Les jeux vidéo dématérialisés comme Pokémon GO : un vrai problème pour les données personnelles de l’utilisateur

Le jeu pour smartphone Pokémon GO est en ce moment un phénomène prenant une ampleur mondiale : des millions d’utilisateurs se passionnent pour ce tout nouveau jeu et arpentent les rues dans de nombreux pays afin de capturer des Pokémons.

L’explosion des jeux vidéo dématérialisés, et plus particulièrement des jeux recourant à la géolocalisation de l’utilisateur comme Pokémon Go, n’est toutefois pas sans danger.

C’est ce qu’a rappelé la CNIL, le 28 juillet 2016, en mettant en garde les utilisateurs contre les risques que présente ce type de jeu pour leurs données personnelles.

Les jeux vidéo dématérialisés, comme l’explique la CNIL, correspondent en effet à un modèle économique particulier. S’ils sont gratuits pour les consommateurs, ils doivent cependant permettre à l’entreprise les ayant créés d’engranger des bénéfices. Or, le moyen qu’ils utilisent pour s’enrichir consiste dans la captation des données personnelles. Ces données seront soit vendues à des publicitaires, soit utilisées pour pousser les utilisateurs à l’achat et à la consommation.

La donnée collectée la plus précieuse est la donnée de localisation, permettant de connaître les emplacements visités et les lieux préférés des utilisateurs et ainsi de les cibler commercialement. Elle pourra être revendue à des entreprises, qui pourront alors partager leurs publicités aux personnes susceptibles d’être intéressées.

Par ailleurs, de nombreuses autres données dites comportementales sont collectées lors de l’utilisation du jeu, comme le goût du risque ou le découragement du joueur face à un obstacle. Ces données permettent d’analyser chaque joueur et de leur proposer ainsi à l’achat des éléments qui leurs permettront de progresser plus vite dans le jeu.

Enfin, les jeux comme Pokémon GO utilisent la localisation des joueurs pour les diriger vers des magasins partenaires. Après avoir établi un profil type de l’utilisateur par le biais de la captation de ses données, l’éditeur du jeu sera à même de connaître ses goûts et ainsi de l’inciter à se rendre dans des magasins avec lesquels il a établi un partenariat, et où l’utilisateur est susceptible d’acheter ou de consommer. Pour cela, il lui suffit juste de placer un élément du jeu, comme un Pokémon, dans un fast food par exemple. Comme le rappelle la CNIL, « plus les données collectées par l’application sont précises, plus le profilage du joueur/consommateur est fiable, meilleure sera la rémunération de l’éditeur ».

Il apparaît donc dangereux d’utiliser ce genre d’applications, puisque nous cédons nos données personnelles à l’éditeur du jeu afin de pouvoir y jouer. La CNIL appelle donc les utilisateurs à se montrer vigilants quant à leurs données et leur fournit aussi quelques conseils :

•« vérifier les permissions demandées avant d’accepter une application ;

•utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne ;

•éteindre les applications quand on a fini de jouer et les supprimer quand on ne les utilise plus ;

•si l'appareil le propose, appliquer les paramètres de protection de la vie privée protecteur : par exemple, en n’autorisant pas l’accès aux contacts si ce n’est pas utile ;

•désactiver l’accès de l’application à la géolocalisation du smartphone lorsqu’elle n’est pas nécessaire : si la géolocalisation est indispensable au jeu, il est possible d'éteindre la fonctionnalité une fois le jeu fermé ;

•si le jeu vous encourage à prendre des photos, pensez aux autres personnes autour de vous, et ne les prenez pas en photo sans leur consentement ; ».

Pour illustrer les dangers que pose le jeu Pokémon Go en matière de données personnelles, voici certaines dispositions présentes dans leur Politique de Confidentialité, et que l’utilisateur accepte afin de pouvoir jouer au jeu :

•« Les informations que nous collectons auprès de nos utilisateurs, y compris les données à caractère personnel, sont considérées comme un actif de l’entreprise ».

•« Du fait que vous devez posséder un compte avec Google […] ou Facebook avant de vous inscrire pour créer un compte, nous recueillerons les données à caractère personnel (telles que votre adresse e-mail Google […] et / ou votre adresse e-mail enregistrée sur Facebook) ».

•« Pendant le jeu, nous collecterons certaines informations, telles que votre (ou celui de votre enfant autorisé) nom d’utilisateur et les messages envoyés à d’autres utilisateurs ».

•« Nous recueillons certaines informations que votre appareil mobile (ou celui de votre enfant autorisé) envoie lorsque vous (ou votre enfant autorisé) utilisez nos Services, telles que l’identifiant de l’appareil, les paramètres utilisateur et le système d’exploitation de votre appareil (ou celui de votre enfant autorisé), ainsi que des informations sur l’utilisation que vous faites de nos Services tout en utilisant votre appareil mobile ».

•« L’Application est un jeu basé sur les coordonnées géographiques. Nous recueillons et stockons des informations sur votre localisation (ou celle de votre enfant autorisé) lorsque vous (ou votre enfant autorisé) utilisez notre Application. […] Vous comprenez et acceptez qu’en utilisant notre Application, vous (ou votre enfant autorisé) nous transmettez la localisation de votre appareil (ou de votre enfant autorisé) et que certaines de ces informations de localisation, notamment votre (ou celui de votre enfant autorisé) nom d’utilisateur, peuvent être partagées via l’Application. […] Nous pouvons également utiliser des informations relatives à la localisation afin de vous (ou votre enfant autorisé) offrir des Services améliorés et personnalisés ».

On voit bien, à la lecture de ces dispositions, que l’éditeur du jeu collecte effectivement de nombreuses données personnelles sur les utilisateurs à partir de leurs smartphones.

Ces données, outre le fait qu’elles permettent à l’éditeur de se financer, peuvent aussi faire l’objet d’attaques par des cybercriminels, qui pourront alors accéder à tout un trésor de données personnelles et les utiliser de manière malveillante.

Dès lors, chaque utilisateur doit faire très attention aux applications et aux jeux qu’il télécharge, en gardant à l’esprit que la cession de ses données personnelles est la contrepartie de l’utilisation de l’application, et que ces dernières pourraient faire l’objet d’une utilisation commerciale ou être hackées.