RGPD
Jeux vidéo et RGPD : Essaye encore !

Jeux vidéo et RGPD : Essaye encore !

Paul Fouquet
Paul Fouquet 08/07/2025
Première industrie du divertissement –plus gros que le cinéma, la TV et la musique tous les trois réunis ! – le jeu vidéo représente plusieurs millions de données personnelles traitées en France, parmi lesquelles des informations relatives à l’état civil, la géolocalisation, les coordonnées bancaires, ou encore le comportement de jeu, et qui touche particulièrement un jeune public hautement protégé par la loi. 

C’est surtout un écosystème complexe au sein duquel éditeurs, développeurs et plateformes doivent répondre à l’enjeu de divertissement des joueurs tout en garantissant la bonne gestion de leurs informations pour de multiples finalités : amélioration de l’expérience de jeu, publicité ciblée, achat en ligne, contrôle parental … 

Sept ans après l’arrivée du RGPD, force est de constater que la conformité des jeux vidéo dits « AAA » (jeux à gros budget) a encore des progrès à faire. 

Laissez-vous guider par cette série de tests réalisés avec des jeux sortis post-RGPD et toujours accessibles au public ! 

Test 1 : Un jeu d’action aventure qui … consent à votre place ! 

Avant de nous projeter dans une galaxie lointaine et de partir à l’aventure avec nos héros d’enfance, vérifions que notre volonté ne soit pas détournée à des fins obscures. 

Nous saisissant du tableau des options, nous découvrons un monde figé en 2019 :
Image1.jpg 109 KB
Par défaut, le jeu active une collecte de données destinée à « fournir dynamiquement du contenu, du SAV (support)», mais aussi et surtout à « communiquer avec vous et personnaliser votre expérience avec l’éditeur ». 

Des finalités questionnables pour un jeu complètement dépourvu de contenu en ligne ou de mode multijoueurs ...

En effet, s'il était fourni sur une console de type Switch 2, nous pourrions bénéficier de 100% de l’expérience de ce titre en y jouant en mode avion au fin fond d’une grotte. 

En 2025 ? Ce traitement de données demeure activé par défaut, et on peut constater que la politique n’a jamais été mise à jour !

image.png 397 KB
image.png 411 KB

image.png 423 KB
Avec son approche "googlisante" typique des premières années du RGPD  – des mentions génériques qui encapsulent l'ensemble de la conformité de produits et services – de telles pratiques sont aujourd'hui passibles de sanctions par la CNIL.

Le temps de télécharger sa suite sortie en 2023, jetons un œil à d’autres grands titres et constatons si nous sommes face à un modèle d'exemple de mentions d’informations utilisé dans les jeux vidéo « AAA ». 


Test 2 : Un jeu d’horreur ... pour l'expert en conformité !

Faisons-nous une petite frayeur, et force est de constater que ce titre a réussi à nous surprendre ! 
Après être passés à la caisse, nous sommes accueillis par un mur de texte qui ne propose qu'une seule possibilité : « accepter ». 

Avouons que pour ce titre exclusivement solo, son contenu est surprenant :
Image6.jpg 131 KB
La politique de confidentialité nous demande d’autoriser un monitoring très invasif de l’ensemble de l'ordinateur, y compris du navigateur !
Image7.jpg 138 KB
Et fait référence aux cookies alors que nous sommes dans un programme qui s’exécute en dehors de tout navigateur !
Image8.jpg 117 KB
Cette politique – que nous sommes obligés d’accepter pour accéder au jeu –  autorise son éditeur à nous envoyer de la publicité et à fournir nos informations pour des « évènements marketings et promotionnels et des enquêtes ».
 
Image9.jpg 140 KB
Mais tout va bien car « dans la plupart des cas », le traitement de ces informations est nécessaire pour « fournir » le jeu ... non seulement solo, mais qui fonctionne surtout sans besoin de connexion internet !
Image10.jpg 111 KB
Et l'on continue dans l'absurde avec la mention de plateformes de paiement pour ce jeu qui ne comporte aucune microtransaction, ou encore la possibilité « d’analyser le comportement du joueur en jeu » afin de « réaliser des activités commerciales ». 

Plus sérieusement, en présence de mentions aussi inadéquates, on est tenté de se demander si les développeurs n’ont pas confondu les conditions générales d'utilisation avec la politique de confidentialité lors de l'implémentation de ce pop-up !

Nous voulions nous faire peur, c’est réussi puisque nous ne savons pas si l’éditeur de ce jeu est sérieusement en train de monitorer notre ordinateur pour « réaliser des activités commerciales » à partir de nos données ou s’il y a eu une erreur dans l’implémentation de la documentation légale.
 
Dans tous les cas, au vu de ces finalités affichées, si le consentement est la bonne base légale, l’impossibilité d'exprimer notre refus (sauf à fermer purement et simplement ce jeu) est de nature à le vicier et par conséquent, à rendre illicite le traitement des données.


Test 3 : Un classique de la stratégie ... qui demande votre consentement à l'infini ! 

Lançons à présent un grand classique du jeu PC, un jeu de stratégie de 2016 dont l'éditeur a récemment été sanctionné pour avoir collecté et revendu les données de ses joueurs pour maximiser sa rentabilité.

Agréablement surpris au premier abord par la présence d'un bouton de refus au traitement des données, nous avons à peine eu le temps d'enregistrer notre refus qu'une coupure de courant nous amène à recommencer le test ... et le bandeau de consentement réapparait !

Dans le doute, nous cliquons à nouveau sur le boutons de refus, donnons au jeu quelques temps pour le garder en mémoire, et le redémarrons ... et le bandeau réapparait à nouveau !

A chaque démarrage, le jeu demande systématiquement notre consentement, et ce malgré qu’un tel paramètre puisse être stocké dans notre ordinateur, ou tout simplement via le compte associé à l’éditeur. 

Pour rappel, dans le contexte des sites web, la CNIL recommande a minima un délai de 6 mois avant de redemander le consentement.
Notre jeu de stratégie a vraisemblablement fait le choix d'un délai de conservation limité « au prochain démarrage du jeu ». 

Nous ne pouvons recommander cette méthode de gestion du consentement car elle nuit à l’utilisateur en imposant systématiquement un choix jusqu’à ce qu’il dise « oui » dans le seul but de faire disparaitre ce pop-up au démarrage. 


Test 4 : Le jeu de rôle ... qui nous rassure !

Les bons élèves étant difficiles à trouver, testons un classique moderne du jeu de rôle développé par un éditeur belge. 

Sorti en 2023, ce jeu indique ne procéder au traitement qu'à des fins statistiques et de façon anonymisée.
Image11.png 139 KB
Malgré cette qualité, l'information est difficile d’accès puisque la politique de confidentialité reste dissimulée dans un coin de l’écran au premier lancement et nous renvoie à ce paragraphe sur le site web de l’éditeur. On aurait souhaité plus de détails dans l’interface d’opposition !
Image12.png 208 KB
Difficile de trouver un parfait élève dans la conformité dans le monde vidéoludique ! 
On remarquera néanmoins que contrairement aux tests précédents, la collecte de données personnelles est désactivée d'office.


Test 5 : Le retour ... de la case précochée !

Il est temps de nous replonger dans cette célèbre galaxie lointaine … 
Image13.jpg 39.8 KB
Et c’est la même chose en 2023 que pour le premier jeu de 2019 !

1774580_screenshots_20250713160726_1.jpg 61.2 KB


image.png 169 KB

image.png 169 KB


Et l'on retrouve une politique de confidentialité toujours aussi vague qui autorise la collecte de nombre d’informations sur la machine de l’utilisateur… 


Conclusion

Le milieu des jeux vidéo est imprégné par la culture américaine où la place de la protection des données n’est pas la même qu’en Europe. Les développeurs, travaillant parfois avec une pression imposée par un calendrier et par leurs éditeurs n’ont en général pas le temps de se soucier de la vie privée de leurs joueurs (comment livrer un jeu sans bug et optimisé si en plus l’approche conformité doit être assurée ?) 

A ce jour, aucun studio de développement de jeux vidéo « AAA » n’a fait l’objet d’une sanction (connue) de la CNIL. Pourtant, force est de constater qu’il s’agit d’un domaine où la collecte de données personnelles est essentielle, tant les finalités de traitement sont nombreuses (antitriche, statistiques, authentification…) et les données peuvent être hautement personnelles.


Comment vous mettre en conformité ? 

·       Bien distinguer les données à caractères personnelles (IP, Adresse, Géolocalisation, Email, Nom d’utilisateur, Hardware…) des données non personnelles (Choix réalisés dans la partie, façon d’approcher les combats, nombre de Game Over, endroits visités dans le jeu, build du personnage…) afin de déterminer celles qui relèvent du consentement du joueur ;

·       Bien distinguer la mention d’information des conditions générales d’utilisation et éviter les dark patterns qui consistent à « glisser » aléatoirement la mention d’information avec un consentement optionnel entre plusieurs conditions générale d'utilisation obligatoires ; 

·       Eviter les mentions d’informations fourre-tout, la mention d’information du jeu doit traiter exclusivement des données collectés/traitées par le jeu, sauf cas exceptionnel (jeux sur navigateurs web), vous ne devriez pas parler de cookies dans la mention d’information « in-game ») ;

·       Mettre en place un dispositif de gestion de la durée de conservation des données utilisateurs et de purge des données afin de ne pas les conserver indéfiniment et éviter tout danger en cas de cyberattaque.