Certaines dispositions du RGPD fixent des règles particulières pour le traitement des données personnelles relatives à des personnes mineures, notamment l’article 8, paragraphe 1 du RGPD :
« Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »
Examinons cette clause de plus près :
Si vous pensez remplir toutes ces conditions, vous devriez certainement ajouter une étape à votre offre en ligne pour vérifier l’âge de vos utilisateurs. À cette fin, une fenêtre pop-up avec la question « Quel âge avez-vous ? » ou « Quelle est votre année de naissance ? » suffira.
La vérification de l’âge en ligne est un sujet complexe qui soulève de nombreux enjeux pour la vie privée et la sécurité. L’autorité française chargée de la protection des données (la CNIL) a publié une analyse qui clarifie sa position sur la vérification de l’âge en ligne et qui explique dans les grandes lignes comment les éditeurs peuvent satisfaire leurs obligations légales. Découvrez plus d’informations sur le Système de vérification de l’âge respectueux de la vie privée de la CNIL.
L’article 8 vous offre deux possibilités : vous pouvez soit recueillir ce consentement directement auprès des parents de la personne concernée, soit demander aux parents d’autoriser la personne concernée à donner son consentement. Vous ne devez réaliser aucun traitement de données personnelles tant que vous n’avez pas obtenu l’un de ces deux consentements.
Mais comment savoir qui sont les parents et s’ils sont réellement à l’origine du consentement ? Cette question n’a pas de réponse claire. Des commentateurs ont proposé diverses méthodes de vérification de l’identité et de collecte du consentement, dont :
Toutes ces méthodes représentent un effort considérable pour toutes les parties prenantes. Par conséquent, certains commentateurs ont signalé que la méthode bien connue de double confirmation pouvait aussi être utilisée à cette fin.
Une personne concernée âgée de 14 ans souhaite s’abonner à une newsletter. Ayant déclaré avoir 14 ans, elle doit fournir a) sa propre adresse e-mail, à laquelle les newsletters seront envoyées, et b) l’adresse e-mail de ses parents. Après son inscription, la personne concernée et ses parents reçoivent un e-mail envoyé automatiquement qui leur demande de confirmer l’inscription et de confirmer que les parents consentent à ce traitement des données personnelles de leur enfant.
Bien entendu, on pourrait estimer qu’un adolescent astucieux pourrait ouvrir de faux compte e-mail pour ses parents en moins d’une minute. Toutefois, d’une certaine façon, ce raisonnement est valable pour n’importe quelle autre procédure d’authentification : au final, il incombe aux parents d’empêcher leur enfant d’employer des méthodes frauduleuses.
En règle générale, vous devriez toujours choisir la méthode d’authentification en tenant compte du risque que pose le traitement des données personnelles. Dans l’exemple de la newsletter ci-dessus, où le risque est très faible, la procédure de double confirmation pourrait être jugée suffisante.
En revanche, si vous demandez le consentement de la personne concernée pour rendre certaines de ses données personnelles accessibles publiquement sur Internet, vous l’exposez à un risque très élevé. Dans ce cas, vous devriez plutôt opter pour une méthode d’authentification plus complexe, mais plus sûre, comme la demande de soumission d’un passeport ou d’une carte d’identité.