Jeux vidéo et droit des données à caractère personnel : « Jouez pour être tracé ! »

« Jouez pour être tracé ! » Tel pourrait être le leitmotiv de nombre d’éditeurs de jeux vidéo en ligne et autres jeux distribués via les smartphones.

Si la commercialisation de supports matériels destinés aux consoles n’a pas disparu, les jeux téléchargeables ou jouables à distance occupent désormais une part substantielle du marché. En conséquence, il n’est pas étonnant que certains éditeurs et distributeurs recourent à un modèle commercial basé sur un accès partiellement ou totalement gratuit, avec une rémunération publicitaire, elle-même dépendante de l’exploitation des données à caractère personnel des joueurs. Celles-ci sont d’autant plus accessibles et nombreuses qu’elles sont nécessaires à l’utilisation du jeu¹. À l’image des réseaux sociaux, l’utilisation de jeux vidéo en ligne devient à son tour un facteur de risque pour le droit au respect de la vie privée. Et cela est d’autant plus grave que les pratiques vidéoludiques se passent traditionnellement dans un cadre domestique et récréatif, où l’attention des joueurs est nécessairement relâchée, pour ne pas dire absente.

Les autorités de régulation, telles que la Cnil (Commission nationale de l’informatique et des libertés) en France, sont déjà au fait de l’existence de ces traitements « cachés » et intrusifs, ce qui a déjà pu exposer certains éditeurs à des sanctions. L’Observatoire européen de l’audiovisuel a également appelé l’attention des régulateurs et des législateurs sur les problématiques que soulèvent les traitements de données à caractère personnel dans le secteur vidéoludique.

Des traitements de données à caractère personnel nombreux et diversifiés

Depuis l’origine, le socle logiciel des jeux vidéo implique une analyse en temps réel des actions du joueur, pour lui permettre de maîtriser le gameplay, d’évoluer dans le scénario interactif et de générer une série de réactions préétablies en fonction du scénario littéraire. La finesse de cette analyse n’a depuis cessé d’augmenter, à l’image du perfectionnement des jeux vidéo et de la diversification des possibilités techniques.

Cependant, c’est cette caractéristique qui présente un risque pour la vie privée des joueurs lorsqu’elle est couplée à des traceurs. Les jeux disponibles en ligne ou sur smartphone sont particulièrement propices à ce type de pratiques. Parmi eux, les jeux « hypercasual » sont certainement les plus friands de données personnelles, en raison de leurs contraintes et de leur modèle économique. Ces jeux, rapidement obsolètes, sont distribués sur un segment très concurrentiel et destinés à des utilisations courtes ; aussi, leurs éditeurs font naturellement le choix d’une gratuité totale ou partielle compensée par l’exploitation publicitaire des données, avec une politique de traitement qui peut être singulièrement agressive et intrusive.

Mais la tendance est plus générale qu’il n’y paraît, et commence à irriguer certains jeux dits « triple A », pourtant réputés moins dépendants de la publicité. Les jeux étant de plus en plus souvent distribués sous la forme de services sur le long terme, la stratégie consiste à profiter de cet engagement pour effectuer un suivi personnalisé du joueur afin de mieux le fidéliser et de monétiser ses données². Corrélativement, cette source de financement permet de diminuer le prix d’achat, ou à tout le moins de le maintenir à un niveau raisonnable. Mais ces traitements de données peuvent aussi poursuivre bien d’autres finalités³. Certains éditeurs n’hésitent pas à les exploiter pour façonner le game design, afin de renforcer l’addiction du joueur et de provoquer des actes d’achats et autres microtransactions dans le jeu.

C’est tout le comportement du joueur, que ce soit « dans » le jeu ou « hors » de celui-ci, qui peut être monitoré en temps réel, de façon plus ou moins approfondie, et se prêter à des analyses, des déductions dont les finalités peuvent elles-mêmes être très variées⁴. Si leur fonction reste intimement liée au déroulement du jeu, elles peuvent aussi être employées à des fins de profilage, celui-ci pouvant être extrêmement précis, à l’image du nombre de données récoltées. Les traceurs déployés par ces jeux portent eux-mêmes sur une grande variété d’informations, allant jusqu’à la localisation, les contacts, voire les fichiers et données mémorisés sur le téléphone. De l’achat ou du téléchargement d’un fichier jusqu’à la moindre action, ce sont les performances (rapidité, force, fréquence de certaines actions…), la situation (localisation, terminal utilisé…), les habitudes de consommation (applications téléchargées, fichiers enregistrés…), les relations (à travers l’accès aux informations figurant sur le terminal) et même les données comportementales et les émotions du joueur (à travers la voix, les expressions verbales, le rythme cardiaque, les expressions du visage…) qui peuvent être déduites et agrégées.

Des traitements de données à caractère personnel intrusifs et peu visibles

Une étude menée en 2022 a ainsi révélé des statistiques édifiantes quant aux pratiques déployées par les éditeurs de jeux sur smartphone⁵.

En effet, 87 % des jeux sont équipés de traceurs, en moyenne au nombre de six, mais 10 % comportent plus de quinze traceurs, avec un record à trente-six ! Les jeux payants comportent également des traceurs, quoique dans une proportion plus réduite : 65 % en sont équipés, dont 10 % contiennent de cinq à seize traceurs. Et ces données ont elles-mêmes été affinées en fonction de la présence de publicités et de la possibilité d’achats dans le jeu (IAP – in-app purchases). S’agissant des jeux gratuits, 96 % de ceux dotés de ces éléments sont reliés à des traceurs (huit en moyenne, dont près de quatre ont une fonction publicitaire) ; 35 % des jeux gratuits sans publicités et sans IAP comportent également des traceurs (deux en moyenne). S’agissant des jeux payants, les chiffres sont encore plus surprenants : 66 % des jeux sans publicités et sans IAP sont équipés de traceurs (1,68 en moyenne), et 79 % de ceux dotés de ces caractéristiques le sont également (3,63 en moyenne, dont 1,58 avec une fonction publicitaire). La présence de traceurs liés aux jeux payants relève du paradoxe, alors même qu’ils sont les plus rentables et les moins dépendants de la publicité. Et cela est d’autant plus grave que leurs conditions d’utilisation affirment ne comporter aucune publicité.

La difficulté est d’autant plus grande que les joueurs sont, par nature, peu au fait de l’ampleur des traitements dont ils font l’objet, au-delà de l’acceptation, souvent expéditive, des conditions d’utilisation. Dès que le jeu est installé, puis lancé, c’est tout l’écosystème des traceurs qui est activé d’une manière d’autant plus insidieuse qu’ils sont dissimulés par le game design. S’agissant des microtransactions, le risque est d’autant plus grand que celles-ci peuvent être maquillées par une monnaie virtuelle⁶ ; le joueur, déconnecté de la réalité au sens propre du terme, peut alors engloutir des sommes considérables.

Le privacy paradox est ici poussé à son comble. Si les joueurs peuvent en tant que consommateurs se soucier du sort de leurs données, cette inquiétude est rapidement oubliée de par la dimension récréative et l’effet de distanciation provoqué par le jeu.

« Protège ta vie privée », le nouveau credo de la Cnil adressé aux joueurs

Le schéma est bien connu des réseaux sociaux et ne cesse de générer du contentieux, à l’image des dernières décisions de la Cour de justice de l’Union européenne (voir supra). Le secteur des jeux vidéo n’échappant nullement à ces pratiques, l’attention a pu être attirée sur les risques qu’encourent les joueurs et sur la nécessité pour eux d’être informés des moyens pour faire respecter leur vie privée.

Le Conseil d’État, dans un arrêt du 14 mai 2024, a justement confirmé la sanction infligée par la Cnil à l’éditeur Voodoo⁷, en raison d’un manquement à l’article 82 de la loi du 6 janvier 1978⁸. Pour mémoire, cet article, qui transpose l’article 5 de la directive ePrivacy, dispose que l’utilisateur d’un service de communications électroniques doit être préalablement informé de l’existence de cookies et autres traceurs de connexion permettant d’accéder à des informations déjà stockées dans son terminal, ou d’y inscrire de telles informations ; de tels actes ne sont autorisés que si le consentement est libre, spécifique, éclairé, et non univoque au sens de l’article 4 du RGPD. La Cnil en a déduit, dans ses délibérations du 17 septembre 2020⁹, le principe selon lequel il doit être aussi facile de donner son consentement que de le refuser ou de le retirer, excepté pour les cookies strictement nécessaires à la fourniture des contenus ou services numériques.

Le cas d’espèce est une parfaite illustration des risques que font peser ces pratiques pour les joueurs. Le manquement tenait à l’absence de recueil du consentement des joueurs ainsi qu’à la délivrance préalable des informations relatives à l’utilisation des traceurs de connexion. Ceux-ci étaient eux-mêmes de deux types. Concrètement, lorsqu’un consommateur installe un jeu distribué par Voodoo via l’App Store, une première fenêtre l’informe des possibilités de suivi et de personnalisation de la publicité basées sur l’attribution d’un identifiant IDFA (IDentifiers for Advertisers). Celui-ci permet de regrouper, de corréler et d’agréger les données relevant de toutes les applications installées sur un même téléphone. À ce stade, le consommateur peut refuser d’être tracé, ledit identifiant étant alors remplacé par une suite de zéros. Une fois cette première étape franchie, une seconde fenêtre propre à Voodoo est affichée, indiquant que l’utilisateur ne fera l’objet d’aucun traçage publicitaire en fonction de l’identifiant précité mais que d’autres types de données peuvent être collectées afin de proposer des publicités non personnalisées en fonction des habitudes de navigation de l’utilisateur. Celles-ci continuent en fait d’être traitées via un autre identifiant, l’IDFV (IDentifiers for Vendors), qui remplit la même fonction que l’IDFA, mais seulement pour les données relevant des applications et jeux propres à un éditeur, tel que Voodoo.

Autrement dit, le traitement des données à des fins publicitaires demeure effectif, mais il est simplement moins étendu ; la Cnil relève au passage le paradoxe qu’il y a à qualifier de « non personnalisées » des publicités basées sur les habitudes de navigation. Or, si l’utilisateur peut bien refuser le traçage via l’IDFA, ou paramétrer son téléphone en ce sens, la fenêtre propre aux applications de Voodoo ne donne aucun moyen à l’utilisateur d’exprimer son consentement ou de refuser le traçage via l’IDFV, telle qu’une case à cocher. Les joueurs ne pouvant raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, y compris de la part d’un seul et même responsable de traitement, l’absence de ce dispositif constitue bien un manquement à l’article 82 précité. Au vu de ces éléments, la Cnil a infligé une amende de 3 millions d’euros, ce montant étant établi non seulement au regard de la gravité et des circonstances du manquement, mais aussi de sa portée. Dépendant principalement de la publicité, Voodoo compterait en moyenne plus de 5 millions d’utilisateurs en France sur la période considérée, dont plus de la moitié s’opposent au traçage. Quand bien même ceux-ci n’utiliseraient les jeux que pour des sessions relativement courtes (environ 17 minutes par mois), un nombre substantiel de données peut être traité dans ces intervalles de temps. Le Conseil d’État a estimé que la décision de la Cnil était parfaitement justifiée sur le fond et que ce montant était tout à fait approprié, ce pourquoi le recours de Voodoo a été rejeté.

La situation est suffisamment préoccupante alors qu’une part importante de joueurs sont mineurs. C’est pourquoi la Cnil a récemment publié une série de conseils pour les inviter à la plus grande précaution, que ce soit dans le choix des jeux auxquels ils accèdent ou concernant les droits à opposer aux plateformes et aux éditeurs¹⁰.

Les défis juridiques du secteur des jeux vidéo en termes de protection des données à caractère personnel

De façon générale, le secteur des jeux vidéo ne cesse de faire face à de nouveaux défis du fait de sa croissance exponentielle. L’Observatoire européen de l’audiovisuel a publié, sur le sujet, un vaste état des lieux relatif aux problématiques actuelles et futures auxquelles développeurs, éditeurs et distributeurs sont confrontés¹¹. Outre les enjeux économiques et techniques, les questions de propriété intellectuelle, de lutte contre le piratage ou les contenus haineux constituent des points de vigilance importants. La protection des données personnelles des joueurs figure naturellement au premier rang des principaux sujets de préoccupation¹².

Ainsi, l’implémentation des obligations prévues par le RGPD est encore peu développée et se heurte à des difficultés propres au fonctionnement des jeux. Tel est le cas, par exemple, de la détermination des bases de traitement. En effet, il apparaît que les mêmes données peuvent être traitées pour diverses finalités, dont certaines, tel que le bon fonctionnement des jeux, sont nécessaires et légitimes, alors que d’autres, telle que la publicité ciblée, ne sont que facultatives. Si la base de l’exécution du contrat prévue à l’article 6 du règlement peut alors être invoqué, il importe qu’une stricte proportionnalité soit respectée dans la mise en œuvre du traitement. Or, qu’en est-il lorsque le jeu implique des relevés télémétriques incluant des données aussi précises que la posture, les mouvements des mains et des jeux, le rythme cardiaque du joueur ? L’analyse de ces relevés peut rapidement induire des données sensibles, comme cela était le cas dans l’une des affaires portées à la Cour de justice le 4 octobre 2024¹³. Tout sera encore une affaire d’espèce, en fonction des risques inhérents à l’utilisation du jeu. On pense notamment au cas, évoqué plus haut, des jeux intégrant des microtransactions dans leur gameplay. Il en est de même avec les dispositifs de lutte contre les logiciels de triche, qui visent à maintenir un fonctionnement loyal du jeu, mais peuvent, pour ce faire, procéder d’un suivi très précis du comportement de chaque joueur, ce que certains peuvent vivre comme un véritable espionnage.

Les traitements poursuivant d’autres finalités ou des transferts de données devraient, dès lors, relever d’une autre base ; le consentement et l’intérêt légitime viennent spontanément à l’esprit. Les exigences établies par la Cour de justice à leur égard apparaissent cependant peu compatibles avec l’ergonomie des jeux vidéo. Il reste notamment à déterminer comment assurer une information complète des joueurs et leur laisser la possibilité de retirer leur consentement au cours d’une partie, sans les exposer à des contraintes qui seraient de nature à ralentir l’expérience de jeu. Le rapport relève, malgré tout, la solution adoptée par certains éditeurs, soucieux de se conformer à la réglementation en vigueur, qui intègrent l’information, le paramétrage des traitements et les notifications qui leur sont liées directement dans le game design de leurs jeux, sous une forme simplifiée. Si cette technique brouille la distinction entre la réalité et la fiction, elle peut avoir l’avantage de responsabiliser davantage le joueur, pour peu que la maîtrise de ses données soit bien intégrée dans le fonctionnement et le déroulement du jeu.

Mais le chantier va bien au-delà, puisqu’il implique aussi la mise en œuvre de mesures internes propres à prévenir les risques (ce qui inclut le piratage et les fuites de données), de garanties en termes de transparence ou de transfert des données hors de l’Union européenne. Des lignes directrices spécifiques au secteur seraient alors souhaitables pour adapter les exigences légales et réglementaires.

Sources :

1. Forsans Emmanuel, « Jeux vidéo et RGPD – Quel impact sur la collecte des données ? Premier bilan », AFJV, 10 avril 2019 ; Forsans Emmanuel, « Jeux vidéo et RGPD – Quelle efficacité pour les mesures mises en place ? », AFJV, 20 mai 2019.
2. Chatellier Régis, « Jeux vidéo, une industrie culturelle et créative basée sur l’expérience et l’appropriation », LINC – CNIL, 15 mars 2018.
3. Newman Joe, Jerome Joseph, Hazard Christopher, « Press Start to Track?: Privacy and the new questions posed by modern videogame technology », American Intellectual Property Law Association (AIPLA) Quarterly Journal, August 21, 2014.
4. Kröger Jakob Leon, Raschke Philip, Percy Campbell Jessica, Ullrich Stefan, « Surveilling the Gamers: Privacy Impacts of the Video Game Industry », Entertainment Computing, vol. 44, January 2023, 100537.
5. Laperdrix Pierre, Mehanna Naif, Durey Antonin, Rudametkin Walter, « The Price to Play: a Privacy Analysis of Free and Paid Games in the Android Ecosystem », ACM Web Conference 2022, April 2022, Lyon, France.
6. Delcroix Geoffrey, « Le jeu vidéo comme prototype de la personnalisation  comportementaliste des prix ? », LINC – CNIL, 15 mars 2018.
7. Délibération SAN-2022-026 du 29 décembre 2022, AJDA, 19 juin 2023, p. 1092-1094, obs. R. Génissel, et al.
8. Conseil d’État, 10^e et 9^e chambres réunies, 14 mai 2024, n° 472221.
9. Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceur ».
10. CNIL, « Jeux vidéo : protège ta vie privée », 30 avril 2024.
11. Baujard Thierry, Bosmans Dirk, Dimita Gaetano, et al., Défis juridiques et dynamiques de marché dans le secteur des jeux vidéo, Observatoire européen de l’audiovisuel, 2024, 172 p.
12. M. Przybysz, « La protection des données dans le secteur vidéoludique », Défis juridiques et dynamiques de marché dans le secteur des jeux vidéo, op. cit., 3^e partie, p. 2-17.
13. CJUE, 4^e ch., 4 octobre 2024, Maximilian Schrems c./ Meta Platfoms Ireland Ltd, n° C-446/21.