Entré en application en mai 2018, le Règlement Général sur la Protection des Données vise à renforcer la protection des données personnelles des individus, et à permettre à ces derniers d’en reprendre le contrôle. L’une des préoccupations centrales de cette règlementation est la protection des mineurs. 58% des jeunes de 11 et 12 ans sont présents sur les réseaux sociaux1, alors que cette population est considérée comme étant vulnérable en matière de vie privée et de sécurité en ligne. D’autant plus quand on sait à quel point leurs données personnelles sont convoitées, pour de multiples finalités.
La protection des mineurs en ligne constitue un enjeu majeur dans notre société numérique et le RGPD a introduit des mesures spécifiques pour assurer une protection adaptée des données appartenant aux mineurs afin de veiller à ce qu’ils soient à l’abri des risques que leur présence en ligne peut engendrer (notamment lorsqu’il s’agit de données sensibles).
Une divergence entre le RGPD et la LIL
Comme précise le RGPD, les enfants méritent « une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
Cette règlementation définit un mineur comme toute personne âgée de moins de 16 ans. Une marge de manœuvre est toutefois laissée aux États membres qui peuvent prévoir un âge inférieur et le fixer à 13 ans s’ils le souhaitent. En France, le législateur a usé de cette faculté, et la loi Informatique et Libertés n’a pas suivi la disposition européenne et a fixé cet âge à 15 ans.
Cette liberté ne semble toutefois pas adaptée et doit être critiquée puisque l’âge de 13 ans toléré ne prend pas en compte le fait que les autres mineurs âgés plus de 13 ans ont également besoin d’une protection spéciale en raison de leur vulnérabilité et de leur manque d’expérience en matière de protection de la vie privée et des données.
Consentement parental pour le traitement des données des mineurs
Le RGPD exige que le consentement parental soit obtenu pour le traitement des données personnelles des mineurs. Les organismes qui collectent de telles données personnelles doivent dès lors mettre en place des mesures appropriées pour vérifier l’âge et obtenir le consentement des parents ou des tuteurs légaux. Cette disposition vise à s’assurer que les mineurs ne sont pas exposés à des risques préjudiciables en ligne et que leurs données sont collectées, traitées & utilisées de manière appropriée et responsable.
L’article 45 de la loi Informatique et Libertés considère toutefois que si le mineur est âgé de moins de 15 ans, le consentement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur. Mais comment vérifier l’âge de l’enfant et comment s’assurer que le double consentement est bien respecté ?
Pour ce faire, la CNIL, en tant qu’autorité de contrôle, propose de recourir à des systèmes de vérification de l’âge fondés sur l’intervention d’un tiers de confiance chargé de s’assurer d’un contrôle préalable de l’identité et de la qualité (l’attribution de l’autorité parentale) des personnes concernées. Le CEPD propose quant à lui de demander, dans certaines situations à faible risque, à un nouvel abonné à un service de préciser son année de naissance ou de remplir un formulaire précisant s’il est mineur ou pas2.
Informations claires et compréhensibles pour les mineurs
Le RGPD impose d’adapter l’information fournie au public visé et prévoit de fournir les informations concernant le traitement de données à caractère personnel de manière claire et compréhensible pour les mineurs. Les organismes doivent ainsi utiliser un langage simple et adapté à leur âge pour expliquer comment leurs données seront utilisées. Cette disposition vise à responsabiliser les entreprises et à garantir que les mineurs comprennent pleinement les implications de la divulgation de leurs données personnelles.
Des droits pour les mineurs
Avec le RGPD et la loi Informatique et Libertés, les mineurs se voient reconnaître de nouveaux droits et peuvent désormais mieux contrôler leurs données en ligne. Parmi ces droits, le droit à l’effacement est pertinent lorsque la personne concernée a donné son consentement lorsqu’elle était enfant, et qu’elle souhaite supprimer les données, notamment celles mises à disposition sur internet. La personne concernée devrait ainsi pouvoir exercer ce droit, nonobstant le fait qu’elle n’est plus un enfant.
Au-delà du RGPD
La Loi du 2 mars 20223 visant à renforcer le contrôle parental sur les moyens d’accès à internet a été publiée au Journal officiel du 3 mars 2022 et a pour objectif de mieux protéger les enfants sur internet. Elle prévoit ainsi d’obliger les fabricants d’appareils connectés (smartphones, tablettes, etc….) d’installer un dispositif de contrôle parental et de proposer son activation gratuite lors de la première mise en service de l’appareil.
Ses dispositions doivent être saluées car elles visent à protéger les mineurs et à empêcher tout accès à un contenu non approprié. Il est toutefois important de veiller à ce que le dispositif de contrôle parental, dont la pré-installation est imposée pour les appareils qui permettent l’accès à des contenus en ligne, respecte dès la conception les règles sur la protection des données à caractère personnel des mineurs, en évitant notamment tout usage non conforme et en sécurisant les données afin d’interdire tout accès non autorisé.
La CNIL a par ailleurs publié des recommandations pour renforcer la protection des mineurs en ligne à la suite d’une consultation publique. L’objectif étant de rechercher un équilibre entre autonomie et protection des mineurs, et de construire un environnement numérique adapté aux mineurs, ces recommandations s’articulent autour de 3 axes :
« Pour les mineurs, prendre en compte leur besoin d’autonomie et leurs droits tout en assurant leur protection en ligne ;
Pour leurs parents et éducateurs, affirmer leur rôle fondamental d’accompagnement dans l’environnement numérique, dans un cadre qui respecte la vie privée et l’intérêt de l’enfant ;
Pour les fournisseurs de services en ligne, leur faire prendre la mesure de leur responsabilité accrue à l’égard des mineurs lorsqu’ils traitent leurs données personnelles, afin d’offrir aux mineurs des services en ligne respectueux de leurs droits » 4
En dépit de ces dispositions, les avancées technologiques, telles que l’intelligence artificielle et l’internet des objets, posent de nouveaux défis en termes de protection de la vie privée des mineurs. Une sensibilisation accrue et une éducation sur les questions de vie privée et de sécurité en ligne sont dès lors essentielles pour aider les mineurs à prendre des décisions éclairées et responsables lorsqu’ils utilisent internet. Les écoles et les familles jouent également un rôle crucial dans cet apprentissage et doivent travailler en collaboration pour inculquer de bonnes pratiques dès le plus jeune âge.
Sources
3 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045287677
