Données personnelles - RGPD

RPGD et protection des données personnelles des mineurs

Pour les mineurs de moins de 15 ans, le consentement au traitement de données personnelles doit être données par le mineur et par son représentant. Ce double consentement doit être libre, spécifique, éclairé et univoque.

Consentement de l’enfant : 15 ans minimum en France

Le consentement est une des bases légales prévues par le RGPD. Cela signifie qu’un traitement de données personnelles peut se fonder sur le consentement, mais pas uniquement. Pour que le consentement soit respecté, il doit être libre, spécifique, éclairé et univoque.

Le RGPD accorde une importance particulière à la protection des données personnelles des mineurs, car ils seraient « moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

C’est l’article 8 du RGPD qui prévoit les conditions du consentement pour les enfants. Chaque État de l’Union européenne a le droit de fixer l’âge à partir duquel un mineur peut consentir librement aux différents traitements de données personnelles (entre 13 et 16 ans). La France a choisi de fixer cet âge à 15 ans.

Cela signifie qu’un mineur de moins de 15 ans fait l’objet d’une protection RGPD spécifique. Le responsable de traitement devra alors recueillir deux consentements avant de procéder au traitement de données personnelles. Tout d’abord celui du mineur, puis celui de la personne responsable du mineur (ses parents, tuteur légal…).

L’objectif ? Protéger les enfants des éventuels traitements à des fins de marketing. Par exemple : la prospection commerciale.

Comment recueillir concrètement le consentement ?

Pour recueillir le consentement, voici les quatre conditions à respecter pour être en conformité avec le RGPD :

  • Le consentement doit être libre : ainsi, la personne doit avoir un véritable choix et ne pas se voir refuser l’accès au site ou au service en cas de refus. Par exemple : accepter les cookies sur un site ou devoir le quitter n’est pas un consentement libre !
  • Le consentement doit être spécifique : le consentement recueilli ne peut être valable que pour un seul traitement de données pour un seul objectif. Par exemple : consentir au traitement de données uniquement pour des analyses marketing
  • Le consentement doit être éclairé : il doit s’accompagner d’informations comme l’identité du responsable de traitement, la possibilité de retirer son consentement etc.
  • Le consentement doit être univoque : tant que la personne n’a pas donné expressément son accord pour que ses données personnelles soient traitées, le traitement de données n’est pas possible. Par exemple : il faut une case à cocher pour accepter le traitement des données à des fins de prospection commerciale.

Cependant, plusieurs difficultés pratiques sont apparues : comment vérifier l’âge de l’enfant, comment s’assurer que le double consentement soit respecté ? La Commission nationale de l’informatique et des libertés (Cnil) a entrepris une consultation publique pour tenter d’apporter des réponses pragmatiques à ces questions.

Consultation publique de la Cnil pour protéger les données personnelles des mineurs

Cette consultation, construite sur 4 phases, a pour objectif d’assurer le bon respect de cette protection.

  • Phase 1 : La capacité d’un mineur à effectuer seul des actes sur internet. La Cnil se questionne ici sur la possibilité, pour un enfant, de créer des profils sur les plateformes de jeux vidéo, sur les réseaux sociaux par exemple. Si c’est une possibilité offerte par le responsable de traitement, il faut préciser l’âge à partir duquel l’enfant mineur peut créer un compte par exemple.
  • Phase 2 : La vérification de l’âge des usagers et du consentement. C’est une étape délicate car à ce jour, la seule possibilité de contrôler l’âge pour accéder à un site se fait par un simple clic. La Cnil s’interroge donc sur la mise en œuvre efficace de cette vérification. À ce titre, certaines propositions ont été faites, comme la transmission sécurisée d’un document d’identité (fourni par les parents).
  • Phase 3 : La mise en place de garanties supplémentaires. La Cnil souhaite voir des dispositifs spécifiques pour protéger les mineurs des incitations à rester en ligne. L’objectif est de neutraliser les incitations douces, les cercles vertueux de récompense dans les jeux. En effet, ces stratégies marketing représentent un risque pour les données personnelles : elles incitent à partager toujours plus de données pour accéder aux services ou produits en ligne.
  • Phase 4 : L’exercice des droits RGPD (droit d’accès, rectification, opposition, effacement…) des mineurs. En effet, la Cnil souhaite enfin s’assurer que ces droits soient faciles à mettre en œuvre pour les mineurs.

En cas de non-respect des règles RGPD, la Cnil sera en mesure d’infliger des sanctions administratives. Attention donc aux futurs contrôles de la Cnil en matière de données personnelles des mineurs.

Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD et vous assiste pour répondre à vos interrogations sur les données personnelles.

DEMANDER UN DEVIS GRATUIT

RÉFÉRENCES :