Microsoft va payer 20 millions de dollars pour régler un contentieux sur les données personnelles
La Federal Trade Commission américaine annonce que Microsoft va devoir payer 20 millions de dollars pour le non-respect de la loi sur la protection de la vie privée des enfants. Le géant de Redmond collectait en effet des données personnelles au travers la Xbox sans en avertir les parents ni obtenir leur consentement, ainsi qu'en conservant les données en question.
La FTC prend l'exemple du Xbox Live. Pour jouer et discuter par l'intermédiaire du service en ligne, les joueurs doivent créer un compte et fournir des données personnelles, notamment leur nom, prénom, email et date de naissance.
Or, lorsqu'un joueur affirmait avoir moins de 13 ans, il lui était demandé, du moins jusqu'à la fin de l'année 2021, de fournir des informations personnelles supplémentaires, notamment un numéro de téléphone. L'utilisateur devait aussi accepter le contrat de service et de publicité qui, par défaut, comprenait une case pré-cochée permettant à Microsoft d'envoyer des messages promotionnels et de partager les données des utilisateurs avec des annonceurs.
Le paiement permettra à Microsoft de clôturer l'affaire, mais la société devra aussi prendre plusieurs mesures afin de renforcer la protection de la vie privée des enfants qui utilisent une Xbox.
- Informer les parents qui n'ont pas créé de compte séparé pour leur enfant que le fait de le faire fournira des protections supplémentaires de la vie privée pour leur enfant par défaut ;
- Obtenir le consentement des parents pour les comptes créés avant mai 2021 si le titulaire du compte est encore un enfant ;
- Mettre en place et maintenir des systèmes permettant de supprimer, dans un délai de deux semaines à compter de la date de collecte, toutes les données à caractère personnel collectées auprès d'enfants aux fins de l'obtention du consentement parental, si ce dernier n'a pas été obtenu, et de supprimer toutes les autres données à caractère personnel collectées auprès d'enfants une fois qu'elles ne sont plus nécessaires pour atteindre l'objectif pour lequel elles ont été collectées ; et
- D'informer les éditeurs de jeux vidéo, lorsqu'il divulgue des informations personnelles concernant des enfants, que l'utilisateur est un enfant, ce qui obligera les éditeurs à appliquer les protections de la Children’s Online Privacy Protection Act à cet enfant.
Notez que si Microsoft est pointé du doigt, ce n'est pas la première fois qu'une société de jeux vidéo est mise à l'amende. En décembre 2022, Epic Games avait conclu un accord pour un montant de 520 millions de dollars avec la FTC. Il s'agissait, là aussi, de violations sur la protection de la vie privée des enfants pour les jeux Fortnite, Rocket League et Fall Guys.
Microsoft a publié un communiqué sur le site Xbox afin de s'excuser pour les erreurs commises, en précisant que la sécurité de ses utilisateurs est primordiale, d'autant plus quand ils 'agit d'enfant en bas âge (ben voyons).
Malheureusement, nous n'avons pas répondu aux attentes des clients et nous nous engageons à nous conformer à l'ordonnance afin de continuer à améliorer nos mesures de sécurité. Nous pensons que nous pouvons et devons faire plus, et nous resterons fidèles à notre engagement en faveur de la sécurité, de la protection de la vie privée et de la sécurité de notre communauté.
(...) Au cours des prochains mois, nous testerons de nouvelles méthodes de validation de l'âge et prendrons en compte le retour d'expérience de nos clients. Les enseignements tirés de ces essais serviront directement à faire progresser nos systèmes d'identité des joueurs. Nous intégrons les connaissances de Microsoft dans tous les secteurs d'activité pour développer une approche de principe des identités numériques sécurisées qui minimise la collecte de données, donne la priorité à la sécurité et permet aux joueurs de comprendre plus facilement comment leurs données sont utilisées.
Discord