Plainte de NOYB à l’en­contre d’Ubisoft du 24 avril 2025 

I. Faits 

L’association NOYB, fondée par Max Schrems, a déposé le 25 avril 2025 une plainte auprès de l’autorité autri­chienne de protec­tion des données (Datenschutzbehörde ; ci-après « DSB ») à l’encontre de l’entreprise fran­çaise de déve­lop­pe­ment d’édition et de distri­bu­tion de jeux vidéo, Ubisoft.  

L’association NOYB, qui repré­sente un joueur (ci-après le « Plaignant ») du célèbre jeu « Far Cry Primal », reproche à l’éditeur de jeux vidéo de collec­ter des données person­nelles lors de sessions de jeu en mode solo, sans consen­te­ment valable et sans base légale.  

Le Plaignant est surpris de ne pas pouvoir jouer à ce jeu solo hors ligne, lequel ne dispose d’aucune fonc­tion­na­lité en ligne. S’interrogeant quant à la néces­sité de devoir se connec­ter à un compte Ubisoft pour pouvoir y jouer quand bien même le jeu a été acheté et est dispo­nible via la plate­forme Steam, le Plaignant exerce son droit d’accès (art. 15 RGPD) auprès d’Ubisoft afin de déter­mi­ner quels types d’informations sont collec­tés. Ubisoft fait droit à la demande d’accès du Plaignant et indique que :  

• Le respon­sable du trai­te­ment (in casu Ubisoft) est en mesure de savoir à quel moment le Plaignant — iden­ti­fié par son iden­ti­fiant utili­sa­teur (ID) — a lancé le jeu, à quel moment il l’a quitté, ainsi que la durée précise de la session de jeu en ques­tion. 

• Au cours d’une période d’environ dix minutes, 150 échanges DNS distincts (c’est-à-dire des demandes et réponses permet­tant à l’ordinateur de trou­ver l’adresse d’un serveur sur Internet afin d’établir une connexion) ont été effec­tués entre l’ordinateur du Plaignant et les serveurs du respon­sable du trai­te­ment. 

• Durant cette même période de dix minutes, 56 tenta­tives d’établissement de connexion ont eu lieu entre l’ordinateur du Plaignant et des serveurs tiers (c’est-à-dire des serveurs n’appartenant pas direc­te­ment au respon­sable du trai­te­ment). L’analyse d’une capture du trafic réseau permet d’identifier certains de ces desti­na­taires, notam­ment des serveurs exploi­tés par Google, Amazon et Datadog. 

Certains de ces trans­ferts de données sont quali­fiés de « métrique » et le respon­sable du trai­te­ment semble être respon­sable de ce trafic réseau. Les autres données trans­mises sont cryp­tées, de sorte qu’il n’est pas possible de déter­mi­ner leur nature. 

Afin de connaître la nature desdites données, le Plaignant contacte le support client d’Ubisoft. Il saisit cette occa­sion pour s’enquérir de l’identité des desti­na­taires de ces trans­ferts et obte­nir une expli­ca­tion de l’utilisation faite de chaque type de données collec­tées. Le support client d’Ubisoft ne fait part, au Plaignant, que des données collec­tées lors du lance­ment du jeu à des fins de véri­fi­ca­tion de la titu­la­rité des droits sur le jeu par le joueur. Aucune infor­ma­tion (type de données collec­tées, desti­na­taires, finalité/​s du trai­te­ment) n’a été commu­ni­quée par le service client Par ailleurs, le service client d’Ubisoft trans­met au Plaignant un lien l’informant de l’existence d’un mode hors ligne — peu visible et diffi­ci­le­ment acces­sible — permet­tant de jouer au jeu sans connexion à Internet. 

II. Dispositions contrac­tuelles 

Davantage d’informations concer­nant la nature et la fina­lité pour­sui­vie par la collecte de données peuvent être trou­vées dans le contrat de licence de l’utilisateur final (ci-après « Contrat de licence ») et/​ou la poli­tique de confi­den­tia­lité d’Ubisoft.  

S‘agissant du Contrat de licence, l’éditeur de jeux vidéo confirme qu’il collecte des données person­nelles afin d’« offrir une meilleure expé­rience de jeu » et d’utiliser « des outils d’analyse tiers pour collec­ter des infor­ma­tions concer­nant vos habi­tudes de jeu et l’utilisation du produit par vous et d’autres utili­sa­teurs » (cf. art. 3.2 (b) et ©). Concernant ce dernier point, il est indi­qué que les données collec­tées, à savoir les données rela­tives aux habi­tudes de jeu et d’utilisation du produit, ne sont pas consi­dé­rées comme des données person­nelles (art. 3.2 (d)). 

En outre, la poli­tique de confi­den­tia­lité d’Ubisoft indique que le respon­sable du trai­te­ment collecte des « données de jeu, pour amélio­rer votre expé­rience et la sécu­rité de nos services » ainsi que des « données de connexion et de navi­ga­tion, pour permettre le fonc­tion­ne­ment et la sécu­rité de nos services » (section 3.d).  

Du point de vue du Plaignant et de sa mandante, les utili­sa­teurs du jeu n’ont pas la possi­bi­lité de s’opposer au trai­te­ment de leurs données par Ubisoft afin de pouvoir inter­agir avec le produit.  

III. De la licéité du trai­te­ment 

Avant de s’intéresser à la licéité du trai­te­ment opéré par Ubisoft, NYOB affirme que les données collec­tées auprès du Plaignant consti­tuent des données person­nelles, et ce, indé­pen­dam­ment des affir­ma­tions contraires figu­rant dans le Contrat de licence (art. 3.2 (d)). Pour asseoir ce point, NOYB se prévaut de la juris­pru­dence de la Cour de Justice de l’Union Européenne, selon laquelle des données n’ont pas besoin d’identifier direc­te­ment une personne pour être consi­dé­rées comme des données person­nelles au sens de l’art. 4 para. 1 RGPD (cf. C‑604/​22 du 7 mars 2024, commenté in swiss​pri​vacy​.law/​3​03/). En effet, il suffit qu’elles puissent être asso­ciées à d’autres infor­ma­tions permet­tant d’identifier une personne physique pour consti­tuer des données person­nelles. 

Dans ce contexte, les données collec­tées par Ubisoft, telles que l’identifiant unique de l’appareil, la loca­li­sa­tion, les para­mètres du système, l’historique d’utilisation ou les données de jeu tel que mentionné dans le Contrat de licence, se rapportent, direc­te­ment ou indi­rec­te­ment, à l’utilisateur. 

Consentement  

Selon NOYB, le trai­te­ment des données réalisé par Ubisoft ne repose sur aucun motif justi­fi­ca­tif (art. 6 para. 1 RGPD). Pour l’association, puisque la collecte d’Ubisoft dans ce présent cas pour­rait rele­ver de l’ana­lyse de compor­te­ment et de ciblage publi­ci­taire, un consen­te­ment doit être obte­nue de manière à satis­faire les condi­tions fixées par l’art. 4 ch. 11 RGPD. Il faudrait une accep­ta­tion spéci­fique, éclai­rée et univoque pour analy­ser le compor­te­ment du joueur, et lui offrir de la publi­cité ciblée. Cela n’est toute­fois pas le cas ici. En effet, aucune infor­ma­tion suffi­sante à ce propos n’a été donnée au joueur. Un autre motif justi­fiant d’une telle collecte doit ainsi être analysé. 

Bien que cela ne figure pas dans la plainte, le modèle « pay or consent », qui pour­rait éven­tuel­le­ment justi­fier une collecte de données plus éten­due, n’entre égale­ment pas en compte dans le cas d’espèce. En effet, le jeu concerné n’offre aucune alter­na­tive au joueur puisque ce dernier doit néces­sai­re­ment consen­tir aux condi­tions géné­rales ainsi qu’à la poli­tique de confi­den­tia­lité et s’acquitter d’une somme pour pouvoir jouer audit jeu.  

Exécution du contrat  

S’agissant du motif justi­fi­ca­tif de la néces­sité du trai­te­ment afin de pouvoir jouer au jeu vidéo, soit l’exécution du Contrat de licence, celle-ci est remise en cause par NOYB. 

Ainsi, puisque le jeu a été acheté sur une plate­forme tierce (Steam), laquelle se charge de véri­fier la vali­dité des licences de jeu, et que le jeu ne dispose unique­ment que de fonc­tion­na­li­tés hors-ligne, il n’est pas néces­saire de collec­ter des données. 

Dans sa réponse au Plaignant par l’intermédiaire de son service client, Ubisoft indi­quait que le trai­te­ment concerné était néces­saire aux fins de véri­fi­ca­tion de la propriété du jeu lors du lance­ment de ce dernier. Aux vues des éléments du cas d’espèce, notam­ment du fait que plus d’une centaine de connexions en l’espace d’une dizaine de minutes sont justi­fiées par la néces­sité d’exécuter le jeu, le carac­tère néces­saire de ces trai­te­ments pour­rait être remis en ques­tion.  

De plus, il convient de préci­ser que la véri­fi­ca­tion de la propriété du jeu est préa­la­ble­ment effec­tuée par la plate­forme qui héberge le jeu en ques­tion et qui commer­cia­lise les licences y rela­tives ou procède à la véri­fi­ca­tion de celles-ci en cas de commer­cia­li­sa­tion par d’autres plate­formes. À cela s’ajoute le fait qu’Ubisoft offre une option hors ligne — certes peu visible car diffi­cile d’accès — de sorte qu’aucune connexion à Internet ne soit requise. Dans ce cas, la véri­fi­ca­tion de la propriété du jeu, qui suppose norma­le­ment une telle connexion, devient impos­sible. L’affirmation selon laquelle cette véri­fi­ca­tion néces­si­te­rait un trai­te­ment de données person­nelles appa­raît dès lors dépour­vue de perti­nence et ne saurait être consi­dé­rée comme néces­saire au sens de l’art. 6 para. 1 let. b RGPD. 

Intérêt légi­time privé prépon­dé­rant 

En outre, Ubsioft se prévaut du motif d’offrir au joueur « la meilleure expé­rience utili­sa­teur possible, comme assu­rer la sécu­rité des Services ».  Ce motif justi­fi­ca­tif ne rele­vant ni de l’exécution du contrat (art. 6 para. 1 let. b RGPD), ni du consen­te­ment (art.6 para. 1 let. a RGPD), relève donc de l’intérêt légi­time d’Ubisoft (art. 6 para. 1 let. f RGPD).  

Or, selon NOYB, qui se réfère à la juris­pru­dence de la CJUE susmen­tion­née, la collecte des données person­nelles de joueurs n’est pas néces­saire puisqu’il n’est dans les faits pas réel. Ubisoft se réserve le droit géné­ral « d’of­frir la meilleure expé­rience utili­sa­teur possible, comme assu­rer la sécu­rité des Services » et amélio­rer le jeu. Or le jeu est vendu en l’état, sans qu’au­cune modi­fi­ca­tion ne puisse y être appor­tée. Il s’agit donc dans cet exemple d’un inté­rêt hypo­thé­tique, qui n’est pas et ne sera pas réalisé. Le jeu ne sera pas amélioré puisqu’il est mentionné dans son Contrat de licence qu’il est vendu « en l’état », ce qui sous-entend qu’il ne fera pas l’objet d’améliorations. 

Au surplus, NOYB soutient que des méca­nismes moins inva­sifs qu’une collecte proac­tive de données person­nelles en cas de panne ou de bugs peuvent être mis en place. En effet, une pratique stan­dard dans cette indus­trie est de mettre en place des méca­nismes de signa­le­ment, lesquels offrent la possi­bi­lité au joueur d’effectuer, ou non, un tel signa­le­ment. Cette pratique est conforme à la juris­pru­dence de la CJUE qui retient que la néces­sité d’un trai­te­ment doit être le moins atten­ta­toire aux liber­tés et droits fonda­men­taux des personnes concer­nées (cf. C‑621/​22 du 4 octobre 2024, commenté in swiss​pri​vacy​.law/​3​36/).  

En dernier lieu, NOYB termine son argu­men­taire en concluant que la mise en balance des inté­rêts ne permet pas de rete­nir l’intérêt légi­time d’Ubisoft de réali­ser un tel trai­te­ment.  

IV. Conclusion  

Cette plainte permet de mettre en lumière un enjeu des plus centraux : le modèle écono­mique de l’industrie du jeu vidéo basé, en partie, sur la collecte de donnée person­nelle des joueurs.  

A terme, cette plainte pour­rait conduire à la saisine de la CJUE qui devrait déter­mi­ner l’étendue accor­dée par l’intérêt privé prépon­dé­rant face à cette pratique.  

Les argu­ments de NOYB démon­trant l’absence de consen­te­ment valide, ainsi que de base contrac­tuelle suffi­sante permet­tant la collecte de ces données person­nelles, sont convain­cants. Nous pouvons toute­fois nous inter­ro­ger sur l’éten­due de la notion d’in­té­rêt légi­time privé prépon­dé­rant. En effet, quand bien même l’in­té­rêt d’Ubisoft d’amé­lio­rer son jeu est hypo­thé­tique dans notre cas, et qu’il se prévaut d’une clause contrac­tuelle stan­dar­di­sée à l’en­semble de ses produits et services, il dispose bien d’un inté­rêt à assu­rer la sécu­rité de son jeu. Cela justi­fie-t-il toute­fois la collecte d’au­tant de données de jeu ? 

Bien qu’une alter­na­tive à la collecte des données person­nelles existe – à savoir l’instauration d’un méca­nisme de signa­le­ment pour tout problème rele­vant de la sécu­rité ou de la bonne exécu­tion du jeu – nous pour­rions argu­men­ter que l’implémentation d’un tel méca­nisme, pour des jeux vidéo hors ligne qui ne repré­sentent qu’une faible partie de l’offre sur le marché, vien­drait défa­vo­ra­ble­ment porter atteinte aux inté­rêts, notam­ment écono­miques, des éditeurs de jeux vidéo. Nous pouvons donc nous inter­ro­ger quant au modèle « pay or consent » qui pour­rait consti­tuer une solu­tion conci­liant les inté­rêts des déve­lop­peurs de jeux vidéo et de leurs utili­sa­teurs.