Si vous êtes propriétaire d’une application ou d’un site Web qui recueille, utilise ou divulgue intentionnellement les informations personnelles d’enfants de moins de 13 ans, la grande majorité des législations vous imposent de respecter des règles particulières. Dans ce cadre, les « informations personnelles » d’un enfant désignent son nom, sa localisation, ses coordonnées, ses informations d’identification (p.ex. son numéro de sécurité sociale), les identifiants de ses appareils, son adresse IP, ainsi que les photos, les vidéos et les fichiers audio qui contiennent l’image ou la voix de l’enfant.
Par commodité, ce guide fait la distinction entre le droit des États-Unis et le droit de l’UE. Toutefois, dans les deux cas, les organismes de réglementation indiquent clairement que leurs exigences s’appliquent à partir du moment où vous avez ou ciblez des utilisateurs qui se trouvent dans la région dont proviennent ces règles. En d’autres termes, les lois d’une région vous sont applicables même lorsque votre société ou vos serveurs ne sont pas établis dans cette région.
La loi sur la protection de la vie privée en ligne des enfants, le Children’s Online Privacy Protection Act (COPPA), est une loi fédérale des États-Unis qui vise à mieux protéger les données personnelles et les droits des enfants de moins de 13 ans. En vertu de la loi COPPA, les exploitants de sites Web ou de services en ligne qui s’adressent aux enfants de moins de 13 ans ou qui ont conscience de recueillir des informations personnelles auprès d’enfants de moins de 13 ans, doivent en aviser les parents et obtenir leur consentement vérifiable avant de procéder à la collecte, l’utilisation ou la divulgation de ces informations, et doivent assurer la protection des informations recueillies auprès de ces enfants.
« Vérifiable » signifie ici que vous devez obtenir ce consentement par un moyen qui ne peut pas être facilement contourné par un enfant et que vous devez être en mesure de prouver que ce consentement a de fortes chances d’avoir été donné par un adulte (p.ex. des questions de contrôle). Même après le consentement, les parents doivent par ailleurs avoir la possibilité d’interdire la communication des données à des tiers lorsqu’ils le souhaitent, excepté lorsque cette communication fait partie du service (p.ex. sur un réseau social).
La mise en place d’une politique de confidentialité conforme à la loi COPPA est une exigence centrale de cette loi. Les sections suivantes présentent des informations relatives à la conformité avec la loi COPPA. Pour en savoir plus sur cette loi, cliquez ici.
En vertu du RGPD de l’UE, le consentement est l’une des bases juridiques du traitement des données relatives aux enfants. Lorsque vous utilisez cette base juridique pour traiter des données relatives à des enfants de moins de 13 ans, vous devez obtenir le consentement vérifiable d’un parent ou tuteur, excepté lorsque le service que vous proposez est un service de prévention ou de conseil. Vous devez prendre des mesures raisonnables (compte tenu des moyens technologiques disponibles) pour vérifier que la personne qui donne son consentement est bien titulaire de la responsabilité parentale à l’égard de l’enfant.
Lorsque vous traitez les données d’un enfant en vous appuyant sur une autre base juridique, vous devez tenir compte d’autres facteurs, tels que la capacité de l’enfant à comprendre et à accepter le traitement, ainsi que les centres d’intérêt et les droits fondamentaux de l’enfant. Par ailleurs, lorsque vous ciblez les enfants de plus de 13 ans, vous devez rédiger une déclaration de confidentialité claire et adaptée à leur âge pour leur permettre de comprendre à quoi ils consentent.
Le droit à l’effacement est particulièrement pertinent dans le cas où une personne a consenti au traitement lorsqu’elle était enfant. Lorsque vous traitez des données relatives aux enfants, vous êtes légalement tenu de prendre des mesures adéquates pour assurer la protection de leurs données.
Pour en savoir plus sur les exigences du droit de l’UE relatives aux données des enfants, consultez notre guide consacré aux mineurs et au RGPD ou le site Web de l’ICO.
Si vous ne respectez pas les règles fixées par la loi COPPA, vous vous exposez à de lourdes amendes.
Par exemple, en 2006, les propriétaires du site Xanga ont été condamnés à une amende d’un million de dollars américains pour avoir permis à plusieurs reprises à des enfants de moins de 13 ans de s’inscrire à leur service sans consentement parental, en violation de la loi COPPA.
De la même façon, une violation des exigences du RGPD de l’UE peut entraîner des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Regardez nos démos en direct et obtenez les réponses à vos questions en temps réel en participant à l’un de nos webinars gratuits en français. Ils comportent des cas concrets et conçus pour vous aider à comprendre et accomplir la mise en conformité de vos sites web et applications.
Décrivez les types d’informations personnelles relatives à des enfants que vous traitez en ligne, la finalité de ce traitement et la façon dont vous gérez ces informations.
Listez tous les opérateurs qui traitent ces informations personnelles. Nommez tous les opérateurs tiers qui participent à ce traitement, y compris les modules des réseaux sociaux, les widgets et les réseaux publicitaires.
Décrivez les droits dont disposent les parents à l’égard des données de leurs enfants ainsi que les procédures à suivre pour exercer ces droits.
Informez directement les parents et demandez un consentement parental vérifiable (bien qu’il existe des exceptions) avant de recueillir les informations d’enfants en ligne.
Donnez aux parents l’accès aux informations personnelles de leurs enfants pour leur permettre de les passer en revue ou d’en demander la suppression.
Donnez aux parents la possibilité de retirer leur consentement et d’interdire tout traitement ultérieur des informations personnelles d’un enfant.
Préservez la confidentialité, la sécurité et l’intégrité des données recueillies auprès d’enfants. Vous devez entre autres prendre des mesures raisonnables pour vous assurer que ces données ne sont partagées qu’avec des tiers capables d’en préserver la confidentialité et la sécurité.
Assurez-vous de ne conserver les informations personnelles recueillies en ligne auprès d’un enfant que pendant la durée nécessaire à la finalité pour laquelle vous les avez recueillies. Lorsqu’elles n’y sont plus nécessaires, supprimez ces informations par des moyens sécurisés afin de les protéger contre tout accès ou utilisation non autorisé.
Ne subordonnez pas la capacité d’un enfant à accéder à une activité en ligne à la fourniture d’informations supplémentaires qui ne sont pas légitimement nécessaires à cette activité.
Pour vous mettre en conformité avec les lois sur la protection des données des enfants, l’une des premières étapes consiste logiquement à vous assurer que votre politique de confidentialité satisfait les exigences légales. C’est pourquoi nous avons conçu une solution qui tient compte des règles les plus strictes des principales législations dans une seule politique exhaustive mais facile à lire.
Bien que vous deviez mettre en œuvre séparément des méthodes de collecte, d’enregistrement et de vérification du consentement parental, notre solution de politique de confidentialité vous aide à satisfaire facilement vos obligations de communication en vous permettant de définir les informations nécessaires de façon exhaustive et de les divulguer en toute conformité. Nous y avons également intégré une clause exhaustive consacrée à la loi COPPA afin de simplifier davantage ce processus.
Le processus est simple et intuitif : il vous suffit de cliquer pour ajouter vos services > renseigner le propriétaire du site Web ou de l’application et ses coordonnées > intégrer la politique.
Félicitations ! Votre politique a bien été créée. Vérifiez simplement que toutes les informations sont correctes, puis :
Nos politiques sont créées par des avocats, suivies par nos avocats et hébergées sur nos serveurs pour garantir qu’elles soient constamment à jour au regard des dernières exigences légales et exigences de tiers. Nos politiques de confidentialité présentent également une option qui vous permet d’inclure une politique relative aux cookies (nécessaire lorsque votre site Web ou application utilise des cookies).
Pour en savoir plus sur notre générateur de politique et ses fonctionnalités, cliquez ici, et sur notre gamme complète de solutions, cliquez ici.
→ Pour obtenir des réponses à vos questions en direct et poursuivre votre découverte de l’outil Privacy Controls and Cookie Solution et du Générateur de Politique de Confidentialité et de Cookies, participez à l’un de nos webinars gratuits en français.