Commentaires : Ne jamais vous connecter à votre compte Ubisoft peut vous coûter très cher

Ubisoft a informé par mail certains des utilisateurs de la plateforme Ubisoft Connect qu’ils allaient perdre les accès à leur compte et aux jeux achetés s’ils ne se reconnectaient pas dans les 30 jours.

J’ai perdu un compte sur la psn. Il aurait été désactivé pour inactivité. Pour récupérer mon compte, le support me demande un numéro de transaction envoyé par e-mail. Sauf que je ne garde pas les email des transactions. Donc impossible de récupérer mon compte.

Sur un autre compte psn que j’ai réussi à récupérer via un lien + date de naissance, tous mes jeux ont été supprimés.

Même si le RGPD ne donne pas de durée précise, quand j’ai consulté la CNIL, elle m’a recommandé de ne pas garder plus de 4 ans les données utilisateurs « sans signe de vie »… Ils m’ont aussi dit que cela dépendait de l’activité, cela pouvait être un peu plus long (pour les assurance il me semble), ou même être seulement 1 an (typiquement pour les news letters). Peut-être que c’est aussi 4 ans pour le domaine du jeu vidéo.

1 « J'aime »

Autant que je peux, c’est GOG.

Techniquement et légalement comme dit dans l’article, rien n’oblige Ubisoft à supprimer l’entièreté du compte. Il leur suffirait de désactiver le compte, de supprimer ou d’anonymiser les informations personnelles, d’encrypter l’adresse email afin que l’utilisateur, s’il le souhaite à l’avenir, puisse réactiver son compte et reprendre possession de ses achats. Il est grand temps que l’UE s’intéresse aux pratiques concernant le dématérialisé. Une licence à vie devrait être inconditionnelle.

3 « J'aime »

Dans leur cas, il est impossible d’anonymiser les données. A partir du moment ou il y a une adresse mail, ce sont des données personnelles, encodée, encryptée ou tout ce que tu veux => il faut TOUT supprimer dès que l’utilisateur le demande ou si techniquement il n’y a plus de besoin, il est bien spécifié que la rétention des données doit être associée à un besoin technique ET qu’elles forment un tout indissociable.

Ils donnent un délai de 30 jours au milieu des vacances d’été lol, c’est du troll.

En quoi cela ne peut pas être anonymiser ?

Tu cryptes la donnée, la clé de cryptage permet de décrypter le cas échéant.

La donnée sans la clé n’aura aucune valeur, job is done

2 « J'aime »

Comme dit Muggsy68, l’encryptage de l’adresse email est suffisant dans ce cas précis. Une autre approche au cryptage/décryptage avec une clé privée serait de créer une empreinte de hachage (avec SHA-256 par exemple) à partir de l’adresse email, ce qui permet de retrouver à quel compte correspond une adresse email tout en s’assurant que cette empreinte ne peut être déchiffrée.
Ici on ne parle pas d’une demande explicite de suppression de compte et de plus, il y a bien un besoin technique pour conserver les données du compte: permettre à l’utilisateur d’accéder à ses jeux quand il le désire, même après une longue période d’inactivité (retro-gaming par exemple).
Bref, on fait tout un foin du RGPD mais au final, il existe des solutions techniques très simples à mettre en place et la logique est toujours la même: ne stocker à long terme que ce qui est nécessaire au bon fonctionnement du service et permettre à l’utilisateur de supprimer l’entièreté de ses données personnelles s’il le souhaite. Ce qui, à nouveau, ne nécessite pas une destruction totale des données mais une anonymisation.

Je sais pas mais je me suis connecter et plus de far cry 3 ou assassin creed, OK ca doit faire 6 ans voir plus que je m étais pas connecté, mais bon fini ubisoft

Mais si tu veux pouvoir décrypter, il faut conserver la clé. Donc tu as tout ce qu’il faut pour avoir une donnée personnelle. Ou alors il faut la confier à l’utilisateur. Mais quand il est inactif, lui envoyer la clé, c’est pas dit qu’il va la recevoir et la conserver…

Un hash à la limite, ça pourrait peut-être aller, vu que c’est irréversible. Mais légalement je ne suis pas sûr que ça soit considéré comme suffisant, parce que même si c’est irréversible, on peut quand même en tirer des choses… Par exemple un employé d’Ubi pourrait à partir d’une liste d’adresse mails leakée d’un quelconque service, comme on en trouve régulièrement sur Internet, tester lesquelles ont leur hash dans la base Ubi…

1 « J'aime »

Ca c’est la base de la sécurité, ça n’a pas grand chose à voir avec le RGPD (à part l’obligation de sécurité).
Pour Ubisoft ou n’importe quel prestataire, on ne peut garder des informations indéfiniment. Mon problème est le même (droits d’accès à un soft) et je dois supprimer les utilisateurs après 4 ans d’inactivité, mais je n’ai pas de notion d’achat (soft limité en diffusion mais gratuit). La grosse différence pour Ubisoft, c’est que le compte correspond à un utilisateur qui possède des jeux achetés, on peut donc considérer que le compte doit être « à vie », alors que dans mon cas, je dois juste relancer la procédure d’autorisation d’utilisation.

Mince, j’utilise un autre launcher et il peut parfois se passer plus de 4 ans avant que je me lance dans un jeu Ubisoft… J’ai énormément de jeu sur steam mais ça ne veut pas dire que je ne souhaite pas y jouer un jour…

Bien sûr que ça a un rapport, je parle justement de comment mettre en place très simplement l’anonymisation d’un compte pour conserver toutes les données non personnelles et permettre à l’utilisateur de récupérer son compte: il tente une connexion, on trouve la correspondance entre son adresse email et le hash, on lui envoie un email pour vérifier qu’il s’agit bien de l’utilisateur en question, l’utilisateur remplit à nouveau son profil (ses infos personnelles qui ont été supprimées) et le tour est joué.
L’incompréhension habituelle avec le RGPD c’est de croire qu’on a pas le droit de conserver les données non personnelles de l’utilisateur, mais c’est faux. Rien ne vous empêche de conserver les données non personnelles (l’activation d’un produit en ce qui vous concerne) sans limite de temps tant qu’il n’est pas possible de retrouver à qui appartient les données en cas de fuite.

Franchement, c’est juste des voleurs qui cherchent un excuse pour arnaquer encore plus leurs clients. Leur justification ne tient pas du tout la route. On est dans le cadre d’une relation client classique.
La dernière de Ubisoft c’est le jeu que tu achète plein pot (trackmania) mais dont tu dois racheter la License 3 ans plus tard, toujours plein pot au prix d’un AAA d’un éditeur honnête que tu peut garder.
Ils ont tout tenté pour arnaquer leur jeune clientèle, les NFT, les jeux d’argents déguisés, les lootboxes. C’est pas pour rien qu’ils sont autant détestés dans le monde entier malgré de bons jeux.

Donc tu ne respectes pas le RGPD, il n’y a aucune anonymisation (en fait ce ne sont pas des meta data mais bien des données personnelles, même si le lien est ténu). Tu fais bêtement de la gestion de fichier utilisateur, que les données soient en clair (pas bon ça! :stuck_out_tongue: ) ou pas.
Bon, même les juristes ne sont pas toujours d’accord sur l’interprétation… :smiley:

A nouveau, le RGPD traite des données à caractère personnel: « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une fois que le lien avec la personne est cassé, ce ne sont que des données, c’est bien pour cela que je précise qu’il y a une incompréhension générale à ce sujet.
2 exemples concrets: si un utilisateur consent dans un premier temps au traitement de ses données à des fins statistiques et que tu anonymises ses données d’activités, rien ne t’oblige à supprimer ces données d’activité après un certain temps ni à sa demande. Cela serait d’ailleurs techniquement impossible de ne supprimer que ces données vu qu’elles ont été anonymisées.
Si un utilisateur fait plusieurs commandes sur ton site puis demande la suppression de son compte et de ses données, à nouveau rien ne t’oblige de supprimer l’historique de ses commandes. Tant que tu t’assures que toute information personnelle est supprimée ou anonymisée, tout le reste peut rester en DB.

Je n’ai pas la même info de la CNIL et des juristes. L’ensemble des données sont indissociables. A partir du moment ou il y a une adresse mail, un nom, un numéro de sécu, numéro de permis, ou tout autre information permettant d’identifier directement ou indirectement une personne, toutes les données sont considérées comme une seule entité et la suppression doit être globale. Tu peux par contre faire des statistiques sur les données avant de les effacées en globalité (ce qui revient quand même plus ou moins à de la collecte mais bon…).

En fait ici, dès le départ ton fichier n’est pas concerné par le RGPD, donc effectivement tu fais ce que tu veux.

Dans la loi si, mais tu peux faire des statistiques et garder « ailleurs » ou « autrement » les infos (je mets les guillemets car c’est comme ça que l’explication m’a été donnée, même si elle n’est pas vraiment satisfaisante!). Il m’a fallu pas mal de temps pour comprendre l’idée qui me semble aussi assez étrange, mais ces lois ont un sens « moral » loin du problème technique, les obligations sont techniquement un peu ridicules.

C’est là que se pose le problème. Avec un hash, le lien n’est pas complètement cassé.

Parce qu’on trouve facilement des listes de dizaines ou de centaines de millions d’adresse mail dans la nature. Si demain une fuite concerne une liste associant des informations à des hash d’adresse e-mail, il sera possible de réassocier une partie de ces données à des personnes en calculant les hash à partir d’une liste d’adresses mail puis de faire la correspondance avec les hash de la dernière fuite. Même le salage ne règle pas ce problème, puisque le sel doit être stocké, et donc en cas de fuite, il peut fuiter…

L’anonymisation n’est donc pas totale, les données peuvent être réassociées à une personne. Si on fait une interprétation très stricte du RGPD, ce n’est donc pas conforme.

Cette possibilité de ré-association est bien expliqué par exemple dans ce document : https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices_fr/@@download/file (§7.2, p. 38)

Pour une vraie anonymisation, il faut un identifiant qui ne soit pas dérivé d’une information personnelle. Donc par exemple tu donnes à chaque compte un id unique généré aléatoirement et tu communiques cet id à l’utilisateur. Quand tu fais le nettoyage des données personnelles, tu ne gardes que cet id et les données non personnelles du compte (par exemple, une liste d’achats). Et si l’utilisateur veut revenir, il doit récréer un compte (même pas forcément avec l’adresse mail d’origine du coup) et fournir cet id unique pour récupérer les données non personnelles de son ancien compte.

En meme temps est ce que tu as vraiment envie de retoucher a des jeux de ps1?