Logo L'avocat Transatlantic

COPPA : la FTC inflige une amende record de 520 millions de dollars à Epic Games

  • Stephan Grynwajc

La Federal Trade Commission (« FTC »), la très puissante agence fédérale américaine, a sanctionné, le 19 décembre 2022, Epic Games, le développeur du jeu en ligne Fortnite à hauteur de 520 millions de dollars notamment pour avoir enfreint le Children’s Online Privacy Protection Act (« COPPA »). L’occasion de présenter cette réglementation très importante aux Etats-Unis

La loi COPPA en bref

La loi fédérale dite « COPPA » de 1998 est une règlementation américaine applicable à la collecte de données personnelles d’enfants de moins de 13 ans. Cette loi impose certaines obligations aux opérateurs de sites Web ou de services en ligne destinés aux enfants de moins de treize ans et aux opérateurs d’autres sites Web ou services en ligne qui collectent sciemment des données personnelles générées en ligne par des enfants de moins de 13 ans.

Le non-respect de ces exigences est sévèrement sanctionné. A titre d’exemple, en septembre 2019, une transaction avait été signée entre la FTC et Youtube, au terme de laquelle la plateforme s’engageait à verser une amende de 170 millions de dollars pour avoir présenté des publicités à des enfants de moins de 13 ans et avoir collecté leurs données à caractère personnel sans le consentement préalable de leurs représentants légaux.

Contrairement au droit européen qui regroupe les règles relatives à la protection des données européennes au sein d’un texte unique, aux Etats-Unis, les règlementations sont sectorielles ou catégorielles. Par exemple, le Health Insurant Portability and Accountability Act (« HIPAA ») protège les données de santé et dossiers médicaux, le COPPA restreint l’utilisation des informations collectées auprès des enfants de moins de 13 ans sur Internet, le Fair Credit Reporting Act (« FCRA ») protège les consommateurs américains contre une utilisation abusive des informations recueillies par les agences de notation, etc.

Les sites web et services basés aux États-Unis qui sont soumis au COPPA et qui collectent des données à caractère personnel auprès d’enfants étrangers sont tenus de respecter la loi COPPA. Les sites web et services en ligne basés à l’étranger doivent également respecter cette réglementation s’ils ciblent aux États-Unis des enfants de moins de 13 ans ou s’ils ont connaissance du fait qu’ils collectent aux États-Unis des données à caractère personnel auprès d’enfants âgés de moins de 13. Dans une lettre adressée à BabyBus, une application développée par une entreprise chinoise, la FTC a confirmé l’application de la loi COPPA aux sites web et services en ligne basés à l’étranger qui proposent leurs produits ou services aux États-Unis.

Au terme de la loi, le responsable de traitement doit mettre en place certaines mesures afin de :

  • Fournir des mentions décrivant ses pratiques en matière de traitement des données à caractère personnel
  • Obtenir le consentement des représentants légaux avant de collecter les données (obligation de moyens)
  • Permettre aux représentants légaux de revoir et de demander l’effacement des données à caractère personnel collectées au sujet de l’enfant
  • Limiter la collecte aux données nécessaires
  • Protéger les données contre un accès non autorisé

La sanction prononcée à l’encontre d’Epic Games

Une amende de 275 millions de dollars a été prononcée à l’encontre du développeur américain Epic Games. Il lui a été reproché d’avoir enfreint la loi COPPA en collectant les données personnelles d’enfants âgés de moins de 13 ans, utilisateurs de Fortnite, sans obtenir le consentement de leurs représentants légaux. L’entreprise exigeait également des parents qui demandaient la suppression des données personnelles de leurs enfants qu’ils accomplissent des démarches déraisonnables, et n’honorait parfois pas ces demandes.

L’entreprise est aussi accusée d’avoir illégalement activé par défaut les chats vocaux et textuels pour les enfants et les adolescents dans le jeu. Cette pratique, dont la dangerosité avait déjà été signalée par des employés d’Epic Games en 2017, a été à l’origine d’intimidations, menaces, harcèlements ayant des conséquences dangereuses et psychologiquement traumatisantes, telles quele suicide.

Epic Games sera donc tenue d’adopter des paramètres de confidentialité par défaut pour les enfants et les adolescents, veillant à ce que le micro et les chats soient désactivés par défaut.

Epic Games devra également payer 245 millions de dollars de remboursements clients pour leurs « schémas obscurs » incitant les joueurs à faire des achats dans le jeu par inadvertance via une « disposition de boutons contre-intuitive, incohérente et déroutante ».

Bonus – La proposition Californienne : le California Age-Appropriate Design Code Act

La Californie est un État pionnier en matière de législation relative à la protection de la vie privée. Dès 1972, le droit à la vie privée est inscrit dans la Constitution californienne. Ce droit est intégré parmi les droits « inaliénables » de tous les individus. Depuis, la Californie a adopté des mécanismes spécifiques pour protéger la vie privée de ses résidents, notamment avec le California Online Privacy Protection Act (la loi californienne sur la protection de la vie privée en ligne), la Privacy Rights for California Minors in the Digital World Law (la loi sur les droits à la vie privée des personnes mineures de Californie dans le monde numérique) ou encore la California Shine the Light Law, qui autorise les résident.es de l’État à interroger une fois par an les sociétés sur les données personnelles qu’elles partagent avec des tiers aux fins de marketing direct de ces tiers.

Le 15 septembre 2022, le gouverneur de Californie, Gavin Newsom a promulgué le California Age-Appropriate Design Code Act. La loi entrera en vigueur le 1er juillet 2024 et imposera de nouvelles obligations légales aux entreprises en ce qui concerne les produits et services en ligne qui sont susceptibles d’être consultés par des utilisateurs âgés de moins de 18 ans.
En particulier, les entreprises seront obligées de concevoir des produits et des services en pensant à la sécurité des enfants, en exigeant une vérification de l’âge et en limitant les fonctionnalités telles que la lecture automatique ou la découverte de comptes mineurs via des outils de recherches d’amis.

Les entreprises devront également mettre en place un certain nombre de mesures telles que :

  • Configurer tous les paramètres de confidentialité par défaut, sauf si l’entreprise peut démontrer un motif impérieux pour lequel un paramètre différent est dans l’intérêt supérieur des enfants ;
  • Fournir de manière concise et bien visible des informations sur la confidentialité, les conditions de service, les normes internes, en utilisant un langage clair et adapté à l’âge de l’enfant susceptible d’accéder au service, produit ou fonctionnalité en ligne ;
  • Réaliser une analyse d’impact relative à la protection des données avant de proposer au public un nouveau service, produit ou fonctionnalité en ligne qui peut être accessible aux enfants (et sur demande écrite, fournir l’analyse d’impact au procureur général de Californie) ;
  • Estimer l’âge des enfants utilisateurs avec un niveau de certitude raisonnable adapté aux risques qui découlent des pratiques de gestion de données de l’entreprise, ou appliquer à tous les utilisateurs la protection à la vie privée accordée aux enfants ;
  • Si le service, le produit ou la fonction en ligne permet au représentant légal de surveiller l’activité en ligne de l’enfant ou de le localiser, il faut signaler clairement à l’enfant qu’il est surveillé ou suivi ;
  • Appliquer les conditions, politiques et standards établis et publiés par l’entreprise, y compris, mais sans s’y limiter, les politiques de confidentialité et les politiques concernant les enfants ;
  • Fournir des outils bien visibles, accessibles et réactifs pour aider les enfants (ou leurs représentatnts légaux) à exercer leur droit à la vie privée et à signaler leurs préoccupations.

Il sera aussi interdit aux entreprises soumises au California Age-Appropriate Design Code Act d’utiliser les données à caractère personnel d’un enfant :

  • Pour toute raison autre que celle pour laquelle les données personnelles ont été collectées, à moins que l’entreprise puisse démontrer un motif impérieux pour lequel l’utilisation des données personnelles est dans l’intérêt supérieur de l’enfant ;
  • D’une manière dont l’entreprise sait, ou a des raisons de savoir, qu’elle est matériellement préjudiciable à la santé physique, mentale ou au bien-être d’un enfant.

Les entreprises qui ne respecteraient pas le California Age-Appropriate Design Code Act se verront infliger une amende pouvant aller jusqu’à 2 500 dollars par enfant concerné et par violation en cas d’infraction non-intentionnelle et jusqu’à 7 500 dollars par enfant concerné et par violation en cas d’infraction intentionnelle.

Conclusion

La sanction prononcée par l’agence gouvernementale américaine est la sanction la plus élevée jamais imposée pour avoir violé une règlementation de la compétence de la FTC. Pour celle-ci, la protection du public et en particulier des enfants et adolescents face aux atteintes à la vie privée en ligne est une priorité absolue. Les régulateurs du monde entier s’efforcent de renforcer la sécurité des enfants sur Internet, que ce soit sur les jeux en ligne ou sur les réseaux sociaux. Au Royaume-Uni, le Online Safety Bill (le projet de loi sur la sécurité en ligne) exigera des plateformes en lignes qu’elles prennent des mesures supplémentaires, telles que la vérification de l’âge de leurs utilisateurs, afin d’empêcher les enfants d’avoir accès à des contenus préjudiciables.

Il n’est pas toujours évident de naviguer entre toutes les lois et réglementations applicables en matière de protection des données à caractère personnel aux États-Unis. On ne saurait donc assez insister sur la nécessité pour les sociétés non familières avec ces réglementations d’être accompagnées par un avocat spécialisé. Les avocats du cabinet S. Grynwajc sont admis comme avocats aux Etats-Unis et sont spécialisés dans les problématiques de données personnelles. En conséquence, n’hésitez pas à nous solliciter dès à présent !

Articles similaires:

Articles récents

Recevoir nos futurs articles*

* En renseignant votre adresse email afin de vous abonner à notre lettre d’information, vous consentez expressément au traitement de cette donnée personnelle aux fins de gestion des abonnements et d’envoi de notre lettre d’information. Vous pouvez à tout moment retirer votre consentement et demander à vous désabonner en nous contactant via notre “formulaire de contact”. Pour d’avantage d’information sur les traitements de données personnelles mis en œuvre sur ce site, veuillez consulter notre politique de protection des données.

Copyright © Law Office of S. Grynwajc, PLLC
L’avocat transatlantique® est une marque enregistrée
Tous droits réservés.

Facebook Instagram Linkedin Skype
Open chat
Powered by Joinchat
Hello, how can we help ?