Par Amanda Dubarry et Aurélie Puig
La CNIL a ouvert sa consultation publique sur les droits des mineurs dans l’environnement numérique : tout internaute est ainsi invité à répondre aux questions à choix multiples et contribuer à l’enquête de la CNIL.
En matière de données personnelles, le considérant 38 du règlement général sur la protection des données (RGPD) rappelle que « les mineurs méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.»
Focus sur le référentiel législatif qui encadre le traitement des données personnelles des mineurs, et sur les propositions de la CNIL.
Pour rappel, l’article 8 du RGPD établit les conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information.
Lorsque la licéité du traitement est fondée sur le consentement de l’enfant, le RGPD laisse aux Etats une marge de manœuvre pour prévoir l’âge à partir duquel l’enfant peut consentir seul au traitement de ses données personnelles (l’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans). En France, cet âge est fixé à 15 ans.
Ainsi, en dessous de 15 ans, le responsable de traitement devra recueillir un « double consentement » : celui du mineur et celui de la personne exerçant l’autorité parentale.
Cette protection s’applique notamment pour les traitements qui visent les enfants à des fins marketings ou pour la création de profils utilisateurs sur les réseaux sociaux / plateforme de jeux vidéo en ligne.
A contrario, le considérant 38 dispose que le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant (contraception, etc.).
Si le RGPD a posé le principe de protection renforcée pour les mineurs et que la loi informatique et libertés a défini l’âge minimum à 15 ans, ils n’ont pas précisé les modalités de vérification de l’âge de l’enfant, les conditions du recueil des consentements (celui des parents et celui des enfants) et l’exercice des droits des personnes concernées (droits d’accès, de rectification, d’effacement ou d’opposition).
La consultation publique de la CNIL s’articule autour de 4 parties :
Partie 1 sur la capacité juridique d’un mineur à effectuer seul certains actes sur Internet : la capacité juridique d’une personne comprend la capacité d’exercice et de jouissance (des droits et obligations). La capacité de jouissance est l’aptitude à être titulaire de droits et la capacité d’exercice est l’aptitude à exercer soi-même un droit que l'on détient, sans avoir besoin d'être représenté ni assisté par un tiers.
Un mineur a la capacité juridique de réaliser seul certains actes de la vie courante dans des conditions normales. Ainsi, la CNIL s’interroge sur la possibilité d’un enfant de créer des profils utilisateurs sur les plateformes de jeux vidéo en ligne, et les réseaux sociaux. Si vous répondez que cela est possible, vous pouvez préciser l’âge à partir duquel c’est possible.
Partie 2 sur la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement : actuellement, l’accès à un site interdit au mineur ne se fonde que sur une déclaration « d’avoir plus de 18 ans » sans aucune vérification.
La CNIL se pose la question de savoir comment mettre en place un système de vérification effectif de l’âge des usagers. Même dilemme pour le recueil du consentement des parents : un simple dispositif basé sur une déclaration serait bien trop simple à contourner.
Il est proposé :
Ce système permet de poser des filtres et bloquer certains sites. La personne titulaire de l’autorité parental aurait donc un compte « administrateur » avec lequel elle filtrerait l’accès au web de l’enfant.
L’ANSSI (agence nationale pour la sécurité des systèmes de l’information) souligne que le moteur de recherche est la première porte d’entrée du web, et qu’il est donc pertinent d’utiliser un moteur de recherche adapté aux mineurs en termes de « filtrage de contenu » (par exemple, le moteur de recherche QWANT JUNIOR).[1]
Le chiffrement des documents est, par exemple, une solution pour assurer la transmission sécurisée des documents. Il permet de garantir la confidentialité et l’intégrité des échanges, via la mise en place de mécanisme de cryptographie. Concrètement, un message en clair est transformé en message chiffré via une clé et seule la personne connaissant cette clé pourra déchiffrer le message.
Partie 3 sur la mise en place de garanties complémentaires : pour les sites et applications susceptibles d’être utilisés par des mineurs, la CNIL propose d’interdire des dispositifs de « manipulation » incitant les enfants à rester en ligne, tels que les nudges, les incitations douces, et les « boucles de récompense ».
Ces stratégies marketing présentent en effet des risques pour la vie privée des individus dès lors qu’elles les incitent à partager plus de données personnelles pour accéder à des services ou des produits.
Enfin, l’enquête publique de la CNIL se termine par la partie 4 portant sur l’exercice, par les mineurs, de leurs droits relatifs aux données personnelles les concernant (droit d’accès, de rectification, d’effacement, d’opposition etc.)
Nous vous invitons à contribuer à son enquête en cliquant sur ce lien.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des nouvelles technologies. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici