Les pirates s’en prennent aux joueurs : enjeux juridiques et pratiques exemplaires pour réduire le risque d’être tenu responsable

14 minutes de lecture
31 octobre 2022

À l'époque des confinements liés à la COVID-19, des millions de personnes se sont tournées vers les jeux vidéo pour échapper aux quatre murs de leur demeure et se plonger dans le vaste univers virtuel, rare endroit où il était encore possible de se retrouver en famille et entre amis, quoique de manière peu traditionnelle. Pour plusieurs, les jeux vidéo sont devenus un moyen de décompresser après une longue journée de télétravail et un véritable remède contre l'ennui, l'isolement et les problèmes de santé mentale.



Grande bénéficiaire de la pandémie, l'industrie du jeu vidéo a connu une croissance de 26 % entre 2019 et 2021[1]. D'ailleurs, selon un récent rapport publié par PricewaterhouseCoopers (PwC), cette industrie mondiale vaudra 321 milliards de dollars d'ici 2026[2].

Malheureusement, tandis que le nombre de joueurs a augmenté et que ceux-ci passent de plus en plus de temps dans de vastes univers virtuels, la fréquence des cybercrimes et le nombre de cybercriminels ont eux aussi augmenté considérablement. L'objectif? Subtiliser les renseignements personnels et même l'argent réel des joueurs.

La société mondiale de sécurité et de protection des renseignements personnels numériques Kaspersky a publié un rapport (les « conclusions de Kaspersky ») dans lequel on observe une hausse des activités cybercriminelles contre les joueurs au cours du premier semestre de 2022[3]. Les experts en cybersécurité nous ont bien avertis : le cybercrime dans les jeux vidéo est plus fréquent depuis le début de la pandémie. La menace rôde un peu partout, cachée dans les codes de triche, les microtransactions et les messages échangés en ligne entre joueurs. Des joueurs tentant de télécharger de nouveaux jeux à partir d'une source non sécurisée et peu fiable se sont retrouvés aux prises avec des logiciels malveillants causant non seulement la perte de leurs comptes de jeu, mais aussi celle de leur argent. Les conclusions de Kaspersky ont également confirmé certains cas d'installation indésirable d'un type de logiciel espion capable de « surveiller toutes les données saisies sur le clavier et de faire des captures d'écran[4] » [traduction]. Et, selon le rapport Akamai publié en août 2022, les cyberattaques sur les applications Web ont bondi de 167 % entre mai 2021 et avril 2022, par rapport à la même période l'année précédente[5].

Les sociétés de jeux vidéo sont des cibles de plus en plus lucratives pour les cyberpirates, dans la mesure où les moyens de commettre des cyberattaques se sont diversifiés au fil du temps. En outre, la quantité croissante de données qu'elles recueillent les rendent d'autant plus alléchantes[6]. Elles sont donc plus susceptibles de faire l'objet d'une fuite, de perdre les données de leurs clients et de voir leur gamme de produits (jeux et plateformes) temporairement mise hors ligne. Leurs clients (c'est-à-dire les joueurs individuels) peuvent donc perdre leur progrès accompli dans le jeu, leur argent et leurs renseignements personnels en un clin d'œil. Or, les cyberrisques ne feront que s'accroître à mesure que les sociétés de jeux vidéo s'adonnent de plus en plus à la vente, à l'achat, au commerce et à la détention des actifs numériques de leurs clients, comme les jetons et les pièces de jeu, dont on peut se servir pour acheter des produits numériques dans les vastes univers virtuels[7]. Selon les conclusions de Kaspersky, sur les vingt-huit jeux qui ont fait l'objet de la recherche, Minecraft, FIFA et Roblox sont les trois qui contenaient la plus grande quantité de fichiers malveillants et indésirables[8].

Les dirigeants des sociétés de jeux vidéo doivent garder en tête leur obligation juridique de protéger les données des utilisateurs et d'assurer le caractère sécuritaire de leurs produits (soit leurs jeux et leurs plateformes). La loi canadienne en matière de protection de la vie privée, laquelle régit la collecte de renseignements personnels à des fins commerciales, exige, de façon générale, que les entreprises prennent des mesures pour protéger ceux-ci. Par exemple, la loi fédérale, qui régit également la plupart des provinces canadiennes exige la mise en place de mesures de sécurité afin de « protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées[9] ». Soulignons que cette loi devrait bientôt être remplacée par la Loi sur la protection de la vie privée des consommateurs[10], laquelle comportera des obligations similaires[11].

La gestion des risques informatiques représente un enjeu fondamental pour les organisations de toutes tailles, et les petites sociétés de jeux vidéo n'y échappent absolument pas. En vertu des lois canadiennes, les dirigeants sont responsables de la gestion et de la supervision des activités et des affaires de leur entreprise. Généralement, ils se doivent d'agir honnêtement et de bonne foi, en tenant compte des intérêts fondamentaux de leur société, en plus de faire preuve de la prudence, de la diligence et de l'habileté, qu'une personne raisonnablement prudente démontrerait dans des circonstances comparables. On s'attend de plus en plus à ce que les dirigeants jouent un rôle actif dans le processus de gestion du cyberrisque en déterminant le degré de tolérance au risque de leur entreprise, en s'assurant que leur équipe de direction prennent des mesures raisonnables pour cerner et gérer les risques au moyen d'un programme de gestion du risque approprié, et finalement, en surveillant tout risque important susceptible de nuire à l'entreprise. Et, bien que la loi fédérale actuelle n'impute aucune responsabilité personnelle aux administrateurs et dirigeants en cas de brèche, le nouveau projet de loi 64 du Québec, quant à lui, impose des amendes salées aux personnes qui ne prennent pas les mesures de sécurité nécessaires pour protéger les renseignements personnels[12].

Pour les créateurs de jeux vidéo, comme pour toute entreprise qui recueille des renseignements personnels, la clé de la protection contre les cyberattaques réside dans la prévention. Les entreprises qui conçoivent et exploitent des jeux vidéo et des plateformes de jeux doivent adhérer aux principes fondamentaux des lois canadiennes actuelles et futures en matière de protection des données : se limiter à la collecte de données dont elles ont réellement besoin, chercher à obtenir le consentement éclairé des joueurs à la collecte de données, restreindre les fins auxquelles les données recueillies sont utilisées de même que la durée de leur conservation, et s'assurer que des mesures de sécurité adéquates soient en place pour protéger les renseignements personnels des joueurs.


[6] E&Y, « What's Possible for the Gaming Industry in the Next Dimension (Chapter 2: Gaming Data Security and Cyber Risks) » (Gaming Industry Survey 2022), en ligne :
https://www.ey.com/en_us/tmt/what-s-possible-for-the-gaming-industry-in-the-next-dimension/chapter-2-gaming-data-security-and-cyber-risks > (consulté le 18 octobre 2022).

[7] Ibid.

[8] Supra, note 3.

[9] Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5), art. 5(1) et Annexe 1, 4.7 Septième principe — Mesures de sécurité.

[10] Alycia Riley et Jasmine Samra, « Projet de loi C-27 : le Canada remanie la législation fédérale sur la protection des renseignements personnels et propose une nouvelle loi sur l'intelligence artificielle », (24 juin 2022), en ligne :  https://gowlingwlg.com/fr/insights-resources/articles/2022/canada-reintroduces-changes-to-federal-privacy-law/.

[11] Projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois, art. 57(1)

[12] Julia Kappler et coll., « Le projet de loi 64, un changement de cap pour le droit québécois de la protection de la vie privée – ce que les entreprises doivent savoir » (27 avril 2022), en ligne : https://gowlingwlg.com/fr/insights-resources/articles/2022/bill-64-quebec-privacy-law-key-takeaways/#:~:text=D%C3%A9signation%20de%20personnes,de%20la%20direction


CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.