Selon une récente erreur, un utilisateur d'Epic Games Store sous le nom Reddit de TurboToast3000 a demandé ses informations personnelles à Epic Games, ce qu'il peut faire via la loi GDPR. Bien qu'Epic ait accepté l'idée de l'utilisateur, les choses ont rapidement mal tourné du côté d'Epic.
Si vous n'êtes pas au courant de la débâcle actuelle d'Epic Games cette fois-ci, utilisateur TurboToast3000 demandé (1) ses informations personnelles, mais Epic Games les a envoyées à une personne au hasard.
Un représentant d'Epic Games du nom de Arctyczyn a confirmé que la situation est vraie avec la réponse suivante à TurboToast3000 :
Arctyczyn a également donné suite à cette réponse, affirmant qu'aucune adresse postale, date de naissance ou mode de paiement ne figure dans le rapport :
Plus tard, l'utilisateur mis dans une situation précaire par Epic Games raconte qu'il a pu contacter l'autre personne :
« J’ai effectivement pu prendre contact avec l’autre personne. Il l'a signalé et m'a aidé avec certaines choses. Je n'ai donc plus beaucoup de stress. Mais j’ai eu vraiment de la chance et le comportement épique est toujours inexcusable.
TurboToast3000 a continué lorsqu'on lui a demandé qui avait prévenu qui, et a déclaré ce qui suit :
«J'ai reçu un e-mail d'Epic hier. Après cela, je suis allé sur Reddit pour que tout le monde le sache et après quelques heures, un DM de quelqu'un m'a dit avoir reçu l'e-mail. AVEC PREUVE, il a montré qu'Epic Games lui avait envoyé l'e-mail et il l'a signalé à cause de cela, j'ai été averti. C'est si épique que monsieur, le gentil oopsie, l'a signalé et j'en ai enfin eu connaissance.
Selon le site Web nichegamer.com, le RGPD (Règlement Général sur la Protection des Données) fait partie du droit de l'UE, et depuis l'utilisateur se trouve aux Pays-Bas — un pays lié au droit de l’UE — une sanction pour une telle violation est applicable. Mais comme le représentant d'Epic affirme qu'aucune information personnelle n'a été divulguée, ce qui suit ne s'appliquerait pas dans ce cas – mais ce n'est pas encore officiel :
« Les organisations peuvent être condamnées à une amende allant jusqu'à 4 % de leur chiffre d'affaires mondial annuel en cas de violation du RGPD, soit 20 millions d'euros. Il s'agit de l'amende maximale qui peut être imposée pour les infractions les plus graves, par exemple le fait de ne pas avoir obtenu le consentement suffisant du client pour traiter les données ou de violer le cœur des concepts de Privacy by Design. Il existe une approche progressive en matière d'amendes : par exemple, une entreprise peut se voir infliger une amende de 2 % pour ne pas avoir tenu ses dossiers en ordre (article 28), pour ne pas avoir informé l'autorité de contrôle et la personne concernée d'une violation ou pour ne pas avoir procédé à une analyse d'impact. Il est important de noter que ces règles s'appliquent à la fois aux responsables du traitement et aux sous-traitants, ce qui signifie que les « clouds » ne sont pas exemptés de l'application du RGPD. »
Cet article sera mis à jour lorsqu'Epic Games ou TurboToast3000 fourniront des informations supplémentaires sur la situation.
