Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Les mineurs et le RGPD

Dans mon activité, je dois traiter des données personnelles relatives à des personnes mineures. Y a-t-il des choses que je devrais savoir ?

Certaines dispositions du RGPD fixent des règles particulières pour le traitement des données personnelles relatives à des personnes mineures, notamment l’article 8, paragraphe 1 du RGPD :

« Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »

Examinons cette clause de plus près :

  1. Tout d’abord, contrairement au reste du RGPD, cette disposition s’applique uniquement aux services fournis en ligne (les « services de la société de l’information »).
  2. Surtout, elle s’applique uniquement lorsque l’offre de services de la société de l’information est explicitement, uniquement ou principalement destinée aux enfants. C’est le cas lorsque vous vous adressez explicitement à des enfants (p.ex. dans un langage informel et enfantin), lorsque les biens, services ou contenus proposés sont spécifiquement destinés aux enfants (p.ex. les livres pour enfants, les jeux ou les ressources liées à l’école) ou encore, évidemment, lorsque l’offre est explicitement limitée aux enfants (« réservé aux enfants »). En revanche, si vous proposez ou vendez des biens, services ou contenus qui pourraient convenir à des enfants ou qui incluent des articles adaptés aux enfants, cela n’est pas suffisant pour qu’elle s’applique. Par conséquent, si vous vendez des jouets en ligne, cela n’implique pas nécessairement que votre boutique en ligne est « proposée directement aux enfants ».
  3. Cette clause s’applique uniquement lorsque la base juridique du traitement des données personnelles est le consentement. Ainsi, si vous vendez des sonneries de téléphone à des adolescents, les données personnelles recueillies lors de l’achat (prénom, nom, adresse e-mail et informations de paiement) sont généralement « nécessaires à l’exécution d’un contrat auquel la personne concernée est partie » et le traitement relève donc de la base juridique contractuelle (article 6, paragraphe 1, point b). En revanche, si vous souhaitez également utiliser l’adresse e-mail de la personne concernée pour lui envoyer des newsletters au sujet de vos sonneries de téléphone, vous devez recueillir le consentement de la personne concernée puisque ce traitement de données personnelles à des fins de marketing ne relève pas d’un contrat. C’est là que l’article 8 est pertinent : si la personne concernée a moins de 16 ans, vous devez également obtenir le consentement de ses parents.
  4. Les « mineurs », aux fins de l’article 8 du RGPD, sont les enfants de moins de 16 ans. Toutefois, le RGPD permet aux États membres de fixer un âge inférieur, pour autant qu’il ne soit pas en-dessous de 13 ans. Par exemple, l’Autriche a fixé l’âge minimum à 14 ans.

Si vous pensez remplir toutes ces conditions, vous devriez certainement ajouter une étape à votre offre en ligne pour vérifier l’âge de vos utilisateurs. À cette fin, une fenêtre pop-up avec la question « Quel âge avez-vous ? » ou « Quelle est votre année de naissance ? » suffira.

La vérification de l’âge en ligne est un sujet complexe qui soulève de nombreux enjeux pour la vie privée et la sécurité. L’autorité française chargée de la protection des données (la CNIL) a publié une analyse qui clarifie sa position sur la vérification de l’âge en ligne et qui explique dans les grandes lignes comment les éditeurs peuvent satisfaire leurs obligations légales. Découvrez plus d’informations sur le Système de vérification de l’âge respectueux de la vie privée de la CNIL

Comment recueillir le consentement des parents ou leur demander d’autoriser leur enfant à donner son consentement ?

L’article 8 vous offre deux possibilités : vous pouvez soit recueillir ce consentement directement auprès des parents de la personne concernée, soit demander aux parents d’autoriser la personne concernée à donner son consentement. Vous ne devez réaliser aucun traitement de données personnelles tant que vous n’avez pas obtenu l’un de ces deux consentements.

Mais comment savoir qui sont les parents et s’ils sont réellement à l’origine du consentement ? Cette question n’a pas de réponse claire. Des commentateurs ont proposé diverses méthodes de vérification de l’identité et de collecte du consentement, dont :

  • la fourniture par e-mail d’une copie du passeport ou de la carte d’identité ;
  • la fourniture par e-mail d’une lettre de consentement ou d’autorisation signée par les parents ;
  • le traitement des commandes en ligne par le biais de la carte de crédit des parents ;
  • l’obtention du consentement ou de l’autorisation des parents par téléphone.

Toutes ces méthodes représentent un effort considérable pour toutes les parties prenantes. Par conséquent, certains commentateurs ont signalé que la méthode bien connue de double confirmation pouvait aussi être utilisée à cette fin.

Exemple

Une personne concernée âgée de 14 ans souhaite s’abonner à une newsletter. Ayant déclaré avoir 14 ans, elle doit fournir a) sa propre adresse e-mail, à laquelle les newsletters seront envoyées, et b) l’adresse e-mail de ses parents. Après son inscription, la personne concernée et ses parents reçoivent un e-mail envoyé automatiquement qui leur demande de confirmer l’inscription et de confirmer que les parents consentent à ce traitement des données personnelles de leur enfant.

Bien entendu, on pourrait estimer qu’un adolescent astucieux pourrait ouvrir de faux compte e-mail pour ses parents en moins d’une minute. Toutefois, d’une certaine façon, ce raisonnement est valable pour n’importe quelle autre procédure d’authentification : au final, il incombe aux parents d’empêcher leur enfant d’employer des méthodes frauduleuses.

En règle générale, vous devriez toujours choisir la méthode d’authentification en tenant compte du risque que pose le traitement des données personnelles. Dans l’exemple de la newsletter ci-dessus, où le risque est très faible, la procédure de double confirmation pourrait être jugée suffisante.

En revanche, si vous demandez le consentement de la personne concernée pour rendre certaines de ses données personnelles accessibles publiquement sur Internet, vous l’exposez à un risque très élevé. Dans ce cas, vous devriez plutôt opter pour une méthode d’authentification plus complexe, mais plus sûre, comme la demande de soumission d’un passeport ou d’une carte d’identité.

Voir aussi