Microsoft paiera une amende de 20 millions de dollars après que la Federal Trade Commission des États-Unis l’ait accusé d’avoir violé le droit à la vie privée des enfants avec ses pratiques de collecte d’informations du service Xbox Live.
La FTC a annoncé la sanction lundi. Le règlement monétaire couvre les violations de la loi de 1998 sur la protection de la vie privée en ligne des enfants (COPPA), qui impliquent « des enfants qui se sont inscrits à [the] système de jeu Xbox sans en avertir leurs parents ni obtenir leur consentement, et en conservant illégalement les informations personnelles des enfants », a déclaré la FTC dans un communiqué.
En outre, Microsoft doit prendre des mesures supplémentaires pour renforcer la protection de la vie privée des enfants mineurs qui utilisent les consoles Xbox et Xbox Live, sous réserve de l’approbation de cette ordonnance par un juge fédéral.
La COPPA exige que les services en ligne et les sites Web informent les parents qu’ils recueillent des renseignements personnels sur les enfants de moins de 13 ans et qu’ils obtiennent un consentement parental vérifiable avant de le faire. Dans ce cas, les violations découlent du fait que, même lorsqu’un utilisateur Xbox Live « indiquait qu’il avait moins de 13 ans, il lui était également demandé, jusqu’à fin 2021, de fournir des informations personnelles supplémentaires, notamment un numéro de téléphone ».
De plus, dans le cadre de l’acceptation des conditions d’utilisation de Xbox Live, ces enfants ont également consenti à un accord pré-vérifié permettant à Microsoft d’envoyer des messages promotionnels et de partager ces données avec des annonceurs. Microsoft a ensuite conservé ces données impliquant des enfants de moins de 13 ans, une autre violation de la COPPA.
Dans un article de blog lundi, Dave McCarthy, directeur de Xbox en charge des services aux joueurs, a qualifié l’affaire de « problème de rétention de données trouvé dans notre système » et a déclaré que « malheureusement, nous n’avons pas répondu aux attentes des clients ».
« Nous pensons que nous pouvons et devons faire plus », a ajouté McCarthy, « et nous resterons fidèles à notre engagement envers la sécurité, la confidentialité et la sécurité de notre communauté. »
Il a déclaré que la violation de la conservation des données était une erreur « incompatible avec notre politique consistant à enregistrer ces informations pendant seulement 14 jours afin de permettre aux joueurs de reprendre plus facilement là où ils se sont arrêtés pour terminer le processus ». Ce « pépin » a été corrigé et les données supprimées depuis. McCarthy a déclaré qu’il n’avait « jamais été utilisé, partagé ou monétisé ».
À l’avenir, les joueurs de moins de 13 ans qui ont créé un compte Xbox Live avant mai 2021 devront revérifier leurs comptes avec le consentement parental.
Microsoft et la FTC sont, bien sûr, engagés dans une autre action en justice – liée à l’acquisition prévue par Microsoft d’Activision Blizzard pour 68,7 milliards de dollars. Dans cette plainte, la FTC a déclaré que l’accord Microsoft/Activision « permettrait à Microsoft de supprimer les concurrents de ses consoles de jeu Xbox et de son activité de contenu d’abonnement et de jeux en nuage en croissance rapide ».
Cette plainte a été déposée fin 2022 ; depuis lors, les régulateurs de l’Union européenne ont annoncé qu’ils approuvaient l’accord. Pourtant, l’action américaine, ainsi que le refus de l’Autorité de la concurrence et des marchés du Royaume-Uni, ont maintenu l’accord dans les limbes. Microsoft et Activision ont annoncé le projet d’acquisition en janvier 2022.