Pour maître Antoine Cheron, Avocat au Barreau de Paris, l’ affaire “Pokemon Go” met en lumière la légitimité de l’article 25 du règlement général sur la protection des données de l’Union européenne et la nécessité d’appliquer l’approche « privacy by design ».
Samedi, en début d’après-midi, les utilisateurs de Pokemon Go ont signalé des difficultés pour accéder au jeu phénomène. C’est un groupe de hackers, la PoodleCorp qui a revendiqué sur Twitter la paternité du bug. Ce fait divers montre que l’instrumentalisation de Pokemon Go à des fins malveillantes est une réalité qui ne fait que commencer.
En effet, depuis sa sortie le 7 juillet aux Etats Unis, Australie et Nouvelle Zélande, les défaillances du système de Pokemon Go ne cessent de faire parler d’elles. Victime de son succès, les serveurs sont dépassés et les joueurs du reste du monde ont trouvés de multiples astuces pour accéder à l’application mobile, à leurs risques et périls.
Une mise à jour déjà effectuée afin de rationner la collecte de données
Quelques jours après sa sortie, des voix se sont élevées contre l’appétit disproportionné du jeu Pokemon Go en données personnelles. Pour télécharger l’application sans créer un profil spécifique, il fallait lui donner un accès intégral aux comptes Google ce qui revenait à lui livrer sans confession ses emails, fichiers, photos, historiques de recherche etc.
Quelle utilité à collecter autant de données sur les joueurs ? Interrogé en ce sens, le développeur du jeu, le studio Niantic, a évoqué une erreur qui serait vite corrigée. C’est chose faite puisqu’une mise à jour a été effectuée pour restreindre l’accès de l’application à l’adresse électronique et au nom d’utilisateur des joueurs.
La promptitude d’action des responsables de Pokemon Go pour corriger cette inquiétante anomalie peut renforcer la confiance des utilisateurs en l’application d’un point de vue interne, ce qui est cependant loin d’être le cas s’agissant des éléments externes.
Pokemon Go, un nid à opportunités pour les cybercriminels
Quelques jours après sa sortie, il a largement été relayé dans les médias que Pokemon Go avait été utilisé par des malfrats pour repérer leurs potentielles victimes, voire les appâter vers des zones isolées pour mieux les dépouiller.
Si les risques liés à l’utilisation du jeu peuvent être physiques, tangibles, ce sont par définition les cybercriminels qui trouvent en Pokemon Go un terrain de prédilection pour commettre leurs méfaits. Et la frénésie collective autours de ce jeu révolutionnaire ne fait que leur faciliter le travail.
En effet, le jeu n’étant pas sorti simultanément dans le monde, les nombreux fans des jeux Pokemon se sont naturellement tournés vers des sites tiers pour télécharger la version Béta de l’application. Le succès a été tel que la suggestion de Google à « Comment télécharger… » est très rapidement devenue «…Pokemon Go ».
Le résultat d’une sortie mal anticipée
Le développeur Niantic ne s’est pas préparé au succès planétaire de Pokemon Go, ce manque d’anticipation manifeste explique le grand danger lié à la protection des données personnelles de la communauté de gamers. Si les serveurs avaient été prêts, la dernière attaque évoquée n’aurait pas été possible si facilement, car elle consistait à envoyer de multiples requêtes à partir de différents endroits de manière simultanée pour rendre le service instable et même indisponible.
De la même manière, si tout le monde avait pu profiter de la sortie officielle de Pokemon Go en même temps, il n’aurait pas été nécessaire de trouver des fichiers piratés pour jouer. Par exemple, le malware DroidJack qui prenait en fait le contrôle à distance des téléphones n’aurait pas autant circulé.
Nintendo ne cesse de faire des demandes à Google pour faire supprimer les liens de téléchargement aux versions clandestines du jeu, porteuses de potentiels virus pour s’emparer des données personnelles des utilisateurs. Cependant, la meilleure solution resterait de rendre universelle la version officielle, et de la sécuriser un maximum en interne.
La nécessité d’appliquer l’approche « privacy by design »
C’est pourquoi, plutôt que tenter d’intervenir a posteriori il aurait été plus judicieux d’agir de manière proactive et préventive en intégrant la sécurité des données comme une priorité dès la conception même de l’application. Le besoin de faire une mise à jour seulement quelques jours après la sortie de l’application démontre que cela n’a aucunement été le cas s’agissant du développement de Pokemon Go aux Etats-Unis.
L’approche dite « Privacy by design » vise à ce que des mesures techniques et organisationnelles appropriées garantissent que seules les données à caractère personnel nécessaires à la finalité du traitement soient traitées, et que ces dernières soient efficacement protégées contre les risques de perte dès la mise sur le marché du produit ou service en question.
Cette affaire met en lumière la légitimité de l’article 25 du règlement général sur la protection des données de l’Union européenne qui imposera aux entreprises concevant de nouveaux produits et services de respecter cette approche à partir du 25 mai 2018, et ce sous peine d’être sanctionnées. Comme le dit l’adage, « Mieux vaut prévenir que guérir », et Nintendo comme Niantic l’ont appris à leurs dépens.