Microsoft a accepté de verser 20 millions de dollars aux autorités de régulation fédérales américaines pour mettre fin aux allégations selon lesquelles l’entreprise aurait illégalement collecté des données sur des enfants ayant créé un compte Xbox.
Microsoft et la Federal Trade Commission (FTC) se sont mis d’accord sur des conditions qui incluent des protections supplémentaires pour les enfants qui jouent à des jeux vidéo.
Selon la FTC, Microsoft a enfreint la loi sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act) en conservant des données sur des utilisateurs de moins de 13 ans plus longtemps que nécessaire pour les comptes créés avant 2021 et en n’obtenant pas correctement l’autorisation des parents.
La FTC a découvert que Microsoft avait négligé d’informer les parents sur sa politique de collecte de données, entre autres manquements.
La loi exige l’autorisation des parents avant de collecter des informations personnelles sur un enfant par l’intermédiaire de services en ligne et de sites web destinés aux enfants, et ces services doivent également informer les parents avant de le faire.
Pour certains services, les utilisateurs de Xbox doivent créer un compte. Le processus de configuration comprend la collecte de données telles que le nom complet, l’adresse électronique et la date de naissance.
Même lorsqu’un parent n’a pas pu terminer la création d’un compte pour son enfant entre 2015 et 2020, Microsoft aurait conservé des données « parfois pendant des années » à partir de ce processus, comme l’indique la FTC
En outre, l’entreprise a négligé d’avertir les parents des informations qu’elle recueillait, y compris la photo de profil de l’utilisateur, et de la manière dont elles seraient partagées avec des tiers.
Dave McCarthy, vice-président des services aux joueurs Xbox de Microsoft, a déclaré dans un billet de blog Xbox : « Malheureusement, nous n’avons pas répondu aux attentes des clients et nous nous engageons à nous conformer à l’ordonnance afin de continuer à améliorer nos mesures de sécurité ».
« Nous pensons que nous pouvons et devons faire plus, et nous resterons fidèles à notre engagement en faveur de la sécurité et de la protection de la vie privée de notre communauté », a ajouté M. McCarthy.
Dans le cadre du règlement, Microsoft est tenu de mettre en place des mesures supplémentaires pour protéger les enfants. Si l’accord des parents ne peut être obtenu dans un délai de deux semaines, toutes les informations personnelles doivent être supprimées du système.