Ubisoft è accusato di violare il GDPR raccogliendo i dati dei giocatori senza il loro consenso

Ah tiens Ubisoft ne respecte pas ses clients en plus de ses salariés, étrange…

> Le plaignant, représenté par Noyb, raconte avoir été obligé de se connecter à son compte Ubisoft pour jouer au jeu Far Cry Primal, acheté sur Steam. Cette situation l’a surpris étant donné que le single-player game “ne dispose d’aucune fonctionnalité en ligne”.

N’importe qui possédant le jeu peut le vérifier : une connection est nécessaire uniquement au premier lancement du jeu pour son activation, et il peut ensuite être joué offline sans problème. Ca n’a rien de nouveau, et Ubisoft est loin d’être le seul à le faire depuis de nombreuses années.

> De son côté, le plaignant a examiné l’ensemble des données envoyées à Ubisoft pendant la session de jeu. En 10 minutes de jeu, “150 ensembles DNS uniques” ont été envoyés et “56 demandes d’établissement d’une connexion” entre son ordinateur et “des serveurs externes”, peut-on lire dans la plainte.

J’ai travaillé dans la télémétrie pour différents acteurs du jeu vidéo. 150 requêtes vers un serveur de tracking en 10 minutes de jeu, c’est *extraordinairement banal*. Peu de gens se rendent compte à quel point le tracking de données anonymisées est non seulement une pratique courante, mais quasi-systématique dans le milieu. Et ce n’est pas pour vous vendre de la publicité ciblée ou établir un profil de vous, c’est parce que ces données sont utiles pour savoir quelles fonctionnalités du jeu sont utilisées et comment. Prenez n’importe quel jeu compétitif en ligne : le moindre tir, la moindre attaque, le moindre skill utilisé en cours de jeu est tracké, avec les infos de qui l’a utilisé, quand, et pour combien de dégâts. Ce sont des données cruciales pour l’équilibrage des jeux, et aussi pour décider des futures mises à jour de contenu, des DLCs, des bugfixes prioritaires, etc…

Je n’ai pas le moindre doute sur le fait que 150 requêtes en 10 minutes, même pour un jeu solo, se justifie sans aucun problème. Cette affaire va droit dans le mur, soit par ignorance, soit par pur “Ubi-bashing” parce que c’est une tendance facile du moment pour générer des clics. Et par ailleurs, collecter des données n’est pas interdit par le GDPR, du moment qu’elles respectent quelques principes de base (comme le droit à l’opt-out, l’anonymisation des données ou l’interdiction de la collecte aux joueurs de moins de 13 ans ; conditions toutes respectées ici).