Menu
logo

Jeux vidéo et RGPD - Quelle efficacité pour les mesures mises en place ?


A quelques jours du premier anniversaire de l'entrée en vigueur du RGPD, Virtual-DPO cabinet de DPO externalisé, a dressé en partenariat avec Me. Henri Leben et Me Eolia Busata, un premier bilan sur la mise en oeuvre de la nouvelle réglementation dans le secteur du jeu vidéo.

Un premier article a été consacré aux conséquences de l'entrée en vigueur du RGPD sur la collecte des données des joueurs de moins de quinze ans. Cette semaine nous nous intéressons à l'efficacité des mesures mises en place.

Partie 1 : RGPD et joueurs mineurs (Suite)

RGPDPour rappel, trois tendances ont été identifiées dans notre bilan : mises en place de procédures de double authentification pour s'assurer de l'accord des parents à la collecte des données de leurs enfants (1), mise en place de recommandations destinées spécifiquement aux enfants sans procédure de double authentification (2), absence de mise en oeuvre du RGPD (3).

La procédure de double authentification, seule procédure à être véritablement conforme a priori aux exigences du RGPD, est-elle cependant efficace ?

Cette procédure repose en effet avant tout sur le principe du déclaratif (le joueur mentionne sa date de naissance lors de l'ouverture du compte)… or un enfant est susceptible de mentir sur les informations qu'il donne.

Cette question n'est pas spécifique aux jeux vidéo, mais est commune à toutes les applications susceptibles de compter des mineurs parmi ses utilisateurs.

Le problème se posait ainsi déjà concernant le réseau social Facebook, interdit aux moins de 13 ans, mais confronté à de fausses dates de naissance.

Il est par conséquent légitime de se demander si le recours à un simple mécanisme déclaratif est suffisant pour respecter les dispositions du RGPD.

Pour rappel, l'article 8, point 2 du RGPD précise que "le responsable de traitement s'efforce raisonnablement de vérifier (…) que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.".

A titre de comparaison, aux Etats-Unis, la Federal Trade Commission (FTC) propose plusieurs méthodes pour s'assurer du recueil du consentement des parents, dans le cadre de la mise en oeuvre du Children's Online Privacy Protection Rule (COPPA).

Il est ainsi recommandé de solliciter la validation d'un formulaire distinct par les parents, d'obtenir de leur part un numéro de téléphone ou de solliciter à plusieurs reprises leur consentement sur une adresse email à leur nom. Il est vrai cependant que ces méthodes peuvent également être mises en échec si la date de naissance renseignée lors de l'inscription est fausse…

Quoi qu'il en soit, les règles issues du COPPA sont appliquées strictement aux Etats-Unis, comme en a fait encore récemment l'expérience le réseau social Tik Tok, obligé de payer une amende de 5,7 millions de dollars pour non respect des règles de collecte des données des utilisateurs de moins de treize ans.

D'autres modèles existent par ailleurs.

Ainsi en Chine, Tencent avait indiqué en juillet 2018 que les utilisateurs chinois âgés de 13 à 18 ans ne pourraient accéder à certains de ses jeux que pendant deux heures par jour. L'accès serait ensuite suspendu ou la progression dans le jeu très fortement limitée.

Une telle restriction ne reposait sur aucun contrôle réel. Les utilisateurs déclaraient leur âge lors de la création de leur compte et cet âge, réel ou inventé, les soumettait aux restrictions prévues pour les moins de 18 ans si applicables.

En novembre 2018, Tencent a cependant annoncé que l'identité réelle des utilisateurs serait désormais comparée aux bases de données de la police chinoise afin d'identifier avec certitude les joueurs de moins de 18 ans. La majorité des jeux de la société doit être concernée au plus tard courant 2019.

Le gouvernement chinois ayant à plusieurs reprises fait part de ses inquiétudes quant aux conséquences d'un excès de jeux vidéo sur la vue et les résultats scolaires des enfants, Tencent devrait être autorisée à croiser les données récoltées, avec celles détenues par la police pour confirmer l'identité et l'âge de l'utilisateur.

Si cette solution paraît de nature à garantir l'âge des joueurs…elle soulève évidemment un grand nombre de questions tant sur le plan éthique que juridique.

(A suivre)

Contact : contactvirtual-dpo.fr - www.virtual-dpo.fr

Publié le 20 mai 2019 par Emmanuel Forsans

Commentaires des lecteurs

Soyez le premier à commenter cette information.

Partager