Protection des données personnelles des joueurs mineurs : Microsoft épinglé par la FTC

Aux Etats-Unis, la Federal Trade Commission (FTC) s’assure notamment de la bonne application du droit de la consommation. Par voie de communiqué, l’agence américaine annonce avoir épinglé Microsoft pour ne pas avoir respecté les principes de la loi COPPA (la Children's Online Privacy Protection Act) en collectant les données personnelles d'enfants inscrits à l’écosystème Xbox, sans avoir obtenu le consentement préalable de leurs parents. Pour éviter des poursuites, Microsoft transige et règlera une amende de 20 millions de dollars, en plus d’une mise en conformité de ses pratiques commerciales, étendue aux éditeurs de jeux tiers avec lesquels Microsoft partage les données de jeunes joueurs.

La FTC fait en effet le constat que pour profiter des fonctionnalités de la Xbox et de son service Xbox Live, les utilisateurs doivent créer un compte obligeant à communiquer des informations personnelles comme « leur nom et prénom, leur adresse e-mail et leur date de naissance ». Et même quand un utilisateur a indiqué avoir moins de 13 ans, le processus d’inscription imposait (jusqu’en 2021) de compléter le profil avec un numéro de téléphone et d’accepter les conditions d’utilisation de la plateforme – jusqu’en 2019, une case pré-cochée autorisait en outre Microsoft à partager les données des utilisateurs avec des annonceurs. Ce n’est qu’après la collecte de données personnelles que le joueur mineur était invité à solliciter l’accord de ses parents. Et jusqu’en 2020, les données étaient également conservées « plus longtemps que raisonnablement nécessaires ».
Certaines de ces informations étaient par ailleurs partagées avec des développeurs tiers distribuant leurs jeux sur Xbox, imposant des démarches supplémentaires aux parents souhaitant limiter la diffusion des données personnelles relatives à leurs enfants – quand les démarches étaient possibles ou que les parents pouvaient avoir accès, et donc contrôler les données collectées.

Des pratiques jugées contraires aux dispositions de la COPPA, ayant fait l’objet d'une proposition d'ordonnance déposée par le ministère de la Justice au nom de la FTC qui enjoint Microsoft à se mettre en conformité. En plus de la sanction financière, le groupe devra donc :

• Informez les parents que créer un compte distinct pour leur enfant permet d’affiner les options de protection de leurs données personnelles ;
• Obtenir une autorisation parentale pour les comptes créés avant mai 2021 si le titulaire du compte est encore mineur ;
• Établir et maintenir des systèmes permettant de supprimer, dans un délai de deux semaines à compter de la date de collecte, toutes les informations personnelles collectées auprès des jeunes utilisateurs faute d’avoir obtenu le consentement parental et de supprimer toutes les données personnelles des jeunes utilisateurs dès lors qu’elles ne sont plus nécessaires au regard des objectifs qui motivaient leur collecte ;
• Enfin, Microsoft devra avertir les éditeurs tiers de jeux vidéo que les données concernées sont les données personnelles d’un utilisateur mineur et qu’à ce titre, leur traitement doit être conforme aux dispositions de la COPPA.

L’accord passé avec la FTC et le Ministère de la justice américain doit encore être validé par un juge fédéral, mais on retiendra que les mesures de l’agence américaine ont une vocation principalement dissuasive – via la sanction financière, mais aussi et surtout par la publicité qui en est faite et les mesures de mises en conformité qui s’appliquent à Microsoft et ses partenaires.