Le constructeur et éditeur Microsoft vient d'être épinglé par la FTC, qui accuse la firme de ne pas avoir respecter la vie privée de ses utilisateurs, particulièrement des enfants.

Microsoft ne respectait pas la loi jusqu'à fin 2021

Dave McCarthy vient de publier un article sur le blog de Microsoft, dans lequel il reconnait les torts de la firme en matière de protection de la vie privée des plus jeunes de leurs utilisateurs. En effet, la Federal Trade Commission vient d'exiger du constructeur qu'il verse une amende de 20 millions de dollars. La raison ? La FTC accuse Microsoft d'avoir stocker de manière inappropriée les données de comptes Xbox d'enfants, ce qui viole la loi sur la protection de la vie privée des enfants en ligne, la fameuse loi COPPA. La FTC décrit dans un communiqué de presse :

Microsoft va payer 20 millions de dollars pour s'acquitter des accusations de la FTC selon lesquelles la firme a enfreint la loi COPPA (Children's Online Privacy Protection Act) en collectant des informations personnelles auprès d'enfants qui se sont inscrits à son système de jeu Xbox sans en informer leurs parents ni obtenir le consentement de leurs parents, et en conservant illégalement les informations personnelles des enfants.
(...)
Dans le cadre d'une proposition d'ordonnance déposée par le ministère de la Justice au nom de la FTC, Microsoft devra prendre plusieurs mesures pour renforcer la protection de la vie privée des enfants utilisateurs de son système Xbox. Par exemple, l'ordonnance étendra les protections COPPA aux éditeurs de jeux tiers avec lesquels Microsoft partage les données des enfants.
(...)
La loi COPPA exige que les services en ligne et les sites Web destinés aux enfants de moins de 13 ans informent les parents des informations personnelles qu'ils obtiennent un consentement parental vérifiable avant de collecter et d'utiliser les informations personnelles des enfants.
(...)
Pour accéder et jouer à des jeux sur une console Xbox ou utiliser l'une des autres fonctionnalités Xbox Live, les utilisateurs doivent créer un compte, ce qui oblige les utilisateurs à fournir des informations personnelles, notamment leur nom et prénom, leur adresse e-mail et leur date de naissance. Même lorsqu'un utilisateur indiquait qu'il avait moins de 13 ans, il lui était également demandé, jusqu'à fin 2021, de fournir des informations personnelles supplémentaires, notamment un numéro de téléphone, et d'accepter le contrat de service et la politique publicitaire de Microsoft, qui incluaient jusqu'en 2019 une case précochée permettant à Microsoft d'envoyer des messages promotionnels et partager les données des utilisateurs avec les annonceurs, selon la plainte.

Ce n'est qu'après que les utilisateurs aient fourni ces informations personnelles que Microsoft demandait à toute personne indiquant avoir moins de 13 ans d'impliquer son parent. (...) Selon la plainte, de 2015 à 2020, Microsoft a conservé les données, parfois pendant des années, qu'il a collectées auprès des enfants lors du processus de création de compte, même lorsqu'un parent n'avait pas été impliqué.

Epic Games avait déjà été épinglé pour les mêmes raisons

Donc Microsoft ne respectait pas la loi, en permettant à des utilisateurs de créer un compte en indiquant avoir moins de treize ans, sans les forcer à impliquer un parent ou un tuteur légal. Si, visiblement, Microsoft s'est mis en conformité avec la loi COPPA fin 2021, le constructeur a mis du temps avant de changer ses méthodes. Cependant, la firme est loin d'être la plus à plaindre. En décembre 2022, la FTC avait condamné Epic Games à verser 520 millions de dollars, dont 275 millions uniquement pour des violations de la loi COPPA. Désormais, Epic permet de créer des comptes spécifiques aux enfants, pour Fortnite, Fall Guys et Rocket League. L'avenir nous dira si Microsoft fait la même chose de son côté, en créant des comptes Xbox dédiés aux plus jeunes.

"Nous n’avons pas répondu aux attentes des clients et nous nous engageons à nous conformer à l’ordonnance de la FTC"

Comme nous le disions plus, le vice-président des services aux joueurs Xbox Dave McCarthy a publié un article sur le blog de Microsoft, où il reconnait l'erreur de la firme.

Malheureusement, nous n’avons pas répondu aux attentes des clients et nous nous engageons à nous conformer à l’ordonnance de la FTC afin de continuer à améliorer nos mesures de sécurité. Nous pensons que nous pouvons et devons faire plus, et nous resterons fidèles à notre engagement en faveur de la sécurité, de la confidentialité et de la sûreté de notre communauté.

Cependant, il reste très prudent, en affirmant que Microsoft n'a pas sciemment violé la loi. D'après lui, si Microsoft n'avait pas supprimé les données des enfants dans les temps requis, c'était à cause d'un "problème technique", résolu depuis. Il déclare que ces données ont été supprimées, et qu'elles n'ont jamais été utilisées, partagées ou monétisées.

Le Xbox Games Showcase aura lieu dimanche à 19 h, juste avant le Starfield Direct qui présentera le prochain RPG majeur de Bethesda.