La Commission Fédérale du Commerce des Etats-Unis reproche à Microsoft d’avoir enfreint des exigences de la loi COPPA (Children's Online Privacy Protection Act) en matière de notification, de consentement et de conservation des données d’enfants de moins de 13 ans.
Microsoft va devoir payer 20 millions de dollars pour mettre fin à des poursuites de la FTC qui l’accuse d’avoir enfreint la loi COPPA. Il est reproché à la firme de Redmond d’avoir collecté et conservé illégalement des informations personnelles d’enfants sur son réseau Xbox, sans en avoir informé les parents, ni obtenu leur consentement pour l’utilisation des informations collectées.
Dans le détail, le géant est accusé d’avoir manqué à ses obligations dans le cadre de l’inscription au service de jeux en ligne Xbox Live. Pour y accéder et jouer à des jeux, les utilisateurs doivent créer un compte en fournissant des informations personnelles comme leur nom, prénom, adresse, date de naissance et jusqu’à fin 2021, un numéro de téléphone. Même lorsqu’un utilisateur avait moins de 13 ans, il lui était demandé d’accepter le contrat de service et la politique publicitaire de Microsoft, qui, jusqu’en 2019, incluait une case précochée autorisant la firme à envoyer des messages promotionnels et à partager les données des utilisateurs avec les annonceurs.
Microsoft va devoir prendre des mesures
« Ce n'est qu'après que les utilisateurs ont fourni ces informations personnelles que Microsoft a demandé à toute personne indiquant avoir moins de 13 ans d'impliquer son parent », explique la FTC. Selon la plainte, la firme a parfois conservé les données collectées pendant des années et ce, même lorsqu'un parent n'avait pas terminé le processus de création de compte. Or, « la COPPA interdit de conserver les informations personnelles sur les enfants plus longtemps qu'il n'est raisonnablement nécessaire pour atteindre l'objectif pour lequel elles ont été collectées », rappelle la Commission.
L’ordonnance, déposée par le ministère de la Justice au nom de la FTC exige de l'entreprise qu'elle prenne des mesures afin de renforcer la protection de la vie privée des enfants sur son réseau Xbox. Les parents d’enfants de moins de 13 ans devront ainsi être informés de l’ensemble des informations collectées et donner leur consentement pour leur utilisation. Les données devront pouvoir être supprimées dans un délai de deux semaines à compter de la date de collecte. Les protections de la loi COPPA seront étendues aux éditeurs de jeux avec lesquels Microsoft partage des données.
La semaine dernière, Amazon a dû s’acquitter d’une amende de 30 millions de dollars pour mettre fin à des accusations d’atteinte à la vie privée de jeunes mineurs et de collectes illégales de données à travers son assistant vocal Alexa et les caméras connectées Ring.