Données personnelles: le talon d'Achille du jeu Pokémon Go

La folie Pokémon Go a atteint la Russie alors que l'application n'y est pas encore officiellement disponible. Le Service fédéral de supervision des communications, des technologies de l'information et des médias de masse (Roskomnadzor) envisage d'ailleurs de l'interdire, selon Newsweek. En cause, la gestion des données personnelles par l'application. 

Fichiers piratés et dangereux
D'une manière générale, qu'il soit acquis légalement ou illégalement, le jeu pose problème. Mais le risque encouru en cas de téléchargement illégal est plus grand. Comme d’autres joueurs dans le monde, les Russes s’exposent à laisser leurs données personnelles entre des mains peu scrupuleuses.

«Si tout le monde avait pu profiter de la sortie officielle de Pokémon Go en même temps, il n’aurait pas été nécessaire de trouver des fichiers piratés pour jouer, fait remarquer Antoine Chéron, avocat spécialiste du droit de l’Internet. Par exemple, le malware "DroidJack", qui prenait en fait le contrôle à distance des téléphones, n’aurait pas autant circulé».

Défaut initial
La première version s'est offert un accès illimité aux données personnelles des joueurs qui ont téléchargé l’application sous IOS avec leur adresse Gmail. Ils donnaient, sans le savoir, un accès illimité à l’univers associé au compte, au lieu de fournir simplement une adresse électronique et une identité. L’application pouvait ainsi, par exemple, lire ou envoyer des courriels.

Aussi le 12 juillet 2016, rapporte Le Monde, «le sénateur américain Al Franken a adressé une lettre ouverte au directeur de Niantic (le développeur du jeu NDLR) pour exprimer ses préoccupations quant à la collecte de données». Il s’inquiétait alors de la nécessité de collecter autant d’informations sur les joueurs.

Les versions illégales de l’application (version Béta) qui permet de chasser des monstres virtuels dans la vie réelle, contiennent souvent ce défaut initial. La société Niantic, a assuré l'avoir corrigé début juillet, quelques heures après la sortie du jeu le 4 juillet 2016 aux Etats-Unis, en Asie et en Australie.

Protéger les joueurs
En Europe, à partir de 2018,  les internautes devraient être protégés de cette sorte de «vice de fabrication» grâce au concept «de protection de la vie privée dès la conception (Privacy by design)» qui est formalisé par l’article 25 du règlement général sur la protection des données de l’Union européenne. 

«Elle vise à ce que des mesures techniques et organisationnelles appropriées garantissent que seules les données à caractère personnel nécessaires à la finalité du traitement soient traitées, et que ces dernières soient efficacement protégées contre les risques de perte dès la mise sur le marché du produit ou service en question», explique Me Antoine Chéron.

En attendant, la question de la protection des données et surtout de la cybercriminalité est toujours d’actualité. Car le jeu, qui fonctionne sur le principe de la réalité augmentée, permet de localiser les joueurs grâce à leurs données GPS. Certains ont déjà été agressés, voire tués comme un adolescent au Guatemala.

Les joueurs-chasseurs de Pokémon, note Antoine Chéron, «sont eux-mêmes rapidement devenus une cible facile pour les hackers et chasseurs de données à caractère personnel. Face (au) phénomène Pokémon Go, la question de la lutte contre la cybercriminalité se trouve renouvelée.»