RPGD et protection des données personnelles des mineurs

Pour les mineurs de moins de 15 ans, le consentement au traitement de données personnelles doit être données par le mineur et par son représentant. Ce double consentement doit être libre, spécifique, éclairé et univoque.

Table des matières

Consentement de l’enfant : 15 ans minimum en France

Le consentement est une des bases légales prévues par le RGPD. Cela signifie qu’un traitement de données personnelles peut se fonder sur le consentement, mais pas uniquement. Pour que le consentement soit respecté, il doit être libre, spécifique, éclairé et univoque.

Le RGPD accorde une importance particulière à la protection des données personnelles des mineurs, car ils seraient « moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

C’est l’article 8 du RGPD qui prévoit les conditions du consentement pour les enfants. Chaque État de l’Union européenne a le droit de fixer l’âge à partir duquel un mineur peut consentir librement aux différents traitements de données personnelles (entre 13 et 16 ans). La France a choisi de fixer cet âge à 15 ans.

Cela signifie qu’un mineur de moins de 15 ans fait l’objet d’une protection RGPD spécifique. Le responsable de traitement devra alors recueillir deux consentements avant de procéder au traitement de données personnelles. Tout d’abord celui du mineur, puis celui de la personne responsable du mineur (ses parents, tuteur légal…).

L’objectif ? Protéger les enfants des éventuels traitements à des fins de marketing. Par exemple : la prospection commerciale.

Comment recueillir concrètement le consentement ?

Pour recueillir le consentement, voici les quatre conditions à respecter pour être en conformité avec le RGPD :

Le consentement doit être libre : ainsi, la personne doit avoir un véritable choix et ne pas se voir refuser l’accès au site ou au service en cas de refus. Par exemple : accepter les cookies sur un site ou devoir le quitter n’est pas un consentement libre !

Le consentement doit être spécifique : le consentement recueilli ne peut être valable que pour un seul traitement de données pour un seul objectif. Par exemple : consentir au traitement de données uniquement pour des analyses marketing

Le consentement doit être éclairé : il doit s’accompagner d’informations comme l’identité du responsable de traitement, la possibilité de retirer son consentement etc.

Le consentement doit être univoque : tant que la personne n’a pas donné expressément son accord pour que ses données personnelles soient traitées, le traitement de données n’est pas possible. Par exemple : il faut une case à cocher pour accepter le traitement des données à des fins de prospection commerciale.

Cependant, plusieurs difficultés pratiques sont apparues : comment vérifier l’âge de l’enfant, comment s’assurer que le double consentement soit respecté ? La Commission nationale de l’informatique et des libertés (Cnil) a entrepris une consultation publique pour tenter d’apporter des réponses pragmatiques à ces questions.

Consultation publique de la Cnil pour protéger les données personnelles des mineurs

Cette consultation, construite sur 4 phases, a pour objectif d’assurer le bon respect de cette protection.

Phase 1 : La capacité d’un mineur à effectuer seul des actes sur internet. La Cnil se questionne ici sur la possibilité, pour un enfant, de créer des profils sur les plateformes de jeux vidéo, sur les réseaux sociaux par exemple. Si c’est une possibilité offerte par le responsable de traitement, il faut préciser l’âge à partir duquel l’enfant mineur peut créer un compte par exemple.

Phase 2 : La vérification de l’âge des usagers et du consentement. C’est une étape délicate car à ce jour, la seule possibilité de contrôler l’âge pour accéder à un site se fait par un simple clic. La Cnil s’interroge donc sur la mise en œuvre efficace de cette vérification. À ce titre, certaines propositions ont été faites, comme la transmission sécurisée d’un document d’identité (fourni par les parents).

Phase 3 : La mise en place de garanties supplémentaires. La Cnil souhaite voir des dispositifs spécifiques pour protéger les mineurs des incitations à rester en ligne. L’objectif est de neutraliser les incitations douces, les cercles vertueux de récompense dans les jeux. En effet, ces stratégies marketing représentent un risque pour les données personnelles : elles incitent à partager toujours plus de données pour accéder aux services ou produits en ligne.

Phase 4 : L’exercice des droits RGPD (droit d’accès, rectification, opposition, effacement…) des mineurs. En effet, la Cnil souhaite enfin s’assurer que ces droits soient faciles à mettre en œuvre pour les mineurs.

En cas de non-respect des règles RGPD, la Cnil sera en mesure d’infliger des sanctions administratives. Attention donc aux futurs contrôles de la Cnil en matière de données personnelles des mineurs.

Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD et vous assiste pour répondre à vos interrogations sur les données personnelles.

DEMANDER UN DEVIS GRATUIT

RÉFÉRENCES :

Le consentement dans le RGPD : articles 4 et 7
Le consentement des mineurs dans le RGPD : article 8
Pour participer à la consultation publique de la Cnil

RECOMMANDÉ POUR VOUS :

Jeux-concours : amende de 75000 € de la CNIL

Annulation d'un contrat de développement web pour…

TikTok sanctionné par la CNIL à hauteur de 5…

Demander un devis gratuit

Deshoulières Avocats
contact@deshoulieres-avocats.com
Tél. : +33.1.77.62.82.03
121, boulevard Sébastopol – 75002 Paris

Une question ?
Deshoulières Avocats a été classé parmi les meilleurs cabinet d’avocats en droit des nouvelles technologies par le journal Le Point.

Nous conseillons et défendons plus de 750 entreprises, en France et à l’international.

DEVIS GRATUIT

Demandez dès à présent un devis gratuit. Deshoulières Avocats s’engage à vous répondre sous 24h.

Demander un devis gratuit

UNE QUESTION ? UN BESOIN ? CONTACTEZ-NOUS

Deshoulières Avocats conseille et défend plus de 750 entreprises, en France et à l’international.

Nous contacter

Sous quelle condition peut-on géolocaliser un salarié pour calculer son temps de travail ?

Un système de géolocalisation des salariés dans le but de contrôler leurs horaires de travail ne peut être mis en place qu'à la seule condition qu'il soit l'unique moyen de contrôler les horaires de travail du salarié. Ainsi en a décidé la chambre sociale de la Cour...

Plaidoirie devant CJUE dans l’affaire des formulaires binairesde la SNCF

Communiqué de presse. Paris, 24/04/2024Le RGPD et le droit de l’UE en matière de non-discrimination obligent-ils les organismes à prévoir une case pour les personnes non binaires dans leurs formulaires ? C'est la question que devra trancher la Cour de justice de...

Google sanctionné pour avoir entrainé illégalement son IA

L’Autorité de la concurrence vient d'infliger une amende de 250 millions d’euros à Google, à qui il est reproché d'avoir entrainé illégalement son IA Bard, devenu Gémini, grâce aux contenus des éditeurs et agences de presse. Des manquements graves aux engagements...