Ubisoft est accusé de violer le RGPD en collectant les données des joueurs sans leur consentement
Ubisoft est traîné devant la Cnil autrichienne par l'association Noyb pour la collecte illégale des données personnelles des joueurs pendant leur session de jeu. L'éditeur français risque une amende allant jusqu'à 92 millions d'euros pour violation du RGPD.
Après OpenAI et l'application BeReal, l'association Noyb s'attaque aux pratiques commerciales d'Ubisoft. Dans une plainte déposée ce jeudi 24 avril 2025 devant l'autorité néerlandaise, elle accuse l'éditeur français de jeux vidéo de violer le Règlement général sur la protection des données (RGPD) en traitant les données personnelles des joueurs sans base juridique valable.
Impossible de jouer sans se connecter
Le plaignant, représenté par Noyb, raconte avoir été obligé de se connecter à son compte Ubisoft pour jouer au jeu Far Cry Primal, acheté sur Steam. Cette situation l'a surpris étant donné que le single-player game "ne dispose d'aucune fonctionnalité en ligne". Pour en savoir davantage, il a déposé une demande d'accès en vertu de l'article 15 du RGPD. Ubisoft, en tant que responsable du traitement, a fourni la liste des données personnelles qu'il avait en sa possession : un identifiant unique pour le plaignant et des informations sur le moment où il a lancé le jeu, la durée du jeu et le moment où il l'a quitté.
De son côté, le plaignant a examiné l'ensemble des données envoyées à Ubisoft pendant la session de jeu. En 10 minutes de jeu, "150 ensembles DNS uniques" ont été envoyés et "56 demandes d'établissement d'une connexion" entre son ordinateur et "des serveurs externes", peut-on lire dans la plainte. Ces données, dont le contenu est chiffré, seraient envoyées à "Google, Amazon et Datadog (entre autres)".
Des données collectées à des fins d'amélioration et de sécurisation
Contacté par le plaignant, l'éditeur de jeux a répondu que les données envoyées lors du lancement du jeu permettent d'effectuer "une vérification de propriété pour valider que le compte du joueur détient le jeu qu'il tente de lancer". D'après l'accord de licence et la politique de confidentialité, les données restantes sont collectées à des fins d'amélioration de l'expérience de jeu et de sécurisation du service.
Or, le plaignant affirme ne jamais avoir consenti à la collecte et au traitement de ses données personnelles. Le simple fait de jouer ne constitue pas un consentement au sens du RGPD, estime-t-il. De plus, cette collecte ne serait pas nécessaire. "Un traitement de données n'est pas nécessaire lorsqu'il existe des moyens moins invasifs pour parvenir à la même fin", rappelle la plainte. Elle ajoute que l'achat étant vérifié par un tiers (Steam), "toute autre vérification" devient inutile. Par ailleurs, si le jeu peut être exécuté hors ligne, la vérification ne peut être nécessaire puisque cela interdit la collecte de données par le responsable du traitement. Enfin, la vérification n'explique pas pourquoi les données sont collectées auprès des personnes concernées à un autre moment qu'au lancement du jeu.
Une amende maximale de 92 millions d'euros
Dans ce cadre, le plaignant demande à l'autorité autrichienne d'ordonner la suppression de toutes les données personnelles collectées sans base juridique valable ainsi que de sanctionner Ubisoft. Sur la base du chiffre d'affaires de l'entreprise qui s'élève à 2 milliards d'euros, l'autorité pourrait infliger une amende allant jusqu'à 92 millions d'euros.
SUR LE MÊME SUJET
Ubisoft est accusé de violer le RGPD en collectant les données des joueurs sans leur consentement
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
