Microsoft a accepté de payer une amende de 20 millions de dollars pour régler les accusations de la Federal Trade Commission (FTC) des États-Unis selon lesquelles la société aurait illégalement collecté et conservé les données d’enfants qui se sont inscrits pour utiliser sa console de jeu vidéo Xbox à l’insu ou sans le consentement de leurs parents.
« Notre ordonnance proposée permet aux parents de protéger plus facilement la vie privée de leurs enfants sur Xbox et limite les informations que Microsoft peut collecter et conserver sur les enfants », a déclaré Samuel Levine de la FTC. « Cette action devrait également indiquer très clairement que les avatars, les données biométriques et les informations sur la santé des enfants ne sont pas exemptés de la COPPA. »
Dans le cadre du règlement proposé, qui est en attente d’approbation par le tribunal, Redmond a reçu l’ordre de mettre à jour son processus de création de compte pour les enfants afin d’empêcher la collecte et le stockage de données, y compris l’obtention du consentement parental et la suppression desdites informations dans les deux semaines si l’approbation n’est pas obtenue. .
Les protections de la vie privée s’étendent également aux éditeurs de jeux tiers avec lesquels Microsoft partage les données des enfants, en plus de soumettre les informations biométriques et les avatars créés à partir des visages d’un enfant aux lois sur la confidentialité.
Microsoft, selon la FTC, a violé les exigences de consentement et de conservation des données de la COPPA en exigeant que les moins de 13 ans fournissent leurs noms et prénoms, adresses e-mail, dates de naissance et numéros de téléphone jusqu’à la fin de 2021.
En outre, le fabricant de Windows aurait partagé les données des utilisateurs avec les annonceurs par défaut jusqu’en 2019 lorsqu’il a consenti à l’accord de service et à la politique publicitaire de Microsoft.
« Ce n’est qu’après que les utilisateurs ont fourni ces informations personnelles que Microsoft a demandé à toute personne indiquant avoir moins de 13 ans d’impliquer son parent », a déclaré la FTC. « Le parent de l’enfant devait alors terminer le processus de création de compte avant que l’enfant puisse obtenir son propre compte. »
Cependant, Microsoft a choisi de conserver les données collectées auprès des enfants lors de l’étape de création de compte pendant des années, même dans les scénarios où un parent n’a pas terminé le processus d’inscription, enfreignant ainsi les lois sur la confidentialité des enfants aux États-Unis.
La société a en outre été accusée d’avoir créé un identifiant persistant unique pour les comptes mineurs et d’avoir partagé ces informations avec des développeurs de jeux et d’applications tiers et d’avoir explicitement demandé aux parents de se retirer afin d’empêcher leurs enfants d’accéder à des jeux et applications tiers sur Xbox. En direct.
Xbox, en réponse, a déclaré qu’elle prenait des mesures supplémentaires pour améliorer ses systèmes de vérification de l’âge et pour s’assurer que les parents sont impliqués dans la création de comptes enfants pour le service. Il n’a pas révélé les détails exacts de ce que pourrait être un tel système.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Rejoindre la séance
Il a également imputé certains des problèmes à un problème technique qui n’a pas réussi à « supprimer les données de création de compte pour les comptes enfants où le processus de création de compte a été lancé mais pas terminé », soulignant que les données ont été rapidement supprimées et jamais « utilisées, partagées ou monétisées ». . »
Ce n’est pas la première fois qu’un fabricant de jeux vidéo est condamné à une amende par la FTC pour violation de la COPPA. En décembre 2022, le développeur de Fortnite Epic Games a conclu un règlement de 520 millions de dollars avec l’agence en partie pour avoir bafoué les lois sur la confidentialité en ligne pour les enfants.
Les amendes surviennent alors que Microsoft a révélé qu’il prévoyait des amendes d’un montant d' »environ 425 millions de dollars » de la part de la Commission irlandaise de protection des données (DPC) au quatrième trimestre 2023 pour avoir potentiellement enfreint le Règlement général sur la protection des données (RGPD) de l’Union européenne pour diffuser des publicités ciblées aux utilisateurs de LinkedIn.
Le développement survient également peu après que la FTC ait imposé à Amazon une amende cumulée de 30,8 millions de dollars pour une série de manquements à la vie privée concernant son assistant Alexa et ses caméras de sécurité Ring.
