Défilez vers le bas

Pokemon Go, la collecte monstre

01 septembre 2016

Pokemon Go, la « chasse aux monstres de poche », a défrayé la chronique ces dernières semaines, au point d’éclipser un temps la plupart des sujets d’actualité, et d’amener plusieurs autorités à livrer leur commentaire sur le phénomène. Il est vrai que l’engouement constaté va jusqu’à menacer l’intégrité physique de certains chasseurs, plus obnubilés par leur écran de smartphone que par la circulation automobile ou les marches de l’escalier…

Le principe est simple : le jeu Pokemon Go propose au joueur une expérience de réalité augmentée puisque les créatures virtuelles sont disséminées dans le monde réel, visibles via la caméra du smartphone, et le chasseur est géolocalisé pour lui permettre de savoir s’il s’éloigne ou se rapproche de sa proie. De plus, il existe des Pokémons « rares », qui sont bien entendu plus difficilement accessibles dans l’environnement urbain…

Ce jeu, développé par The Pokemon Company et Niantic Labs, a été téléchargé sur plus de 75 millions de mobiles depuis sa sortie mondiale en juillet, générant un chiffre d’affaires de plus de 200 millions de dollars dès le premier mois d’exploitation.

Cet engouement a suscité l’intérêt des pouvoirs publics, pour d’évidentes questions de sécurité (individuelle, et collective puisque le jeu permet des rassemblements spontanés), mais aussi et surtout, au-delà du code de la route et de la sécurité physique des joueurs – ou des habituelles questions de compatibilité des rassemblements spontanés avec l’ordre public, parce que l’application n’est pas sans poser d’énormes difficultés au regard du droit des données personnelles.

Ce faisant, ce jeu jette une nouvelle fois un éclairage puissant sur les difficultés que rencontre la régulation juridique (par définition souveraine, et donc localisée) appliquée aux activités numériques (par nature transnationales).

Tout d’abord, la localisation des petites bêtes est parfaitement chaotique, et peut conduire à des atteintes particulièrement graves. La plus évidente d’entre elles, est la violation des propriétés privées. Le domicile est bien entendu protégé contre les intrusions mais cela n’arrête pas toujours le chasseur de Pokémons qui n’hésite pas à courir derrière sa proie dans le jardin de particuliers, entre la piscine et le barbecue.

De même, le ministre belge des transports a demandé qu’aucun Pokémon ne se promène sur le tarmac de l’aéroport de Bruxelles. La ministre française de l’éducation nationale a demandé qu’il ne se trouve aucun Pokémon rare dans les locaux d’enseignement. Le musée d’Auschwitz a demandé à l’éditeur qu’aucune créature n’apparaisse en son sein, pour d’évidentes questions de respect. Le ministère français de la Défense a également demandé qu’aucune créature ne soit localisée dans les installations secret-défense… Pour ne rien dire des Pokémons rares dont l’accès impliquerait de contourner, par exemple, des dispositifs de sécurité urbains.

En effet, dès lors que le jeu détermine, apparemment automatiquement et aléatoirement, la localisation des monstres, certains s’interrogent sur la responsabilité de l’éditeur dans le cas où un Pokémon rare provoque un regroupement non autorisé, un trouble à l’ordre public, une intrusion dans une propriété privée, voire le décès d’un joueur qui a tenté de capturer une créature située dans un endroit dangereux.

On retrouve ici des questions qui se posent parfois… pour Google, lorsque le résultat « automatique » d’un algorithme provoque un dommage à un individu (cf. la saga Google Suggest) : qui est responsable ? Le développeur, ou l’éditeur d’une application qui ne contrôle pas l’utilisation qui en est faite ? Ou le joueur seul, qui pourtant ne peut agir qu’en fonction des scénarii déterminés par l’algorithme ?

Alors, si le droit ne prévoit pas (encore ?) d’incrimination à l’encontre de personnages virtuels (Pikachu n’ira pas en prison pour s’être introduit frauduleusement sur un site militaire), en revanche il est possible que des individus parfaitement tangibles tentent de s’y rendre pour capturer la créature.

A défaut de contrôler la localisation des monstres, on songe donc à interdire l’utilisation de l’application près des zones sensibles. Et comme beaucoup d’interdictions, son principe est simple, mais sa mise en œuvre risque d’être plus hasardeuse, sauf à interdire tout appareil connecté dans les environs… et donc à poser des questions de liberté de circulation.

On peut alors regretter que ministres et journalistes n’aient pas pris la peine de s’exprimer sur les principaux dangers induits par l’utilisation irraisonnée de cette application, qui ont trait, bien entendu, à la protection des données personnelles. Et nous ne parlons pas seulement de celles du joueur. Il a rapidement été constaté que le jeu de Niantic permet une collecte extrêmement large de données extrêmement variées, au mépris presque caricatural des règles en vigueur en Europe.

On constate ainsi que cette application, extrêmement populaire, permet à son éditeur de collecter un nombre faramineux de données personnelles et de données techniques indirectement identifiantes.

Si ces données ne permettent spécifiquement pas de remplir son Pokedex, à quoi, et surtout à qui, peuvent-elles servir ? Comme le rappelle la CNIL, « les jeux gratuits, comme toutes les apps gratuites, s’appuient sur une économie cachée de la donnée sur smartphone ». Quel est le modèle économique de Pokemon Go ? Est-ce la publicité ? Il ne semble pas que les joueurs soient saturés de messages publicitaires adaptés à leur surf web ou à leurs déplacements en quête de créatures virtuelles. Est-ce la revente de données à des partenaires commerciaux ? A des marques désireuses d’ajouter leur logo dans la réalité augmentée (pour le cas où ceux qui saturent la réalité tangible ne suffisent pas) ? A des partenaires développeurs ? Est-ce leur transmission à ses investisseurs, qui sont justement Nintendo… et Google ? Il est difficile d’y répondre sans accéder au secret d’affaires de Niantic, mais là n’est pas réellement la question.

La presse a sonné l’alarme, en rappelant par exemple que le dirigeant de Niantic avait été impliqué dans le scandale de Google StreetView, qui collectait bien plus que de simples images pour cartographier les villes : ce service, que Google s’est efforcé de neutraliser par la suite pour éviter ces abus, permettait en effet de manière incidente la collecte de l’image des personnes (il suffit de passer devant l’objectif d’une voiture StreetView pour être enregistré), et surtout la collecte des données wifi non verrouillés des habitants alentour (le fameux scandale « wi-spy », qui a révélé que Google obtenait, en promenant ses voitures, des mots de passe, des historiques de navigation, des adresses emails, etc.).

S’il est inutile de rappeler les turpitudes passées d’un mastodonte du web « participatif », puisque l’application Pokemon Go est aujourd’hui le fait d’une autre entreprise, et que l’émotion suscitée devait normalement amener les éditeurs à un peu plus de modération dans la collecte de données en tous sens… en revanche, il est intéressant d’apprendre que Niantic a conservé le brevet déposé à l’époque, et que ce brevet décrivait un processus de pure collecte de données, dont la finalité ne réside que dans cette collecte, et dont la dimension ludique n’est qu’un prétexte.

La finalité de la collecte, dans laquelle tout réside. Les finalités possibles, évoquées ci-dessus, ne sont évidemment pas portées à la connaissance du joueur. La finalité est en principe de permettre au joueur de se distraire en chassant des petits monstres virtuels incrustés dans la réalité. Et là apparaît la disproportion écrasante entre la variété des données collectées, et celles qui sont réellement nécessaires pour jouer.

L’application permet en effet une foule de choses, rendant le jeu aussi populaire qu’addictif : géolocalisation du joueur (c’est-à-dire la collecte d’une donnée personnelle plus ou moins précise selon que le joueur active ou pas le GPS, et donc plus ou moins intrusive), envoi de messages (correspondance électronique en principe couverte par le secret des correspondances), enregistrement de photos ou de vidéos (quid du droit à l’image des personnes qui seraient ainsi photographiées, problème déjà posé par les Google Glass), collecte des contacts du carnet d’adresses par interconnexion (données éminemment personnelles), etc.

Le principe de proportionnalité, qui innerve toute la législation de protection des données personnelles et qui s’applique donc naturellement aux collectes effectuées par l’éditeur du jeu, et le principe de territorialité, qui interdit en principe tout transfert de donnée personnelle sans le consentement de l’individu, semblent gravement malmenés par l’application « best-seller » de l’été.

En effet, il suffit de figurer dans le carnet d’adresses Google ou la liste d’amis Facebook d’un joueur, pour voir ses propres coordonnées potentiellement récupérées par Niantic – notamment dans le cadre du mode multijoueur en préparation. La question n’est d’ailleurs pas propre à Pokémon Go, tant sont nombreuses les applications qui proposent de se connecter à elles via un compte de réseau social, et qui collectent tout son contenu au passage, ou qui propose d’explorer un carnet d’adresses pour envoyer des invitations à rejoindre le jeu – ou toute autre application, songez aux options de recherche de vos contacts que vous proposent LinkedIn ou Facebook…

Niantic a d’ailleurs rapidement modifié son jeu pour éviter l’aspiration automatique des carnets d’adresses à l’insu du joueur, mais l’opacité reste de mise – alors que, rappelons-le, la transparence est exigée par la législation pour que l’individu puisse consentir de manière réellement informée et éclairée, aux traitements et transferts de ses données personnelles.

Or, toutes les informations collectées sont-elles à ce point nécessaires pour chasser des monstres de poche virtuels ? Il est permis, a minima, d’en douter. Les versions les plus récentes du jeu demandent l’autorisation préalable au joueur pour accéder à son carnet d’adresses et à l’entièreté de son compte Gmail (qui va bien au-delà d’un simple gestionnaire d’emails, comme trop peu d’utilisateurs le savent).

Mais si le joueur accepte ces collectes en connaissance de cause désormais, ce n’est évidemment pas le cas des personnes dont les données sont ainsi collectées, non pas parce qu’elles jouent, mais seulement parce qu’elles figurent dans le répertoire d’un joueur.

Autres données collectées : les caractéristiques de l’appareil utilisé, les paramètres utilisateurs, et même les dernières pages web visitées par le joueur avant de se connecter à Pokémon Go (ou en tous cas, d’après les témoignages, « la » dernière page web consultée avant connexion). Si certaines de ces données semblent à première vue purement techniques, le fait de pouvoir les croiser avec les données personnelles collectées les rend, pour beaucoup, également personnelles, par croisement.

En particulier, l’utilisation de traceurs et autres cookies, qui permettent aux éditeurs qui les implantent de collecter de nombreuses informations sur les sites précédemment visités par l’internaute depuis son terminal, font l’objet d’une réglementation très précise et contraignante. Les éditeurs web français qui utilisent de tels cookies le font afin de collecter des informations qualifiées sur le comportement et les goûts de l’utilisateur, afin d’optimiser les messages publicitaires qui lui sont envoyés ou les options qui lui sont proposées, mais les éditeurs doivent alors impérativement publier un bandeau d’accueil qui informe l’internaute de cette collecte et doit lui permettre de s’y opposer. Bien entendu, aucun bandeau de ce type ne précède la chasse aux monstres de Niantic, qui précise toutefois, mais dans des conditions générales fleuve, qu’elle implante des web beacons sur le smartphone du joueur à cette fin. Autant dire qu’on est très loin des recommandations de la CNIL et des règles légales de base en Europe.

Ainsi, l’étendue de la collecte paraît gravement disproportionnée, et donc injustifiée, au regard de la finalité poursuivie, première entorse de taille aux exigences légales.

En outre, l’information due aux personnes physiques sur ces finalités apparaît largement insuffisante, qu’il s’agisse des finalités poursuivies, des destinataires des données, ou des beacons implantés sur le terminal du joueur – deuxième entorse.

Troisièmement, la collecte de données de tiers, constitue une autre entorse d’envergure. En effet, le principe fondateur de la législation européenne de protection des données personnelles, encore renforcé par le Règlement du 14 avril 2016, demeure la maîtrise par l’individu de ses propres données personnelles, et notamment, l’interdiction de tout transfert sans recueil explicite de son consentement.

La pratique existe (on songe aux parrainages divers, comme l’abonnement à un magazine, qui implique qu’un parrain renseigne les coordonnées du parrainé – avec l’accord présumé de celui-ci), mais elle est également régulée, et en particulier, le parrain doit garantir qu’il a l’accord précis du parrainé. Il est évident que les personnes qui peuplent le carnet d’adresse du joueur n’ont pas donné leur accord exprès à l’enregistrement de leurs coordonnées par l’éditeur de Pokemon Go.

Quatrième entorse : non seulement les tiers qui peuplent le carnet d’adresses du joueur voient (ou plutôt, ne voient pas !) leurs données collectées par Niantic (à quelle fin ?), mais l’ensemble des données collectées est susceptible d’être transféré aux USA. Les conditions générales de Pokemon Go prévoient en toutes lettres ce qui est un flux transfrontalier de données au sens de la loi, et qui requiert bien plus, là aussi, qu’une simple mention dans les conditions d’utilisation.

Rappelons que la loi française prohibe strictement tout transfert de données personnelles de ressortissants français vers des serveurs situés sur des territoires dont la législation n’offre pas un niveau de protection équivalent au niveau européen (comme par exemple… les USA). Et à l’heure où nous écrivons cet article, nous n’avons pas trouvé trace de déclarations par lesquelles l’éditeur Niantic indique qu’il se conformerait à la Directive européenne de 1995, ni même au « Privacy Shield » en cours de préparation pour remplacer le défunt (mais assez hypocrite) « Safe Harbor ».

Tout porte donc à croire que l’application Pokemon Go permet à son éditeur de collecter une très grande variété de données identifiantes, bien au-delà de l’exigence de proportionnalité, et de les envoyer aux USA, en dehors de la sphère de protection juridique des européens.

En cela d’ailleurs, le jeu Pokemon Go n’est que la caricature excessive d’une réalité souvent comprise, et parfois admise, par tous ceux (entreprises et individus) qui recourent à des services cloud de facture américaine : il est très difficile, y compris pour la CNIL, d’analyser en détail la portée des collectes effectuées par ces prestataires, et il est encore plus difficile, du moins tant que les sanctions du nouveau Règlement Européen ne seront pas mises en œuvre, de dissuader ces prestataires de procéder à ces collectes « sauvages » et à des traitements dits « déloyaux », c’est-à-dire à l’insu des personnes concernées.

Par ailleurs, la Commission du Marché Intérieur et de la Protection des Consommateurs européenne a souligné que certaines des stipulations des conditions générales de Pokémon Go, que bien entendu personne ne lit, pourraient bien être abusives, au sens où l’entend également la Commission française des Clauses Abusives. Comme les conditions générales de ces services sont des contrats d’adhésion, le choix proposé est simple : accepter l’intégralité du contrat (et donc des déséquilibres constatés dans ses clauses), ou retourner jouer à Worlds of Warcraft. Il n’y a pas réellement de choix. Autant dire que compte tenu des effets de mode, les innombrables joueurs dans le monde ont accepté les conditions de l’éditeur les yeux fermés – toujours en raison d’une méconnaissance des enjeux liés à la collecte, à l’exploitation et la conservation de leurs données personnelles par une entité privée sur lesquelles les individus n’ont concrètement aucun levier. Le problème n’est pas d’exploiter ces données : dans une économie dominée par la data, ce serait un non-sens ; le problème est de définir qui utilise les émanations de la personne (qui doivent rester sous sa souveraineté) et les données utiles (qui permettent l’innovation).

En France, la CNIL et le « Centre gouvernemental de la veille, d’alerte et de réponse aux Attaques Informatiques » (CERT-FR) ont récemment publié deux communiqués, respectivement le 28 juillet et le 1er aout 2016, sur les dangers liés à l’utilisation de Pokémon Go.

Le CERT-FR et la CNIL soulignent notamment le risque de cyber-attaques potentielles sur le jeu Pokémon Go de la part d’applications malveillantes. En effet, se sont développées de fausses applications reproduisant l’architecture de l’application officielle Pokémon Go, afin de capter les données personnelles de l’utilisateur (à l’instar du « phishing » qui prend l’apparence d’un site internet bancaire pour voler les données saisies par l’utilisateur et les utiliser par la suite à son insu). La même chose peut se passer au niveau des applications les plus anodines, l’utilisateur étant trompé par des messages qu’il croit émaner d’applications officielles.

Les risques sont notamment (i) l’extraction ou la reproduction des données de l’utilisateur à son insu complet, (ii) le blocage de l’accès à son téléphone, et bien entendu (iii) le détournement des données bancaires par les responsables de l’application malveillante via les identifiants de connexion du joueur, aux fins d’achats frauduleux en ligne ou de publication de contenus infâmants ou illicites, ainsi que (iv) l’usurpation d’identité en ligne, autant d’infractions réprimées notamment par les articles du Code pénal . C’est pourquoi la CNIL ainsi que le CERT-FR conseillent vivement aux utilisateurs de contrôler qu’ils chargent effectivement la version officielle du jeu, depuis les plateformes Androïd ou iOS. On notera au passage le paradoxe qui conduit la CNIL, pour parer aux risques les plus élevés, à recommander de télécharger une application qu’elle est pourtant loin de valider…

On doit cependant insister – pardon de gâcher la fête – sur le fait que comme tout autre service de ce type, la collecte des données des joueurs Pokémon Go est pleinement soumise aux dispositions de la Loi informatique et liberté du 6 janvier 1978, et qu’on pourrait trouver choquant qu’une application à ce point contraire aux exigences légales continue de faire florès. A commencer par les concurrents européens de Niantic

Qu’il soit clair ici qu’il n’est pas question de diaboliser une application ludique, ni même les prestataires cloud nord-américains – qui quant à eux proposent des services sécurisés, qualitatifs et souvent incontournables. Il s’agit ici d’un jeu, son utilisation est a priori inoffensive, et pousser certains « otakus » à sortir enfin de leur chambre d’adolescent et à parcourir les rues de leur ville entre copains « ne peut pas leur faire de mal »… De plus, les conditions générales du jeu admettent aisément un certain nombre de pratiques et il suffirait de les lire pour mesurer la portée de tout ce à quoi l’on consent en cliquant sur « OK » – même si, comme expliqué ici, cela ne suffit pas.

L’objet du présent commentaire est simplement de souligner que l’application ludique « best-seller » de l’été semble gravement non-conforme à la législation européenne, en ce qu’elle n’informe pas les personnes des finalités poursuivies ni des destinataires de leurs données, et en ce qu’elle ne respecte pas le formalisme imposé en Europe.

S’agissant de la collecte de l’adresse email du joueur, mais aussi du contenu de son compte Google (qui peut potentiellement regrouper le réseau social Google+ et donc de nombreux contenus et contacts, le carnet d’adresses Gmail, les contenus photos et vidéos, et pourquoi pas les recherches effectuées tout simplement sur Google…), on ne peut pas ignorer qu’à son lancement, l’application Pokémon Go recueillait l’intégralité des données liées au compte Google.

L’éditeur a bloqué cette possibilité, en prétendant qu’il ne s’agissait que d’un « bug de développement » (on ne compte plus, à ce jour, le nombre de « bugs » qui permettent le contournement aussi méthodique qu’opportun des règles légales… or, comme le savent les spécialistes, parfois « it’s not a bug, it’s a feature »…).

On conseille donc aux utilisateurs de vérifier les permissions demandées par le jeu Pokémon Go dans les Préférences accessibles depuis le smartphone. Tout le monde n’est pas juriste, et les juristes eux-mêmes ne lisent pas toujours les conditions générales sans fin que proposent les services en ligne ; en revanche, la description schématique proposée dans les Préférences permet souvent de faire les bons choix.

Reste à savoir, là encore, qui détermine les Préférences modifiables et celles qui sont passées sous silence… ce en quoi les constructeurs d’appareils peuvent difficilement en remontrer aux éditeurs d’applications. On n’ira donc pas jusqu’à écrire qu’il faut compter sur son smartphone pour limiter les abus des éditeurs de certaines applications. Mais, connaître les Préférences du terminal et savoir régler des paramètres de confidentialité permet déjà de reprendre un certain contrôle.

S’agissant des données liées à l’utilisation des services, comme l’adresse IP, le type de navigateur, le système d’exploitation, les termes de recherche, le temps passé sur une page ou sur un niveau du jeu, etc., la CNIL indique qu’à ses yeux, cette collecte correspond bien plutôt à une stratégie poussée d’analyse comportementale et psychologique du joueur.

Avec ces données, Pokémon Go peut analyser la patience, le goût du risque ou le découragement du joueur face à un obstacle, par exemple. Toute caractéristique est convertie en donnée qui permet de catégoriser les joueurs, et de cibler les offres et options qui leurs sont proposées (exemple : l’incitation aux achats intégrés ou « in-app », effectués depuis l’application pour débloquer les niveaux supérieurs, acheter du temps de jeu supplémentaire, et une foultitude d’autres options monétisées).

S’agissant des données géoréférencées (soit la géolocalisation de l’utilisateur, son nom d’utilisateur, etc.), celles-ci ouvrent également la voie à une nouvelle forme de monétisation : les « lieux sponsorisés », pour lesquels une marque pourrait payer afin d’accueillir officiellement une zone de chasse importante (ou de le prétendre) afin d’augmenter les visites sur le site et déclenchant potentiellement des actes d’achats des joueurs.

On verra probablement de nouvelles formes promotionnelles apparaître, jouant sur la réalité augmentée et donc l’attirance des joueurs vers un lieu « riche en opportunités commerciales ».

En soi, cela n’a rien de répréhensible. Comme tous les éditeurs, Niantic indique que toutes ces données sont collectées pour « améliorer, personnaliser et renforcer les services » et la fameuse « expérience utilisateur » en élargissant leurs caractéristiques et fonctionnalités, en les adaptant aux besoins et préférences des utilisateurs, et en créant au passage de nouveaux modes d’exploitation et de monétisation des données collectées.

La réalité augmentée, sur laquelle travaille notamment Google, promet à la fois des services particulièrement pratiques et innovants, mais aussi une débauche marketing particulièrement présente, pour ne pas dire oppressante. Tout cela est bel et bon, tant que l’utilisateur (le consommateur, in fine) est parfaitement informé des finalités poursuivies, des informations collectées, de leurs destinataires, et des droits personnels et souverains dont il doit nécessairement disposer sur lesdites données. Tout cela est acceptable, dès lors que la protection des données personnelles et le libre arbitre de l’utilisateur sont respectés, et à la condition que la personne puisse désactiver ou bloquer la collecte d’information, voire les messages publicitaires les plus intrusifs.

Les questions posées par Pokémon Go ne sont donc pas exactement nouvelles. Mais elles sont posées avec une acuité particulière dans le cas d’un jeu qui maximalise manifestement la collecte de données en tous genres, sans respecter les exigences légales en vigueur en Europe. Plus que jamais, les autorités en charge de ces questions tentent donc d’attirer l’attention des utilisateurs, et de les responsabiliser dans leur utilisation des produits, fussent-ils des applications ludiques en apparence inoffensives et réellement conviviales.

Il est hors de question de freiner le développement de la réalité augmentée, ou de l’économie de la donnée qui la sous-tend. Les bénéfices de ces mutations sont suffisamment nombreux, et pas seulement dans les domaines de l’entertainment, pour que la réalité augmentée soit favorisée. Mais, comme toujours en matière de technologie, la question se pose des vrais bénéficiaires de ces mutations, et des droits inaliénables que doivent conserver les individus, qu’il s’agisse du joueur Pokemon Go (qui ne devrait pas avoir à livrer les moindres détails de sa vie numérique pour courir après un monstre virtuel dans un jardin public) ou des tiers (qui ne devraient pas avoir à courir hors du champ d’un smartphone pour éviter que soit captée leur image, ou interdire à leurs contacts de diffuser leurs coordonnées).

ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds