obtenir l’effacement de ses données ;
• le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
• le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
• le droit à l’intervention humaine face à un profilage.

Étape 5 - Sécurité des données

Le piratage de données bancaires est un des risques associés aux jeux vidéo en ligne. Les éditeurs de jeux vidéos doivent donc prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

La CNIL préconise une approche en 4 étapes :

• Étude du contexte : décrire les traitements de données et leur importance.
• Étude des mesures : identifier les mesures de protection des données en place ou prévues.
• Étude des risques : estimer les risques liés à la sécurité des données et leur impact sur la vie privée.
• Validation : valider la manière dont il est prévu de traiter les risques, ou bien refaire une itération des étapes précédentes.

Jeux vidéos et mineurs : les 8 recommandations de la CNIL

Si vos jeux vidéos concernent aussi les mineurs, des précautions complémentaires devront être prises. La CNIL a établi 8 recommandations pour protéger leur vie privée (à vous d’adopter les actions adéquates !) :

• encadrer la capacité d’agir des mineurs en ligne ;
• encourager les mineurs à exercer leurs droits ;
• accompagner les parents dans l’éducation au numérique ;
• rechercher le consentement d’un parent pour les mineurs de moins de 15 ans ;
• promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant ;
• renforcer l’information et les droits des mineurs par le design ;
• vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ;
• prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant.

Jeux vidéos et RGPD : comment Leto peut-il vous aider ?

1- Cartographie des données personnelles et un mapping complet de votre conformité ;

2- Registre de traitement intelligent avec des informations pré-remplies ou suggérées en fonction des sources de données et des typologies de données (durée de conservation, transfert hors UE...) ;

3- Exercice des droits grâce à un espace personnalisé où vos utilisateurs peuvent faire leur demande d'exercice de droits avec en prime, le suivi de l’avancement du traitement.

Bonus : un onboarding personnalisé et un S.A.V réactif à la moindre question ! N'hésitez pas à réserver une démo du logiciel RGPD Leto !

‍