La Federal Trade Commission (FTC) des États-Unis a récemment condamné Microsoft à payer une amende de 20 millions de dollars pour avoir enfreint la loi sur la protection de la vie privée des enfants en ligne (COPPA). La FTC a accusé Microsoft de collecter illégalement les données personnelles de mineurs inscrits à l'écosystème Xbox sans avoir obtenu le consentement préalable de leurs parents. Cet article examine les détails de cette affaire et les implications pour Microsoft, ainsi que la réaction de l'entreprise à la situation.
Contexte de l'affaire
La COPPA et la FTC
La COPPA est une loi fédérale américaine adoptée en 2000 qui régit la collecte en ligne de données personnelles relatives aux mineurs de moins de 13 ans et garantit le respect de leur vie privée sur Internet. La FTC est l'agence gouvernementale chargée de veiller au respect de cette loi et d'autres lois sur la protection des consommateurs.
Les pratiques de Microsoft en matière de collecte de données
La FTC a constaté que pour profiter des fonctionnalités de la Xbox et de son service Xbox Live, les utilisateurs doivent créer un compte obligeant à communiquer des informations personnelles telles que leur nom et prénom, leur adresse e-mail et leur date de naissance. Même lorsqu'un utilisateur indiquait avoir moins de 13 ans, le processus d'inscription imposait (jusqu'en 2021) de compléter le profil avec un numéro de téléphone et d'accepter les conditions d'utilisation de la plateforme. Jusqu'en 2019, une case pré-cochée autorisait en outre Microsoft à partager les données des utilisateurs avec des annonceurs.
La conservation des données
La plainte de la FTC révélait que Microsoft conservait les données personnelles des enfants, parfois pendant des années, même si la création du compte n'était pas finalisée. Selon Microsoft, cela était dû à un problème technique dans la conservation des données, qui a été résolu à la fin de l'année 2021.
L'amende et les mesures correctives
L'amende de 20 millions de dollars
Pour éviter des poursuites, Microsoft a accepté de payer une amende de 20 millions de dollars. Cette sanction financière vise principalement à dissuader d'autres entreprises de se livrer à des pratiques similaires.
Les mesures correctives imposées par la FTC
En plus de l'amende, la FTC a exigé que Microsoft prenne plusieurs mesures pour renforcer la protection de la vie privée des enfants utilisateurs de son système Xbox. Parmi ces mesures figurent :
- Informer les parents qu'un compte distinct pour leur enfant permet d'affiner les options de protection de leurs données personnelles.
- Obtenir une autorisation parentale pour les comptes créés avant mai 2021 si le titulaire du compte est encore mineur.
- Établir et maintenir des systèmes permettant de supprimer, dans un délai de deux semaines à compter de la date de collecte, toutes les informations personnelles collectées auprès des jeunes utilisateurs faute d'avoir obtenu le consentement parental et de supprimer toutes les données personnelles des jeunes utilisateurs dès qu'elles ne sont plus nécessaires au regard des objectifs qui motivaient leur collecte.
- Avertir les éditeurs tiers de jeux vidéo que les données concernées sont les données personnelles d'un utilisateur mineur et qu'à ce titre, leur traitement doit être conforme aux dispositions de la COPPA.
La réaction de Microsoft
Reconnaissance des erreurs
Dave McCarthy, directeur des opérations chez Xbox, a publié un article sur le blog de Microsoft dans lequel il reconnaît les erreurs de l'entreprise en matière de protection de la vie privée des plus jeunes de leurs utilisateurs. Il admet que Microsoft n'a pas répondu aux attentes des clients et s'engage à se conformer à l'ordonnance de la FTC.
Résolution du problème technique
McCarthy explique que l'équipe d'ingénieurs de Microsoft a identifié et résolu le problème technique lié à la conservation des données. Les données ont été supprimées, et il précise qu'elles n'ont jamais été utilisées, partagées ou monétisées.
Mise en conformité avec la COPPA
Microsoft a modifié son processus de création de compte pour se conformer à la loi COPPA. Désormais, lorsque la date de naissance d'un utilisateur indique qu'il a moins de 13 ans, le système demande d'abord un consentement parental vérifié, et ce sont les parents qui sont censés fournir des informations telles que le numéro de téléphone ou l'adresse e-mail.
Autres cas similaires
Microsoft n'est pas le premier géant du jeu vidéo à être épinglé par la FTC pour non-respect de la COPPA. En décembre 2022, Epic Games, le développeur de Fortnite, a été condamné à verser 520 millions de dollars, dont 275 millions pour des violations de la COPPA. Depuis lors, Epic Games a mis en place des comptes spécifiques aux enfants pour Fortnite, Fall Guys et Rocket League.
Conclusion
La condamnation de Microsoft par la FTC souligne l'importance de la protection de la vie privée des enfants en ligne et les conséquences pour les entreprises qui ne respectent pas les lois en vigueur. Microsoft a reconnu ses erreurs et pris des mesures pour se conformer à la COPPA. Il incombe désormais aux autres entreprises du secteur de tirer les leçons de cette affaire et de veiller à respecter les lois sur la protection des données des mineurs.
