RGPD : quelle protection pour les données personnelles des mineurs ?

RGPD : quelle protection pour les données personnelles des mineurs ?
⏱ Lecture 4 min

Par Amanda Dubarry et Aurélie Puig

La CNIL a ouvert sa consultation publique sur les droits des mineurs dans l’environnement numérique : tout internaute est ainsi invité à répondre aux questions à choix multiples et contribuer à l’enquête de la CNIL.

 

En matière de données personnelles, le considérant 38 du règlement général sur la protection des données (RGPD) rappelle que « les mineurs méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.»

Focus sur le référentiel législatif qui encadre le traitement des données personnelles des mineurs, et sur les propositions de la CNIL.

1. Les dispositions du RGPD et de la Loi informatique et libertés sur le traitement des données des enfants :

Pour rappel, l’article 8 du RGPD établit les conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information.

Lorsque la licéité du traitement est fondée sur le consentement de l’enfant, le RGPD laisse aux Etats une marge de manœuvre pour prévoir l’âge à partir duquel l’enfant peut consentir seul au traitement de ses données personnelles (l’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans). En France, cet âge est fixé à 15 ans.

Ainsi, en dessous de 15 ans, le responsable de traitement devra recueillir un « double consentement » : celui du mineur et celui de la personne exerçant l’autorité parentale.

Cette protection s’applique notamment pour les traitements qui visent les enfants à des fins marketings ou pour la création de profils utilisateurs sur les réseaux sociaux / plateforme de jeux vidéo en ligne.

A contrario, le considérant 38 dispose que le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant (contraception, etc.).

RGPD-Traitement-Des-Donnees-Personnelles-Des-Enfants

2. Proposition de la CNIL pour encadrer le traitement des données personnelles des enfants 

Si le RGPD a posé le principe de protection renforcée pour les mineurs et que la loi informatique et libertés a défini l’âge minimum à 15 ans, ils n’ont pas précisé les modalités de vérification de l’âge de l’enfant, les conditions du recueil des consentements (celui des parents et celui des enfants) et l’exercice des droits des personnes concernées (droits d’accès, de rectification, d’effacement ou d’opposition).

La consultation publique de la CNIL s’articule autour de 4 parties :

Partie 1 sur la capacité juridique d’un mineur à effectuer seul certains actes sur Internet : la capacité juridique d’une personne comprend la capacité d’exercice et de jouissance (des droits et obligations). La capacité de jouissance est l’aptitude à être titulaire de droits et la capacité d’exercice est l’aptitude à exercer soi-même un droit que l'on détient, sans avoir besoin d'être représenté ni assisté par un tiers.

Un mineur a la capacité juridique de réaliser seul certains actes de la vie courante dans des conditions normales. Ainsi, la CNIL s’interroge sur la possibilité d’un enfant de créer des profils utilisateurs sur les plateformes de jeux vidéo en ligne, et les réseaux sociaux. Si vous répondez que cela est possible, vous pouvez préciser l’âge à partir duquel c’est possible.

Partie 2 sur la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement : actuellement, l’accès à un site interdit au mineur ne se fonde que sur une déclaration « d’avoir plus de 18 ans » sans aucune vérification.

La CNIL se pose la question de savoir comment mettre en place un système de vérification effectif de l’âge des usagers. Même dilemme pour le recueil du consentement des parents : un simple dispositif basé sur une déclaration serait bien trop simple à contourner.

Il est proposé :

  • Le recours à un système de contrôle parental :

Ce système permet de poser des filtres et bloquer certains sites. La personne titulaire de l’autorité parental aurait donc un compte « administrateur » avec lequel elle filtrerait l’accès au web de l’enfant.

L’ANSSI (agence nationale pour la sécurité des systèmes de l’information) souligne que le moteur de recherche est la première porte d’entrée du web, et qu’il est donc pertinent d’utiliser un moteur de recherche adapté aux mineurs en termes de « filtrage de contenu » (par exemple, le moteur de recherche QWANT JUNIOR).[1]

  • La transmission sécurisée d’un document d’identité, demandée au(x) parent(s) :

Le chiffrement des documents est, par exemple, une solution pour assurer la transmission sécurisée des documents. Il permet de garantir la confidentialité et l’intégrité des échanges, via la mise en place de mécanisme de cryptographie. Concrètement, un message en clair est transformé en message chiffré via une clé et seule la personne connaissant cette clé pourra déchiffrer le message.

  • L’envoi d’un SMS ou d’un message au(x) parent(s) pour obtenir leur consentement
  • La demande au(x) parent(s) d’un micro-paiement pour autoriser l’enfant à utiliser un service en ligne.
  • Le recours à un organisme tiers de confiance fournisseur d’identités numériques et d’attestations de l’âge.
  • La possibilité pour le(s) parent(s) de préciser la date de naissance du mineur et les limites de leur consentement à une plateforme interrogeable par les services en ligne contactés par le jeune

  • La délivrance au mineur, après vérification de son âge, en présence de son (ses) parent(s), d’un certificat (« pass d’accès ») lui permettant d’accéder à des services en ligne

 

Partie 3 sur la mise en place de garanties complémentaires : pour les sites et applications susceptibles d’être utilisés par des mineurs, la CNIL propose d’interdire des dispositifs de « manipulation » incitant les enfants à rester en ligne, tels que les nudges, les incitations douces, et les « boucles de récompense ».

Ces stratégies marketing présentent en effet des risques pour la vie privée des individus dès lors qu’elles les incitent à partager plus de données personnelles pour accéder à des services ou des produits.

Enfin, l’enquête publique de la CNIL se termine par la partie 4 portant sur l’exercice, par les mineurs, de leurs droits relatifs aux données personnelles les concernant (droit d’accès, de rectification, d’effacement, d’opposition etc.)

Nous vous invitons à contribuer à son enquête en cliquant sur ce lien.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des nouvelles technologies. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici

Amanda DUBARRY

Auteur Amanda DUBARRY

Suivez-nous sur Linkedin