La plupart des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi ») sont entrées en vigueur le 22 septembre 2023. La nouvelle version de la Loi a contraint les sociétés exploitant une entreprise au Québec à remanier en profondeur leurs procédures de traitement des renseignements personnels, ainsi que leurs pratiques en matière de gouvernance des données. Le secteur des jeux vidéo n’y échappe pas.
Dans quels cas les sociétés du secteur des jeux vidéo doivent-elles se soucier de leur conformité à la Loi?
Des obligations de conformité s’appliquent principalement dans deux cas. Premièrement, les sociétés de jeux vidéo ayant des employés physiquement situés au Québec doivent respecter la Loi à l’égard des renseignements personnels de ces derniers. C’est aussi le cas des sociétés situées à l’extérieur du Québec qui font appel à des pigistes établis au Québec, ainsi que des sociétés québécoises ayant des employés ou pigistes travaillant à partir d’autres provinces ou pays. Deuxièmement, comme les jeux vidéo traitent souvent de grandes quantités de renseignements personnels, les studios doivent connaître leurs nouvelles obligations envers les joueurs.
Il est crucial de garder à l’esprit que la Loi ne vise pas uniquement les grandes sociétés : les petits et moyens studios doivent également s’y conformer. Nous présentons ci-dessous certaines dispositions clés qui s’appliquent directement aux renseignements personnels recueillis auprès de joueurs au Québec.
Qu’est-ce qu’un renseignement personnel dans le contexte des jeux vidéo?
La Loi définit un « renseignement personnel » en ces termes : « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » [1] . L’identification est directe lorsque le renseignement permet d’identifier une personne sans autre information (comme le nom, le numéro d’assurance sociale ou l’adresse électronique) et indirecte lorsque le renseignement doit être associé à d’autres renseignements pour que l’on puisse identifier une personne.
Dans le contexte des jeux vidéo, il n’est pas toujours évident de savoir ce que constitue un renseignement personnel, puisque de nombreux identifiants indirects sont recueillis. Toutefois, la Commission d’accès à l’information du Québec (la « CAI ») a récemment apporté des précisions sur plusieurs catégories de renseignements personnels susceptibles d’être recueillis sur les joueurs dans des lignes directrices sur le consentement, notamment :
- nombre de clics au cours d’une session de jeu;
- nombre d’heures jouées au cours d’une session de jeu;
- liste d’amis;
- métadonnées sur l’appareil ou le système du joueur;
- conversations sur les serveurs publics;
- pointage, historique de jeu et pseudonyme ou nom d’utilisateur . [2]
La conformité à la Loi suppose donc en premier lieu de comprendre quels renseignements personnels sont recueillis. Pour déterminer les mesures à prendre, il faut commencer par dresser l’inventaire des renseignements personnels.
Dans quels cas un jeu vidéo doit-il faire l’objet d’une évaluation des facteurs relatifs à la vie privée?
Une évaluation des facteurs relatifs à la vie privée (une « EFVP ») est une évaluation de divers facteurs relatifs à la protection des renseignements personnels que les entreprises doivent réaliser avant de prendre certaines mesures. La Loi impose de procéder à une EFVP dans deux cas :
Lorsqu’une entreprise se lance dans tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. [3]
Si un studio souhaite mettre en place un nouveau système impliquant la collecte automatique de données de jeu sur les joueurs, il doit effectuer une EFVP. Il pourrait s’agir d’un système comportant une fonction qui analyse des renseignements comme le temps que les joueurs passent sur tel ou tel niveau ou des données sur la déconnexion d’une session afin de repérer les bogues ou glitches susceptibles de freiner l’avancée des joueurs.
Lorsqu’une entreprise a l’intention de communiquer des renseignements personnels hors Québec. [4]
Un studio devrait réaliser ce type d’EFVP avant d’envoyer des renseignements personnels recueillis auprès de joueurs au Québec à des serveurs situés dans une autre province ou un autre pays. Par exemple, si pour jouer à un jeu MMORPG [5], un joueur au Québec doit se connecter à un serveur situé en Ontario, l’entreprise doit réaliser une EFVP.
Dans quels cas les sociétés du secteur des jeux vidéo doivent-elles divulguer leurs outils technologiques aux joueurs?
La Loi précise que l’on doit informer le joueur si on a recours à une technologie comprenant des fonctions permettant de l’identifier, de le localiser ou d’effectuer son profilage et qu’une telle technologie doit être désactivée par défaut. [6] Cela comprend en particulier la collecte de données sur les joueurs à des fins de publicités ciblées, ainsi que les fonctions de géolocalisation. Par exemple :
- un jeu en accès gratuit qui recueille des renseignements sur les préférences et les caractéristiques démographiques du joueur (âge, formation ou profession, autres applications utilisées, genre de jeux auxquels il joue) en vue de dresser son profil individuel et de lui proposer des publicités intrajeux de tiers plus pertinentes;
- un jeu sur mobile qui permet aux joueurs de se connecter depuis certains lieux physiques pour obtenir des récompenses intrajeux et qui conserve des renseignements sur les lieux visités par le joueur.
Dans quels cas les joueurs doivent-ils être informés de la prise de décision automatisée?
Lorsqu’un studio rend une décision fondée exclusivement sur le traitement automatisé des renseignements personnels d’un joueur – par exemple, en recourant à l’intelligence artificielle (« IA ») ou à des algorithmes, il doit en informer ce dernier au plus tard au moment où la décision est prise. [7] Ce pourrait être le cas lorsque, pendant une partie d’un jeu JcJ, [8] un algorithme sélectionne les participants à un match en fonction de leur niveau. En l’absence d’autres lignes directrices, il est possible que de telles fonctions soient considérées comme prenant des décisions automatisées et donc visées par l’obligation d’information.
Comment les sociétés du secteur du jeu vidéo doivent-elles s’y prendre pour obtenir un consentement valide?
Le consentement à l’utilisation et à la communication de renseignements personnels doit être manifeste, libre et éclairé. [9] Par conséquent, si un studio souhaite utiliser les renseignements personnels d’un joueur à des fins non essentielles au jeu, il doit lui présenter une demande de consentement distincte. Dans bien des cas, ce consentement doit être explicite. Il faut savoir que la publicité ciblée et le profilage ne sont pas considérés comme des fins essentielles.
Par ailleurs, il ne suffit pas pour un studio de décrire ses pratiques en matière de protection de la vie privée dans ses conditions d’utilisation (p. ex., sur l’écran d’introduction) et de demander au joueur de consentir à ses pratiques en acceptant les conditions d’utilisation. [10] Ces pratiques doivent plutôt être divulguées dans une politique de confidentialité distincte. Toutefois, un studio ne peut pas non plus présumer que le joueur consent aux fins non essentielles si le studio se contente de les présenter dans une politique de confidentialité. Le studio doit plutôt obtenir ce consentement en demandant au joueur de cocher ou de décocher une case distincte en signe d’acceptation de chaque fin non essentielle ou en utilisant un formulaire de consentement en ligne prévu à cet effet.
En outre, lorsque les renseignements personnels demandés sont strictement requis à des fins essentielles à la fourniture du jeu, le consentement peut être présumé si le joueur fournit ses renseignements personnels après avoir été informé, entre autres, de ces fins dans une politique de confidentialité distincte au moment de la collecte. Par exemple, cela peut être le cas lorsqu’un numéro de carte de crédit est exigé pour acheter du contenu téléchargeable additionnel dans un jeu en accès gratuit, à condition que cette fin soit mentionnée dans la politique de confidentialité au moment où le joueur crée son compte.
Comment Fasken peut-il vous aider à respecter la Loi 25?
Si vous avez des questions ou des préoccupations, Fasken est là pour vous aider. N'hésitez pas à consulter notre centre de ressources sur la Loi 25 ou à communiquer avec les auteurs de ce bulletin pour obtenir de l’aide relativement à toute question concernant la protection de la vie privée ou le secteur des jeux vidéo.
Pour obtenir de plus amples renseignements sur le groupe de pratique sur les jeux vidéo de Fasken, veuillez communiquer avec Michael Shortt et Karam Bayrakal.
[1] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, chapitre P-39.1, art. 2.
[2] Lignes directrices 2023-1 – Consentement : critères de validité (31 octobre 2023), en ligne : CAI <https://www.cai.gouv.qc.ca/documents/CAI_LD_Criteres_validite_consentement.pdf>, p. 39.
[3] Voir Loi, supra, note 1, art. 3.3.
[4] Ibid., art. 17.
[5] Jeu de rôle en ligne massivement multijoueur.
[6] Ibid., art. 8.1.
[7] Ibid., art. 12.1.
[8] Jeu de type joueur contre joueur.
[9] Ibid., art. 14.
[10] Voir Lignes directrices de la CAI, supra, note 2, p. 39.
