Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonUn règlement de 20 millions de dollars de la FTC vise la collecte illégale de données sur les enfants par Microsoft Xbox : un changement de donne pour la conformité COPPA
Care About COPPA Compliance n'est peut-être pas le gamertag Xbox le plus cool, mais une action de la FTC contre Microsoft pour violations présumées de la règle de la loi sur la protection de la vie privée en ligne des enfants suggère que cela pourrait néanmoins être un bon choix. Déposé par le ministère de la Justice au nom de la FTC, le règlement proposé de 20 millions de dollars obligera Microsoft à renforcer la protection de la vie privée des enfants qui utilisent son système de jeu Xbox. L'ordonnance indique également clairement que la COPPA couvre les informations telles que les avatars générés à partir de l'image d'un enfant, les données biométriques et les données de santé collectées avec d'autres informations personnelles – et rappelle aux entreprises que la règle impose des limites strictes à la conservation des données des enfants.
Utilisé par des millions de joueurs, dont beaucoup ont moins de 13 ans, le Xbox Live de Microsoft est un réseau de jeux en ligne qui permet aux utilisateurs de jouer via leur console Xbox. L'action de la FTC se concentre sur trois manières par lesquelles Microsoft aurait violé la COPPA : 1) en collectant des informations personnelles sur des enfants de moins de 13 ans avant d'en informer leurs parents et d'obtenir le consentement parental ; 2) en omettant d'informer les parents des informations que l'entreprise collecte auprès des enfants, de la raison pour laquelle elle collecte ces informations et du fait qu'elle divulgue certaines de ces données à des tiers ; et 3) en conservant les informations personnelles des enfants plus longtemps que raisonnablement nécessaire.
Où la FTC dit-elle que Microsoft s’est trompé ? Vous voudrez lire la plainte pour plus de détails, mais cela a commencé avec la procédure d'inscription initiale. Pour jouer, les utilisateurs avaient besoin d'un compte Microsoft. Au départ, Microsoft leur a demandé de fournir leur adresse e-mail, leur prénom, leur nom ainsi que leur date de naissance. Jusqu’à fin 2021, Microsoft demandait également son numéro de téléphone. De plus, Microsoft leur a demandé de consentir au contrat de service de l'entreprise, qui comprenait jusqu'en 2019 une case pré-cochée permettant à Microsoft de leur envoyer des messages promotionnels et de partager les données des utilisateurs avec les annonceurs. La séquence des événements est importante ici car Microsoft a demandé toutes ces informations même aux utilisateurs qui venaient de dire à l'entreprise qu'ils avaient moins de 13 ans. Ce n'est qu'après avoir collecté toute une série de données personnelles sur les enfants que Microsoft a impliqué les parents dans le processus. Et c’est au cœur de l’allégation de la FTC selon laquelle l’entreprise a violé la COPPA.
Pour garantir que les parents – et non les entreprises – contrôlent les informations collectées auprès des enfants en ligne, la COPPA exige deux formes de notification distinctes. La plainte allègue que Microsoft n'a pas respecté les deux dispositions impératives. En vertu de l'article 312.4(b) de la règle COPPA – souvent appelée exigence de notification directe – une entreprise doit informer directement les parents de ses pratiques en matière d'information avant de collecter, d'utiliser ou de divulguer des informations personnelles sur des enfants. La FTC affirme que Microsoft a violé cette disposition en collectant dès le départ les noms, adresses e-mail et numéros de téléphone des enfants et ce n'est qu'après cela que l'entreprise a informé les parents et leur a demandé leur consentement.
En outre, la FTC affirme que la notification directe de Microsoft était incomplète. Plus précisément, l'avis n'indiquait pas aux parents qu'il collecterait des informations personnelles au-delà de ce que l'enfant avait déjà fourni – par exemple, les photos des enfants, leur identifiant d'utilisateur Xbox et d'autres données que l'entreprise a combinées avec cet identifiant. Autre lacune présumée : Microsoft a simplement dit aux parents qu'il collectait, partageait et utilisait les informations des enfants, puis les envoyait à la déclaration de confidentialité de Microsoft pour essayer de comprendre les détails par eux-mêmes. La FTC affirme que Microsoft aurait dû décrire ses pratiques sur-le-champ, plutôt que d'envoyer les parents faire ce qui équivalait à une course de bricolage.
L'article 312.4(d) de la règle COPPA – souvent appelée disposition relative à l'avis en ligne – exige (entre autres choses) que les entreprises publient un lien visible et clairement étiqueté vers un avis de confidentialité en ligne expliquant leurs pratiques en matière d'information « dans chaque zone du site Web ou service en ligne où les informations personnelles sont collectées auprès des enfants. La FTC affirme que Microsoft n’a pas non plus respecté cette disposition. Jusqu'en 2019 au moins, la déclaration de confidentialité requise traitait des pratiques de l'entreprise en général, mais n'incluait pas ce que la COPPA exige : les détails sur les informations personnelles qu'elle collecte auprès des enfants et ses pratiques de divulgation de ces informations. De plus, il n'inclut pas d'explication obligatoire sur la manière dont les parents peuvent demander à Microsoft de supprimer les informations personnelles de leur enfant et de cesser de les collecter à l'avenir.