Consentement des mineurs : une bonne chose de faite ? Mercredi 7 février 2018 a été adopté par l’Assemblée Nationale un amendement ajoutant à la loi Informatique et Libertés un article 7-1 relatif au consentement des mineurs au traitement de leurs données personnelles.
Sommaire
- Consentement lié à l'offre directe de services de la société de l'information aux enfants
- Quelles sont les vérifications nécessaires ?
- Autres traitements impliquant les données de mineurs
Consentement lié à l'offre directe de services de la société de l'information aux enfants
Cet article – proposition de la Commission des Lois - choisit d’utiliser la marge de manœuvre laissée par le GDPR aux Etats Membres en abaissant de 16 à 15 ans l’âge auquel « un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information ».
Deux présupposés fondent l’application de cette règle :
1) le traitement doit être basé sur le consentement ;
2) le traitement doit être lié à l’offre directe de services de la société de l’information, notamment au commerce électronique ou plus largement à Internet.
Dans un tel cas, le traitement n’est licite que si le ou les titulaires de l’autorité parentale l’ont autorisé.
Plus précisément, le consentement parental sera nécessaire dans toutes les hypothèses où le traitement devrait être basé sur le consentement de la personne concernée, par exemple en cas de décision automatisé ou de collecte de données sensibles. Outre ces cas classiques, la lecture combinée du paragraphe 38 du préambule et de l’article 6-1-f) du GDPR permet notamment de préciser que le consentement parental sera nécessaire en cas d’« utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant », là où l’utilisation des données d’un adulte aux mêmes fins pourrait potentiellement se baser sur l’intérêt légitime du responsable.
Quelles sont les vérifications nécessaires ?
Ainsi, en cas de traitement de données personnelles (i) via un service sur Internet visant notamment les enfants et (ii) basé sur le consentement de ces enfants, deux confirmations s’imposeraient donc:
1) La première relative à l’âge de la personne utilisant le service (les méthodes classiques actuelles pouvant aller de la simple déclaration à une vidéoconférence avec la personne en passant par l’envoi d’une copie de pièce d’identité) ;
2) La seconde – dans l’hypothèse d’un mineur de moins de 15 ans – relative à l’accord du ou des titulaires de l’autorité parentale (peu répandue aujourd'hui bien que l’on puisse imaginer des solutions similaires à celles susmentionnées).
En pratique, comment être certain de l’âge et/ou de l’identité d’un utilisateur sur Internet ?
Lors des débats du 7 février à l’Assemblée Nationale était souligné que « toutes les entreprises auditionnées reconnaissent qu’il leur est impossible de vérifier l’âge effectif des personnes inscrites sur ces réseaux, sauf à mettre en œuvre des mesures de profilage ou à procéder à des vérifications d’identité qui seraient tout à fait contraires au règlement ».
A cet égard, l’article 8 du GDPR précise que le responsable du traitement doit s'efforcer de raisonnablement vérifier, lorsque l’enfant est âgé de moins de 15 ans, « que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles ».
Cet élément – prévu dès la proposition initiale de la Commission en 2012 – semble indiquer d’une part que l’objet des vérifications ne concerne pas la déclaration d’âge, d’autre part qu'en cas d’âge déclaré inférieur à 15 ans, l’exigence ordinaire de démontrer la validité s’agissant du consentement (parental en l’occurrence) sera réduite à une exigence de démontrer les efforts raisonnables aux fins de vérifier cette validité.
A cet égard, le groupe de l’article 29 a pu préciser dans ses lignes directrices sur le consentement que les vérifications raisonnables seraient nécessairement dépendantes des risques associées au traitement, allant de la vérification par e-mail en cas de risque faible à un service de vérification par un tiers de confiance en cas de risque fort, et étant souligné que les solutions retenues doivent éviter la collecte excessive de données personnelles complémentaires aux fins de vérification.
Autres traitements impliquant les données de mineurs
Hors le cas spécifiquement abordé par les articles 8 du GDPR et 7-1 de la loi Informatique et Libertés, les règles classiques applicables aux mineurs auront vocation à s’appliquer. A date, ce domaine est régi en France par le code civil, lequel précise que « toute personne incapable de contracter peut néanmoins accomplir seule les actes courants autorisés par la loi ou l'usage, pourvu qu'ils soient conclus à des conditions normales ».
Cette règle s’appliquera notamment en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou à la fourniture d’un service sur Internet (par exemple création d’un compte sur une plateforme en vue de la fourniture de jeux) ou encore pour tout traitement de données personnelles non lié à l’offre d’un service de la société de l’information (par exemple formulaire papier relatif à l’inscription en club de sport).
Si l’acte peut être considéré comme courant et que les conditions proposées sont normales, alors l’enfant peut fournir seul ses données personnelles. Dans le cas contraire, le consentement parental est requis, et ce jusqu’à 18 ans, à peine d’invalidité du traitement. L’article 8 du GDPR comme sa transposition en droit national favorisent les services de la société de l’information, en ce que le risque d’invalidité du traitement basé sur le consentement (et donc de sanction par les autorités de contrôle) est écarté dès lors que le mineur a plus de 15 ans ou que des vérifications raisonnables ont été mises en œuvre.
En France et à compter du 25 mai 2018, le consentement parental sera désormais requis en lieu et place du consentement du mineur de moins de 15 ans au traitement de ses données sur Internet, ainsi qu'en lieu et place du consentement du mineur de moins de 18 ans dans tous les autres cas (à l'exception des actes courants conclus à des conditions normales).
Vous voulez assurer la conformité avec le RGPD tout en continuant à optimiser la monétisation ?
{{discover-didomi-for-compliance}}