Que s’est-il passé ?
Le 5 juin, la FTC a annoncé que Microsoft devra payer 20 millions de dollars pour régler les accusations de violation du Children’s Online Privacy Protection Act (COPPA), une loi fédérale visant à réglementer la collecte de données personnelles d’enfants de moins de 13 ans par des entreprises basées aux États-Unis et à protéger la vie privée des enfants.
Selon l’autorité de régulation, Microsoft a collecté pendant des années des informations personnelles auprès d’utilisateurs mineurs de la Xbox sans en avertir leurs parents ni obtenir leur consentement. De 2015 à 2020, l’entreprise a également conservé, parfois pendant des années, les données obtenues lors de la création d’un compte. Ces données étaient conservées même lorsqu’un parent n’avait pas terminé le processus, ce qui constitue également une violation de la COPPA.
Jusqu’à fin 2021, les enfants de moins de 13 ans devaient fournir leur numéro de téléphone et accepter le contrat de service et la politique publicitaire de Microsoft. Et jusqu’en 2019, il y avait également une case pré-cochée qui permettait à l’entreprise de partager les données des utilisateurs avec des annonceurs et d’envoyer des messages promotionnels.
Outre l’amende de 20 millions de dollars, Microsoft est également tenu de prendre certaines mesures pour améliorer les mesures de protection de la vie privée pour les utilisateurs mineurs de la Xbox. L’entreprise devra donc :
- Informer les parents de l’importance de créer un compte séparé pour leur enfant ;
- Obtenir le consentement des parents pour les comptes créés avant mai 2021 ;
- Supprimer toutes les données personnelles collectées auprès des enfants avant l’obtention du consentement parental dans un délai de deux semaines à compter de la date de collecte et supprimer toutes les informations personnelles une fois qu’elles ne sont plus nécessaires ;
- Informer les éditeurs de jeux tiers avec lesquels Microsoft partage les données des enfants afin qu’ils se conforment également aux règles de la COPPA.
Comment Microsoft a-t-il réagi à l’injonction de la FTC ?
- Sur le site officiel de la Xbox, Microsoft a indiqué qu’il avait mené sa propre enquête et découvert que ses systèmes conservaient les données de création de compte en raison d’un « problème technique ».
- « Notre équipe d’ingénieurs a pris des mesures immédiates : nous avons corrigé le problème, supprimé les données et mis en place des pratiques pour éviter que l’erreur ne se reproduise », peut-on lire dans le communiqué. « Les données n’ont jamais été utilisées, partagées ou monétisées.
- Microsoft travaille actuellement sur le système de « validation de l’identité et de l’âge de la prochaine génération », qui lui permettra de fournir des services et des expériences personnalisés, sûrs et adaptés à l’âge des différents groupes d’utilisateurs.
Microsoft n’est pas la première société de jeux vidéo à se voir infliger une amende pour avoir collecté des données personnelles d’enfants. En décembre 2022, la FTC a ordonné à Epic Games de payer 275 millions de dollars pour avoir violé la COPPA et 245 millions de dollars supplémentaires pour rembourser les utilisateurs affectés par ses « schémas sombres et ses pratiques de facturation ».