Le traitement des données à caractère personnel dans le jeu vidéo
Avant de pouvoir envisager la manière par laquelle le RGPD s’applique aux jeux vidéo, avec des enjeux tout particulier sur le jeu en ligne, il convient de tout d’abord mettre en avant quelques particularités de l’écosystème du jeu vidéo. La multiplicité des acteurs, dont certains portent parfois plusieurs casquettes, peut complexifier l’étape préalable indispensable de la qualification des responsabilités relatives aux traitements de données à caractère personnel.
Soulignons que nous pouvons répartir les acteurs de cette industrie en deux grandes catégories : les éditeurs de jeux et les éditeurs de plateforme (qui sont majoritairement basés en dehors de l’UE).
Les éditeurs de jeux et les éditeurs de plateforme
L’éditeur de jeu est l’entité qui possède les droits d’exploitation du jeu, qu’elle soit à l’origine de son développement ou non. L’éditeur de plateforme va, lui, mettre à disposition une plateforme pour accéder à ces jeux ou pour s’y constituer une bibliothèque dématérialisée. On trouve parmi ces acteurs des incontournables comme le géant américain Valve et sa plateforme Steam (environ 50 millions d’utilisateurs quotidiens). Le Game as a Service s’est également grandement développé et on peut désormais accéder à de vastes catalogues de jeux contre le paiement d’un abonnement. Dans le même esprit, il existe également le cloud gaming : le fait pour un service de proposer de jouer à des jeux en streaming contre le paiement d’un abonnement, permettant ainsi au joueur de faire l’impasse sur l’acquisition de PC ou consoles dont les prix sont aujourd’hui très élevés. Ce type de service n’est cependant plus d’actualité après l’échec retentissant de Stadia, l’offre de Google, et la fin de service de Shadow, depuis racheté par OVH.
Il y a quelques années, les jeux étaient quasi essentiellement vendus sous format physique (CD ou cartouche) compatible avec une console particulière ou un PC, et y jouer ne nécessitait pas de formalité particulière telle que la création d’un compte sur une plateforme ou l’accès à une connexion internet. Ce modèle, devenu de nos jours extrêmement minoritaire, n’intéresse pas les experts de la protection des données dans la mesure où la collecte de données à caractère personnel y est limitée.
Aujourd’hui, une grande majorité de jeu fonctionne via le duo jeu/plateforme et, dans un grand nombre de cas, la création d’un compte en ligne ou l’accès à internet sont des conditions préalables indispensables pour jouer aux jeux, y compris lorsqu’il s’agit de jeux « solos » (qui ne permettent pas de jouer en ligne avec d’autres joueurs). C’est le choix qu’a notamment fait Activision Blizzard avec son très attendu Diablo 4, qui confirme une certaine volonté des industriels du jeu vidéo de collecter de plus en plus de données sur les joueurs. Il est à noter que dans ce cas d’espèce, Activision Blizzard est à la fois éditeur du jeu et de la plateforme pour y accéder puisque le studio a développé lui-même le jeu et le propose sur sa propre plateforme Battle.net.
Le cas des consoles est à considérer car elles intègrent systématiquement une boutique en ligne, sur laquelle les trois plus gros acteurs de ce marché (Sony, Microsoft et Nintendo) proposent tous des formules d’abonnement. Les nouveaux modèles économiques des industriels du jeu vidéo ont générés de nouveaux vecteurs de jeux tributaires d’une collecte de données à caractère personnel de plus en plus massive. Une collecte qui est au surplus majoritairement mise en œuvre par des acteurs situés en dehors de l’Espace Economique Européen : se pose donc la question des transferts.
Le contexte de l’écosystème du jeu vidéo au travers du prisme du RGPD
Les évolutions des modèles économiques du jeu vidéo tendent toutes vers la même constante : des volumes de données à caractère personnel toujours plus grands, assortis d’une typologie de données beaucoup plus vaste et de transferts de données multiples en dehors de l’UE. Cet état des lieux nous renvoie naturellement à certaines questions spécifiques en matière de protection des données à caractère personnel.
Dans le cadre de cette analyse, nous laisserons de côté la question des hébergeurs. Soit les acteurs cités disposent de leurs propres serveurs, soit ils font appel à un tiers, auquel cas les règles liées à cette relation sont les mêmes que pour les hébergements de données classiques.
A. Focus sur les transferts de données hors UE
Si l’on exclut le breton Ubisoft, l’Europe ne compte pas de grande plateforme. Valve et Microsoft aux États-Unis, Nintendo et Sony au Japon, et le cas sensible de Riot, entreprise américaine détenue par Tencent, une entreprise chinoise multimédia à l’influence énorme sur le monde numérique, sont quelques-uns des acteurs disposant aujourd'hui d’une position quasi hégémonique sur le secteur du jeux vidéo.
Dès lors, la question de l’encadrement des transferts de données en dehors de l’espace économique européen se pose de façon très pertinente. Les acteurs de cette économie sont tenus de mettre en place des garanties pour que les données de joueurs européens soient traitées selon des modalités équivalentes à celles prévues par le RGPD. Notons qu’en l’absence de nouvelle décision d’adéquation et de modification du droit américain, il apparait comme très difficile de mettre en conformité des transferts vers les États-Unis.
B. L’identification contextuelle des responsabilités au sens du RGPD
Certains acteurs du gaming peuvent conserver la maîtrise de leur produit de bout en bout. Parfois, ces acteurs de premier plan reçoivent également sur leur plateforme des jeux d’éditeurs tiers plus modestes en plus des leurs. Or, le RGPD nous impose de déterminer quels sont les rôles des différents acteurs d’un traitement de données à caractère personnel : Responsable de traitement unique, Responsable conjoint ou distinct, sous-traitant.
Dans le cadre du jeu vidéo, les qualifications des acteurs dépendent du contexte de la relation qui les unit. Dans les cas où l’éditeur du jeu et de la plateforme sont identiques, ils seront systématiquement responsables de traitement. Dans le cas inverse, il faudra procéder à un examen plus attentif de chaque traitement pour qualifier juridiquement les responsabilités.
Par exemple, un éditeur proposant un jeu sans fonctionnalité en ligne sur une plateforme tierce pourrait ne pas être concerné du tout s’il ne collecte ou ne traite aucune donnée. Imaginons qu’a contrario l’éditeur de la plateforme lui fournisse des informations sur les joueurs, quels seraient leur qualification et le régime de responsabilités à retenir dans ce cas ? Les critères d’analyse à appliquer nécessitent de définir quelle entité détermine les finalités et les moyens du traitement.
Dans la très grande majorité des cas, la plateforme sera qualifiée de responsable de traitement. En effet, elles sont généralement en situation de force par rapport aux éditeurs qui adhèrent à des services types, et leur donnent accès à des données sur les joueurs utilisant leur produit. En revanche, un éditeur de jeu exerçant une influence suffisante pour négocier avec la plateforme sur les moyens et finalités du traitement pourrait être considéré comme responsable conjoint, voire faire de la plateforme son sous-traitant s’il est en mesure de lui imposer ses conditions. Nous allons prendre un cas particulier qui illustre toute la complexité de cette question.
Le jeu League of Legend (LOL) est un des jeux les plus populaires du monde, que ce soit en nombre de joueurs ou du fait de l’engouement autour de l’e-sport qu’il génère. Il est édité par le studio américain Riot Games, lui-même détenu par le géant chinois Tencent. Bien que disposant de sa propre plateforme, Riot Games a conclu un accord avec Microsoft pour que League of Legend soit disponible sur le Game Pass, nom qui regroupe à la fois l’offre d’abonnement de Microsoft et sa plateforme de mise à disposition de son catalogue. LOL étant un jeu gratuit, cet accord ne vise, pour Riot Games, qu’à permettre qu’un joueur puisse lancer le jeu depuis la plateforme Microsoft, lui permettant ainsi de toucher plus de joueurs. Est-ce que Riot Games sait, a posteriori, si un joueur a lancé le jeu depuis sa propre plateforme ou celle de Microsoft ou bien n’est-ce qu’un bouton technique ? Microsoft donne-t-il à Riot Games des informations sur les autres habitudes de consommation des joueurs lançant LOL depuis la plateforme de Microsoft ? Toute ces questions détermineront la répartition des responsabilités.
Autre situation : un éditeur de jeu peut récolter en son nom des données au travers de son jeu, et non de la plateforme qui l’accueille. Cette étanchéité fera des acteurs des responsables de traitement distincts.
A noter que dans de nombreux cas, les éditeurs reçoivent des informations collectées par les plateformes, nous nous retrouvons alors dans le cadre d’une collecte indirecte de données. Ici pèse sur les plateformes l’obligation de mentionner auprès des joueurs que leurs données seront communiquées à un tiers : l’éditeur du jeu.
2. Formalités et points d’attention particuliers
Pour les responsables et sous-traitants dans le jeu vidéo, deux points particuliers doivent être pris en compte : la nécessité récurrente de réaliser des AIPD et la gestion du consentement des mineurs.
A. L’AIPD, passage obligatoire
Rappelons que, pour certains traitements de données à caractère personnel, le RGPD impose des formalités supplémentaires, notamment la nécessité de conduire une analyse d’impact relative à la protection des données (AIPD), qui doit être réalisée dès lors que des traitements sont susceptibles de faire peser des risques sur les droits et libertés des joueurs. Pour éclairer les entités, le G29 a défini 9 critères sur lesquels s’appuyer pour justifier la réalisation d’une AIPD. Parmi eux se trouvent de nombreux critères remplis dans divers traitements relatifs au jeu vidéo, tels que :
les traitements sur les personnes vulnérables ;
les traitements réalisés à grande échelle ;
les traitements impliquant des données sensibles ;
les traitements impliquant une prise de décision automatisée ;
les traitements impliquant des personnes vulnérables ;
les traitements impliquant des transferts de données hors UE ;
l’évaluation ou la notation.
Une précision sur la notion de personnes vulnérables s’impose ici. Les mineurs sont considérés comme tels et les plateformes sont donc amenées à traiter leurs données en conséquence. Nous reviendrons sur ce point ci-après car il implique d’autres conséquences pour les acteurs du traitement.
Les critères des transferts hors UE et des traitements à grande échelle ne nécessitent pas d’éclairage spécifique, le fait qu’ils soient remplis ne saurait souffrir de débat. Pour d’autres critères, en revanche, le fait qu’ils puissent être remplis dans le cadre du jeu vidéo pourrait paraître étrange à un béotien du jeu vidéo.
Sur la question des données sensibles tout d’abord, de nombreux jeux en ligne permettent l’utilisation d’un chat vocal. Dans la mesure où elle est susceptible de permettre l’identification d’un individu, la voix est potentiellement une donnée biométrique, donc sensible, notre critère est de fait rempli.
Sur la prise de décision automatisée, le jeu en ligne a amené avec lui un phénomène très délétère : la toxicité. Ce sont des comportements tendant vers un harcèlement infligé par certaines personnes à d’autres joueurs rencontrés sur le jeu. Pour contrer ce phénomène, les éditeurs ont mis en place des systèmes pour bannir les joueurs en question et ces systèmes sont le plus souvent automatisés ou semi automatisés. Le bannissement empêche le joueur de jouer depuis son compte pour une période déterminée, ce qui est une conséquence juridique.
Enfin, sur le critère de l’évaluation ou de la notation, de nombreux jeux en ligne proposant des parties compétitives où les joueurs peuvent s’affronter ont recours à des systèmes automatisés qui vont calculer une attribution de point à l’issue de chaque partie. Si ce classement peut paraître trivial, il n’en est rien à plus d’un titre. D’une part, ces classements conditionnent souvent l’attribution de récompenses de fin de saison sous forme de biens numériques ou physiques qui ont une valeur. D’autre part, pour une poignée de joueurs d’élite, ces classements en ligne sont la porte d’entrée vers des compétitions en physique dotées de cashprizes pouvant se chiffrer en millions. Cette notation au travers du classement est donc tout sauf anodine.
B. Le consentement des mineurs
Les mineurs sont, au sens du RGPD, des personnes vulnérables et un traitement de données à caractère personnel de mineurs remplit de facto un critère pour la réalisation d’AIPD. Au-delà de cette question, les mineurs sont une catégorie bien à part de personnes concernées pour laquelle des précautions particulières doivent être mises en place. Le RGPD laisse la possibilité aux états de déterminer à partir de quel âge un mineur est en mesure de donner son consentement de façon autonome et en dessous duquel un accord des parents est nécessaire (généralement entre 13 et 16 ans). Les acteurs du jeu vidéo sont évidemment tout particulièrement concernés dans la mesure où un grand nombre de joueurs sont mineurs.
Plusieurs approches sont utilisées dans l’industrie. D’un côté, certaines plateformes conditionnent tout simplement l’accès à leur service à un âge minimum qui est évidemment le même que celui pour consentir aux traitements. Evidemment, le contrôle de l’âge se fait de façon purement déclarative et aucun contrôle n’est mis en place pour vérifier que les joueurs n’ont pas falsifié leur date de naissance à l’inscription. Ce point rejoint d’ailleurs la question de la protection des mineurs face à la pornographie sur internet, que nous traiterons au mois de juillet dans le cadre du thème « protection des mineurs ».
D’autres éditeurs choisissent une autre approche. Plutôt que de rendre impossible une inscription quand l’âge renseigné est en dessous du seuil légal de consentement, il est demandé au joueur de renseigner l’adresse de son tuteur légal afin que celui-ci puisse consentir pour lui. Ici aussi, rien n’empêche le mineur de renseigner une adresse email différente pour ensuite se faire passer pour un de ses parents et accéder aux services. Là encore, il est très difficile de s’assurer de l’identité des personnes sans rendre les traitements de données à caractère personnel trop intrusifs.
Quoi qu’il arrive, le premier et plus important garde-fou pour l’activité des mineurs sur internet reste les parents, au travers de l’éducation et de l’utilisation de mécanismes de contrôle parental.
Le jeu vidéo est la première industrie de divertissement au monde. Elle touche un large public et innove parfois rapidement de sorte que le Législateur semble pris de court. Bien qu’il soit un média fabuleux, le jeu vidéo véhicule des risques réels : harcèlement, toxicité, ou encore mécanismes d’engagement s’apparentant à des jeux d’argent (au travers de l’ouverture de coffres permettant d’acquérir des biens numériques de valeurs très différentes). Il est donc essentiel de rester attentif à ces risques, et il serait utile de créer un cadre législatif spécifique permettant à la fois la liberté et la protection des utilisateurs.
Auteur : Pierre Etienne-Girandière
Co-auteur : Damien Altersitz