Par Kate JARRARD
Saviez-vous qu’à l’origine seuls les mineurs de 13 ans pouvaient accéder à la plateforme ?
Le 4 septembre 2019, l’agence américaine de protection des consommateurs, la Federal Trade Commission (FTC), annonce officiellement que Google LLC et sa filiale YouTube LLC devront verser 170 millions de dollars - soit 154 millions d’euros - pour avoir collecté des données en violation de la loi américaine sur la protection de la vie privée en ligne des enfants[1]. Notons qu’il s’agit de l’amende la plus élevée depuis l’entrée en vigueur de cette loi (en 2000).
Célèbre pour héberger des vidéos visualisables par tous sous couvert de liberté d’expression, qu’est-il exactement reproché à YouTube pour se retrouver ainsi sous les feux des projecteurs ?
1- YouTube ignore la loi sur la protection de la vie privée des enfants
En avril 2018, 23 organisations de défense des droits numériques et de protection de l’enfant ont déposé une plainte auprès de la FTC reprochant à YouTube de collecter les données personnelles d’enfants pour recourir à la publicité comportementale, et ce sans fournir d’informations générales à propos de tels traitements de données, et sans information spécifique et consentement préalables des parents.
Selon la FTC, les données concernées sont notamment des identifiants pérennes (« traceurs ») utilisés pour suivre, sans que les parents le sachent, les activités d’un enfant en ligne (tels qu’un numéro de client conservé dans un cookie, un identifiant d’appareil unique, ou encore sa localisation).
Ces traceurs sont placés sur les chaînes monétisées par YouTube des géants tels que le marchand de jouets Mattel, la chaîne de télévision Cartoon Network ou la société de production DreamWorks, qui génèrent ainsi des revenus en diffusant des publicités ciblées aux téléspectateurs de leurs chaînes, en l’espèce les enfants.
Partant, YouTube aurait gagné plusieurs millions de dollars de revenus publicitaires. La FTC souligne néanmoins que la société a refusé de reconnaître que certaines chaînes s’adressaient aux enfants alors que, parfaitement consciente, elle vantait sa popularité chez ce jeune public auprès de prospects.
2- Quelles règles de protection des données des mineurs aux Etats-Unis ?
La loi COPPA exige que les sites internet et les services en ligne destinés aux enfants, ou qui savent que des enfants l’utilisent, fournissent des informations relatives à leurs traitements et obtiennent le consentement parental avant toute collecte de données d’enfants de moins de 13 ans[2].
Cette obligation inclut l’utilisation et le suivi des habitudes de navigation d’un enfant pour la publicité ciblée sur Internet.
Les tiers, tels que les réseaux publicitaires sont aussi assujettis à cette loi lorsqu’ils savent qu’ils recueillent des données directement auprès d’utilisateurs de sites et services en ligne destinés aux enfants.
L’accord amiable entre la FTC et YouTube, qui reste à être homologué, va donc imposer, en plus du paiement de l’amende, de se mettre en conformité vis-à-vis des manquements constatés et de :
- mettre en place un système qui permet aux administrateurs des chaînes d’indiquer lorsqu’un contenu est destiné aux enfants ; et
- former le personnel de Google et YouTube en charge des administrateurs de chaînes aux obligations de la loi COPPA ;
En outre, YouTube a déclaré qu’elle mettra en place des mesures pour :
- traiter les données de l’internaute qui visionne une vidéo destinée aux enfants comme celles d’un enfant, peu importe l’âge réel de l’utilisateur, et ainsi minimiser la collecte et l’utilisation de données de ces vidéos à ce qui est strictement nécessaire à l’exécution du service ;
- arrêter complètement la publicité personnalisée sur ces types de contenus ;
- supprimer les fonctionnalités de commentaires et de notifications ;
- utiliser le machine learning pour identifier les vidéos qui visent une jeune audience[3].
Enfin, YouTube va également prendre des mesures pour mettre plus en avant son application dédiée YouTube Kids auprès des parents.
3- En Europe, le RGPD s’applique à YouTube
En Europe, le règlement général sur la protection des données (RGPD) prévoit des conditions particulières pour le consentement des mineurs en ce qui concerne les services de la société de l’information (tels que les plateformes, réseaux sociaux, etc.).
Ces acteurs doivent recueillir le consentement du titulaire de la responsabilité parentale lorsque l’enfant est âgé de moins de 16 ans. Le RGPD permet cependant aux Etats membres de l’UE d’abaisser cet âge à 13 ans[4].
En France, l’âge a été fixé à 15 ans : en dessous de cet âge, la loi Informatique et Libertés impose le recueil du consentement conjoint de l’enfant et du/des titulaire(s) de l’autorité parentale[5].
Le RGPD permet également d’assurer le respect de divers principes par les entreprises, tels que la minimisation des données, la licéité, la loyauté et la transparence des traitements, ou encore la limitation des finalités et de la conservation[6].
A l’heure où la CNIL publie de nombreuses recommandations dans l’objectif de protéger la vie privée des jeunes utilisateurs (montres[7] et jouets connectés[8], Internet, activités extrascolaires[9]…), nul doute que la question ne va pas traverser l’Atlantique.
***
Vous êtes un professionnel et vous vous interrogez sur votre traitement de données ? Le cabinet HAAS Avocats est à votre disposition pour vous accompagner dans votre activité. Pour plus d’informations, contactez-nous ici.
***
Source : FTC
[1] Children’s Online Privacy Protection Act of 1998 (COPPA), Pub. L. 105-277.
[2] Electronic Code of Federal Communications, §312.4 et §312.5.
[3] Youtube, Official Blog, An update on kids and data protection on YouTube, 4 septembre 2019, https://youtube.googleblog.com/2019/09/an-update-on-kids.html.
[4] Article 8 du RGPD.
[5] Article 45 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[6] Article 5 du RGPD.
[7] CNIL, Montres connectées pour enfants : quels enjeux pour la vie privée?, https://www.cnil.fr/fr/montres-connectees-pour-enfants-quels-enjeux-pour-leur-vie-privee.
[8] CNIL, Jouets connectés : quels conseils pour les sécuriser ?, 3 décembre 2018, https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser.
[9] CNIL, Les inscriptions aux activités extrascolaires dans le respect de la vie privée, 13 septembre 2017 https://www.cnil.fr/fr/les-inscriptions-aux-activites-extrascolaires-dans-le-respect-de-la-vie-privee.