Par Haas Avocats
Le 20 février 2025, la CNIL et les membres du Comité européen de la protection des données (CEPD) ont échangé sur leur gestion commune de l’application du RGPD aux systèmes d’IA. A la suite de quoi, une déclaration sur le contrôle de l’âge a été adoptée par le CEPD[1].
Cette déclaration souligne l'importance de la protection des enfants dans l'environnement numérique, en se référant à diverses directives et initiatives de l'UE qui nécessitent des mesures de vérification de l'âge pour renforcer la sécurité des enfants en ligne.
L’ « assurance de l’âge », méthodes, explications et présentation des risques
La déclaration du CEPD précise que l'assurance de l'âge est définie comme un terme générique désignant les méthodes utilisées pour déterminer l'âge ou la tranche d'âge d'un individu avec différents niveaux de confiance ou de certitude, incluant :
- l'estimation de l'âge ;
- la vérification de l'âge ; et
- l'auto-déclaration.
Dans ce cadre, il est également précisé que l’assurance de l'âge présente des risques spécifiques pour la protection des données, pouvant affecter non seulement le droit à la protection des données personnelles, mais aussi d'autres droits et libertés tels que le droit à la non-discrimination et le droit à la liberté et à la sécurité.
Il est ainsi abordé des principes dérivés du Règlement général sur la protection des données (RGPD) pour garantir que les méthodes d'assurance de l'âge respectent les droits des enfants et la protection des données personnelles tout en sécurisant leur mise en œuvre (proportionnalité et basée sur les risques, en tenant compte des droits et libertés des personnes concernées).
Par ailleurs, une analyse d'impact sur la protection des données (AIPD) peut être nécessaire avant de traiter les données personnelles[2].
Sécuriser sans surveiller : le défi des fournisseurs de services
Les fournisseurs de services doivent mettre en œuvre des mesures efficaces pour éviter que l'assurance de l'âge ne conduise à des risques inutiles pour la protection des données, comme l'identification, la localisation, le profilage ou le suivi des personnes.
Dans ce cadre, les données personnelles traitées dans le cadre de l'assurance de l'âge doivent être limitées aux attributs liés à l'âge strictement nécessaires pour atteindre des objectifs spécifiques, explicites et légitimes[3]. Les méthodes d'assurance de l'âge doivent démontrer un niveau d'efficacité adéquat pour atteindre leur objectif, en tenant compte de l'accessibilité, de la fiabilité et de la robustesse.
En outre, les fournisseurs de services doivent être transparents quant à l'utilisation des données personnelles et s'assurer que le traitement est équitable et conforme à la loi. Toute prise de décision automatisée dans le cadre de l'assurance de l'âge doit respecter le RGPD et inclure des mesures de sauvegarde appropriées pour protéger les droits et libertés des personnes concernées.
L'assurance de l'âge doit être conçue et mise en œuvre en tenant compte des méthodes et technologies les plus respectueuses de la vie privée disponibles. Des mesures techniques et organisationnelles appropriées doivent être mises en place pour garantir un niveau de sécurité adapté aux risques.
Ces points visent à équilibrer les mesures de sécurité avec les droits et libertés des individus, en particulier des enfants, tout en assurant une protection efficace de leurs données personnelles.
La déclaration du CEPD met en lumière les défis liés à l’assurance de l’âge et souligne la nécessité d’un équilibre entre la protection des enfants en ligne et le respect des droits fondamentaux, notamment en matière de protection des données personnelles. Cette approche rejoint les principes édictés par l’ARCOM dans son référentiel sur le contrôle de l’âge, qui vise à garantir une vérification efficace et respectueuse de la vie privée, notamment pour l’accès aux contenus en ligne interdits aux mineurs.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Voir La déclaration 1/2025 sur l'assurance de l'âge, adoptée par le Comité européen de la protection des données (EDPB) le 11 février 2025
[2] Article 35 du RGPD
[3] Article 5 du RGPD (minimisation)
