Pokémon Go : quelles données Niantic collecte-t-il et que compte-t-il en faire ?

A l’heure où Pokémon Go est le premier jeu téléchargé sur mobile dans 60 pays du monde, certains observateurs pointent les risques liés à la collecte de données, rappelant notamment le scandale dans lequel a été empêtré par le passé John Hanke, le patron de Niantic.

Quelques jours après la sortie du jeu aux Etats-Unis, l’éditeur avait d’ailleurs dû rectifier une fonctionnalité trop intrusive. Aujourd’hui, quelles données Niantic collecte-t-il sur les joueurs et que pourrait-il en faire ? Décryptage.

Géolocalisation, e-mail, mais pas seulement

Au moment d’installer le jeu sur smartphone, l’application requiert un accès à la caméra pour que le joueur puisse profiter de la réalité augmentée lors de la capture de Pokémon, et les voir ainsi surgir dans l’environnement réel du joueur. Pokémon Go peut aussi prendre des photos et enregistrer des vidéos. Une fonctionnalité qui permet aux utilisateurs d’immortaliser la capture de leur Léviator ou autre monstre rare. Mais surtout, l’application a besoin de connaître la position géographique de l’utilisateur pour qu’il puisse évoluer dans le jeu sur la carte virtuelle. Niantic précise que la géolocalisation peut être approximative ou au contraire très précise dans le cas où l’utilisateur a activé la fonction GPS sur son smartphone.

Les contacts de l’appareil sont aussi scrutés par l’entreprise, qui peut "rechercher des comptes". Pour le moment, elle n’a aucune raison de le faire. Mais le mode multijoueur en préparation, qui permettra de défier ses amis dresseurs de Pokémon, justifiera cette intrusion dans les carnets d'adresses.

Par ailleurs, il faut passer par la case inscription pour pouvoir jouer à Pokémon Go. Soit via son compte Google, soit via son compte Facebook, soit en se créant un compte sur le Club des dresseurs Pokémon. Une étape supplémentaire qui offre des informations basiques à Niantic tels que les noms d’utilisateurs et les adresses e-mail des joueurs. De son côté, le fameux Club de dresseurs demande la date de naissance de l’utilisateur. "Nous recueillons les données à caractère personnel que vos paramètres de confidentialité sélectionnés sur Google, PTC [le Club des dresseurs Pokémon] ou Facebook nous autorisent à accéder", indique la politique de confidentialité de Pokémon Go. Une amélioration par rapport aux débuts du jeu. A sa sortie, Niantic s'octroyait un accès complet au compte Google de ses utilisateurs, bien plus que ce qui était réellement nécessaire. Une demande qualifiée d’erreur et rapidement rectifiée.

La dernière page web visitée avant de jouer

Mais cela ne s’arrête pas là. "Nous recueillons certaines informations que votre appareil mobile envoie lorsque vous utilisez nos services, telles que l’identifiant de l’appareil, les paramètres utilisateur et le système d’exploitation de votre appareil, ainsi que des informations sur l’utilisation que vous faites de nos services tout en utilisant votre appareil mobile", ne se cache pas Niantic, qui peut même savoir quelle page web un joueur a visitée avant de se connecter à ses services.

Si un utilisateur préoccupé pour sa vie privée décide d’arrêter de jouer et de supprimer son compte Pokémon Go, les données déjà récoltées sur lui par Niantic sont conservées. Pour combien de temps ? Mystère. L’éditeur du jeu reste flou, évoquant seulement « des délais commercialement raisonnables ».

L'affaire Wi-Spy ressurgit

Or ce point n’est pas anecdotique lorsque l’on connaît le passé de l’homme derrière l’application. Comme l’a révélé récemment The Intercept , le site de Glenn Greenwald à l’origine des révélations de Snowden, John Hanke, le directeur et fondateur de Niantic, était aux manettes de la division Geo de Google au moment où le géant américain a été pris dans un scandale touchant à la collecte de données privées : l'affaire Wi-Spy.

Selon nous, le véritable challenge consiste à motiver l’utilisateur à fournir des données sur le long terme, au-delà de l’excitation suscitée par l’innovation technologique lors de son lancement

Lorsque le scandale éclate en 2010, John Hanke a la main sur tout ce qui touche à la localisation (essentiellement Google Maps, Google Street View). Les autorités allemandes dénoncent alors le fait que les Google Street Car, en plus de prendre en photo les routes du monde entier pour les cartographier, récoltent illégalement un grand nombre de données personnelles via les différentes connexions Wi-Fi sur leur passage : notamment les historiques de navigation, des e-mails, etc. La firme américaine se défend d’abord avant de reconnaître son erreur, en faisant porter le chapeau à un ingénieur isolé : Marius Milner. Finalement, le gendarme américain des télécoms rend un rapport dans lequel il affirme que les hauts gradés de la firme étaient bien au courant de cette collecte généralisée et que Marius Milner, s'il avait bien un rôle clé, n'était pas un loup solitaire.

Objectif, collecter des données

Il se trouve que c’est avec ce dernier que John Hanke a rédigé un brevet, alors qu’ils travaillaient encore tous deux chez Google, qui allait servir de base au premier jeu de Niantic, Ingress, puis à Pokemon Go, affirme The Intercept. En quittant Google - l'éditeur faisait partie intégrante de la société jusqu'en 2015 -, Niantic a tout de même conservé la propriété du fameux brevet. Celui-ci détaille : "L’objectif du jeu pourrait être directement lié à une activité de collecte de données. Le jeu pourrait inclure une tâche qui consiste à acquérir des données sur le vrai monde comme condition pour progresser dans le jeu."

Le texte cite même un article tiré du « Journal international de la réalité virtuelle » en guise d'illustration, ne cachant ainsi aucunement le but final de l’application : "Selon nous, le véritable challenge consiste à motiver l’utilisateur à fournir des données sur le long terme, au-delà de l’excitation suscitée par l’innovation technologique lors de son lancement. Le processus d’acquisition de données doit être divertissant pour assurer un engagement de l’utilisateur sur le long terme. Nous sommes convaincus que l’amusement et le fun sont un élément clé d’un tel service de collecte de données."

"Peu de raisons de faire confiance à Niantic"

La question en suspens est donc : que va faire Niantic de toutes ces données ? A l’heure actuelle, la start-up, qui a déjà engrangé 350 millions de dollars grâce à Pokémon Go, ne tire pas ses hauts revenus de la revente de données ou de la publicité. Le jeu fonctionne sur le modèle du "free to play" classique : autrement dit, les joueurs payent pour obtenir des avantages dans le jeu (achat de pokéballs, d’encens etc.).

Les jeux gratuits, comme toutes les apps gratuites, s’appuient sur une économie cachée de la donnée sur smartphone

Malgré tout, "les jeux gratuits, comme toutes les apps gratuites, s’appuient sur une économie cachée de la donnée sur smartphone", rappelle la Cnil. Des données que Niantic peut partager avec ses investisseurs, Nintendo et Google. Et il n’est pas exclu que des marques et enseignes en aient accès également, Niantic ayant la volonté de nouer de nombreux partenariats comme celui qu’il a signé avec McDonalds au Japon . Pour l’instant, la marque de fast food a surtout payé pour que ses restaurants soient transformés en Pokéstop ou en arènes, poussant les joueurs à s’y rendre. Niantic s’arrêtera-t-il à ce stade-là ?

Deux semaines après le lancement du jeu, l'association américaine de défense de la vie privée EPIC (Electronic Privacy Information Center) demandait au gendarme de la concurrence FTC d'enquêter sur Pokémon Go et Niantic , soulignant : "Compte tenu de l'affaire Google Street View, il y a peu de raisons de faire confiance aux garanties concernant l'état actuel des pratiques de collecte de données de Niantic."

En Europe, les lois en matière de protection des données sont plus strictes qu'aux Etats-Unis. Mais rien ne garantit aux joueurs du Vieux Continent un contrôle sur leurs données. Niantic s'arroge le droit de les transférer à l'international. La politique de confidentialité de Pokémon Go précise noir sur blanc : "Si vous résidez en dehors des Etats-Unis et choisissez de nous fournir vos données à caractère personnel, nous pouvons les transférer aux Etats-Unis pour les traiter." De quoi faire réfléchir avant de cliquer sur installer. Si ce n'est pas déjà fait.