Pokémon Go ou la chasse… aux données personnelles des joueurs

Alors que l’étau réglementaire se resserre autour des entreprises du numérique et que les internautes sont en passe d’obtenir de nouvelles armes contre les abus, Pokémon Go s’appuie sur un large accès aux données à caractère personnel des « dresseurs », bien au-delà des besoins de son fonctionnement et leur impose de multiples clauses abusives. Niantics est l’objet d’une enquête pour atteinte à la vie privée. Que risque la société ?

Le jeu de réalité augmentée lancé sur le marché français le 24 juillet dernier compte déjà 11 millions d’adeptes dans le monde. Les dangers du jeu sont dénoncés chaque jour : accident de voiture, découverte d’un cadavre, mouvement de foule

Les règles du safe play énoncées par les conditions de service laissent sans voix :

« Vous vous engagez conjointement à votre utilisation de l’Application, à ne pas infliger de détresse émotionnelle à d’autres personnes, ni humilier d’autres personnes (publiquement ou autrement), ni menacer ni agresser d’autres personnes, ni entrer sur une propriété privée sans autorisation, ni usurper l’identité d’une autre personne ou représenter faussement quelque autre personne, titre ou entité, ni de vous engager dans une quelconque activité pouvant entraîner des blessures, la mort… » (Version du 1ᵉʳ juillet 2016)

Cela n’a pas empêché la transformation d’une propriété privée en arène au Canada !

L’inscription : quand tout commence… Eduardo Woo/Flickr, CC BY-SA

 

Plus pernicieux, l’application s’appuie sur un large accès aux données à caractère personnel des « dresseurs », bien au-delà des besoins de son fonctionnement et leur impose de multiples clauses abusives, alors que l’étau réglementaire se resserre autour des entreprises du numérique et que les internautes sont en passe d’obtenir de nouvelles armes contre ces abus.

Pourquoi Niantic Labs est-elle l’objet d’une enquête pour atteinte à la vie privée de ses utilisateurs ? Quelles sont les sanctions encourues par la société ?

Comment Niantic accède-t-elle aux données à caractère personnel de 11 millions de dresseurs ?

Cela est rendu possible car le simple fait de cliquer sur « installer » pour jouer vaut acceptation des conditions du service. Combien de dresseurs ont-ils lu ces conditions et la politique de confidentialité de Niantic (11 000 mots) ? Trop peu… Pourtant de nombreuses alertes de violation de l’intimité de la vie privée générées par le fonctionnement du jeu circulées sur le Web et Twitter ont mené à une demande d’enquête auprès de la Federal Trade Commission. De nombreux éléments des conditions du « service » Pokemon Go sont à présent scrutés.

Tout d’abord, la seule utilisation du jeu vaut acceptation de sa politique de confidentialité qui figure dans un document séparé alors qu’une telle mention est considérée comme une clause noire passible d’une amende jusqu’à 150 000 euros selon la DGCCRF (art.R132-1 du Code de la Consommation).

Le jeu Pokémon Go. Darren Mark Domirez/Flickr

 

Niantic explique qu’elle recueille les données à caractère personnel (adresse e-mail Google ou celle enregistrée sur le Club des Dresseurs Pokémon « PTC » et/ou l’adresse e-mail enregistrée sur Facebook) ainsi que les paramètres de confidentialité sélectionnés sur Google, PTC ou Facebook. Pas sûr que les dresseurs aient pris le temps de lire cette clause essentielle !

Niantic utilise deux moyens techniques pour surveiller ses utilisateurs : d’une part, des cookies, ces balises qui sont placées sur le disque dur de l’utilisateur de façon durable (sans pour autant que la durée soit spécifiée) pour tracer sa navigation et dont la désactivation bloque les fonctionnalités du jeu, tout simplement…

Rappelons que Facebook est justement sous le coup d’une mise en demeure de la CNIL pour ne pas avoir recueilli le consentement exprès à ce type de collecte déloyale des données de navigation et qu’elle encourt une amende de 150 000 d’euros.

D’autre part, des pixels invisibles (Web beacons) sont incorporés de manière imperceptible sur les pages Web (ou dans un e-mail) par la société ce qui lui permet de contrôler quelles sont les pages web visitées par le dresseur. Mais pour les désactiver il faut désactiver les cookies auxquels ils sont associés donc bloquer le fonctionnement du jeu…

Qui surveille qui dans le jeu ? Frost Museum/Flickr, CC BY

 

Le titulaire du compte PTC et l’utilisateur (qui n’en a pas) n’ont aucunement conscience de l’ampleur de la surveillance dont ils sont l’objet.

Ensuite, même si Niantic qualifie d’« informations liées à l’utilisation des services » les données à caractère personnel qu’elle conserve il n’en demeure pas moins qu’une adresse e-mail, une adresse IP sont légalement des données à caractère personnel, et elles sont enregistrées automatiquement. La société recueille aussi l’identifiant de l’appareil mobile utilisé, les paramètres de l’utilisateur et le système d’exploitation de l’appareil ; elle recueille et stocke la localisation et le nom de l’utilisateur qui sont partagés avec les autres participants du jeu, c’est-à-dire 11 millions de personnes moins un !

Attention ces données sont conservées même après la résiliation ou la désactivation du compte pour une durée « commercialement acceptable » par Niantic mais aussi par ses clients, ses sociétés apparentées ou ses prestataires de services ! Naturellement, aucun de ces tiers n’est identifié. De plus, les services de Niantic n’ont pas la « capacité » (volonté ?) de répondre aux signaux « do not track » et loin de satisfaire la transparence pour la compréhension de cette clause, le document renvoie à… un site Internet.

Sans le savoir, on partage tout avec les autres joueurs. Skinny Casual Lover/Flickr

 

Autant dire que vouloir jouer à Pokemon Go implique nécessairement un partage permanent de ses données personnelles avec 11 millions d’utilisateurs… ! Un partage sans garantie de sécurité, car :

« Vous devez savoir qu’il n’existe pas de méthode de transmission d’informations sur Internet ou de stockage d’informations totalement sécurisée. Par conséquent, nous ne pouvons pas en garantir la confidentialité absolue. » (point 7 de la politique de confidentialité).

Des clauses visiblement abusives figurent dans les conditions du jeu Pokemon Go

  • le règlement des différends (avis d’arbitrage) ;

  • la modification unilatérale par la société ;

  • la limitation de responsabilité ;

  • l’exonération de garantie ;

  • Et la constatation de l’adhésion de l’utilisateur à des clauses figurant dans un autre document (Politique de confidentialité).

Il est aisé de les déceler : elles sont soit rédigées en lettres capitales (c’est surtout capital pour Niantic de les imposer), soit créent un déséquilibre significatif dans les droits et obligations au détriment du joueur.

Joueurs dans le parc Setagaya au Japon le 30 juillet 2016. Brian Miller/Flickr

 

Pourquoi Niantic Labs considère vos données à caractère personnel comme ses propres actifs ?

Le modèle économique de Niantic repose sur le data mining de ses utilisateurs :

« Les informations que nous collectons auprès de nos utilisateurs, y compris les données à caractère personnel, sont considérées comme un actif de l’entreprise. » (politique de confidentialité art.3-d).

De ce fait, plus il y a d’utilisateurs, plus ils jouent, plus les données sont nombreuses… plus Niantic prend de la valeur. Ceci est d’autant plus important pour une start-up que dans le cadre de sa stratégie de sortie un actif de 11 millions d’utilisateurs pèsera de tout son poids. Sur ce point, la politique de confidentialité décidément très surprenante énonce que :

« Si nous étions rachetés par un tiers à la suite d’une transaction telle qu’une fusion, une acquisition ou une vente d’entreprise, ou si nos actifs étaient rachetés par un tiers pour cause de faillite ou de cessation de commerce, une partie ou la totalité de nos actifs, y compris vos données à caractère personnel (ou celles de votre enfant autorisé), pourraient être divulguées ou transférées à un tiers acquéreur dans le cadre de la transaction. »

L’utilisateur pourrait s’opposer à la cession de ses données personnelles après la réalisation de cette transaction, mais la modalité d’information des usagers, ni la procédure d’opposition ne sont décrites.

Ces « actifs » sont appelés à prendre davantage de valeur avec le développement de la stratégie marketing de Niantic consistant à placer des Pokéstops et des arènes (Pokémon Gyms) dans des points de vente. On est loin des sites historiques ou artistiques. Une technique comme une autre pour attirer des clients potentiels avec des Pokémons rares… du déjà vu… au commissariat de police de Manchester ! Les dresseurs ne s’y tromperont pas.

John Hanke lors du Comic Con de San Diego le 24 juillet 2016. Gage Skidmore/Flickr, CC BY-SA

 

Les dresseurs et le chasseur

Le contenu d’une app est indexable sur Google grâce à des deep link pour la somme dérisoire de 3 000 euros. Cela signifie que demain, le ciblage comportemental, le profilage 360°, le neuro-marketing s’appuieront sur les données issues des apps…

Demain, le digital analytics s’appuiera sur les produits de la création : expériences d’écriture numérique, play lists synchronisée avec les émotions… Officiellement, pour nous offrir une expérience exceptionnelle, mais surtout asseoir un avantage compétitif illimité : la donnée générée par l’utilisateur, sa collecte et son exploitation.

La convergence homme-machine est en filigrane. John Hanke, créateur de Google Earth, est le fondateur de Niantic, initialement une filiale de Google devenue une start-up indépendante depuis la réorganisation du conglomérat Alphabet et dont Google est actionnaire à hauteur de 20 millions de dollars. Pokémon Go est une véritable poule aux œufs d’or pour Google et Apple. Il est aussi à l’origine du jeu multi-joueurs Ingress de réalité augmentée. Il faut s’attendre à ce que les utilisateurs d’apps soient de plus en plus précisément pourchassés qui plus est en temps réel. Passionné de robotique, de nanotechnologies et d’intelligence artificielle, John Hanke est loin de chasser à la billebaude. Les autorités de la concurrence, de la consommation, de la répression des fraudes et de la protection des données personnelles non plus.

The Conversation

Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)
La version originale de cet article a été publiée sur The Conversation.

Powered by WPeMatico

This Post Has 0 Comments

Leave A Reply