Les enfants bénéficient d’une protection particulière en vertu du Règlement général sur la protection des données (RGPD), car ils sont considérés comme vulnérables1. Ils n’ont pas encore atteint la maturité physique et psychologique2, ils sont ainsi moins conscients que les adultes des risques et des conséquences du partage de leurs données personnelles lors de l’inscription à des services en ligne ou de l’utilisation de plateformes connectées3.
Le régime juridique dérogatoire applicable aux enfants
Le règlement européen prévoit un régime juridique spécifique pour les enfants4, mais il ne concerne qu’un nombre limité de situations. Il ne s’applique que lorsque deux conditions cumulatives sont remplies:
- le traitement des données personnelles est fondé sur le consentement5; et
- il est lié à un service de la société de l’information offert directement à un enfant.
Un «service de la société de l’information
» est défini comme un service fourni contre paiement, à distance, par voie électronique et sur demande individuelle6. La définition exclut les services gratuits, mais elle comprend les services fournis gratuitement à l’utilisateur final et financés par la publicité. Elle couvre également la vente de biens offerts en ligne lorsque le contrat est conclu par voie électronique7.
Le service doit être «proposé directement
»8 à l’enfant. Cela signifie qu’un service offert par un intermédiaire – une institution publique, par exemple, comme une école – n’est pas couvert par la disposition. Le service doit de plus s’adresser nommément aux mineurs. Cela peut être le cas s’il est accessible à tous les utilisateurs sans mention d’une limite d’âge. Ce n’est évidemment pas le cas si le service s’adresse d’une manière spécifique aux adultes, comme les sites de paris sportifs. La détermination de l’accessibilité ou non du service aux enfants demeure une question de fait.
La détermination de l’âge du consentement
Si l’enfant a 16 ans révolus, il peut légalement consentir lui-même au traitement de ses données personnelles. L’une des difficultés pour les entreprises à appliquer cette disposition est que la définition d’un enfant n’est pas uniforme dans tous les pays européens. Le RGPD offre en effet une flexibilité aux États Membres pour déterminer l’âge du consentement numérique. La législation nationale peut prévoir un âge compris entre 13 ans et 16 ans. Il appartient au commerçant de se renseigner sur l’état de la législation nationale où il commercialise ses produits ou services.
En tout état de cause, les informations fournies en vue d’obtenir un consentement à la collecte de données personnelles doivent tenir compte du fait qu’elles s’adressent à un enfant. Le langage utilisé doit être «clair et simple
»9 afin de permettre au mineur de manifester sa volonté d’une manière «éclairée
»10.
Le responsable du traitement a également la responsabilité de vérifier l’âge des personnes avec lesquelles il traite, même si le RGPD ne l’exige pas explicitement11. Il doit faire des efforts raisonnables pour vérifier que l’enfant est légalement en mesure de consentir au traitement de ses données personnelles.
Le processus de vérification de l’âge du mineur ne devrait pas inclure le traitement d’une quantité excessive de données. Il devrait donc respecter le principe de minimisation des données12 et être proportionné au service fourni. Une entreprise aura recours à des mesures de vérification différentes si elle envoie une lettre d’information par courriel à un enfant, par exemple, et si elle lui permet de participer à une discussion en ligne où ses données personnelles sont susceptibles d’être partagées.
Si l’enfant a moins de 16 ans, ou moins de l’âge fixé par l’État Membre concerné, l’entreprise doit obtenir le consentement de ses parents ou recevoir leur autorisation pour recueillir le consentement directement auprès de l’enfant.
Le RGPD ne précise pas la manière d’obtenir cette autorisation ou ce consentement ni comment vérifier la qualité du titulaire de la responsabilité parentale. Il indique simplement que le responsable du traitement doit faire des efforts raisonnables pour procéder à la vérification en tenant compte «des moyens technologiques disponibles
»13. Ce qui a été dit précédent au sujet de la vérification de l’âge du mineur (principes de minimisation des données et de proportionnalité) s’applique mutatis mutandis à la vérification de l’autorisation ou du consentement des parents.
Le consentement d’un enfant ou du titulaire de l’autorité parentale n’est pas irréversible. La protection offerte aux mineurs s’étend à la possibilité de confirmer, de modifier ou de retirer leur consentement lorsqu’ils atteignent la maturité numérique. Ils peuvent retirer leur consentement14 et ils conservent leur droit à l’effacement15. Il convient d’informer les enfants de cette possibilité dans une langue adaptée à leur âge16 avant et au moment où ils obtiennent le droit de consentir par eux-mêmes.
* An English version of this article has been published under the title Children’s Consent in the Information Society.
1 Groupe de travail «Article 29», Lignes directrices sur le consentement au sens du règlement 2016/679 (2018), p. 27.
2 Groupe de travail «Article 29», Avis 2/2009 sur la protection des données à caractère personnel de l’enfant (Principes généraux et cas particulier des écoles) (2009), p. 3.
3 Consid. 38 RGPD.
4 Art. 8 RGPD.
5 Cf. art. 4 (11) et 6 (1) (a) RGPD.
6 Art. 4 (25) RGPD; et Directive (UE) 2015/1535 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information, JOUE L 241, 17 septembre 2015, p. 1, art. 1 (1) b).
7 Directive (UE) 2015/1535, ibid., cons. 18; et CJUE, Ker-Optika bt/ÀNTSZ Dél-dunántúli Regionális Intézete, aff. C-108/09, 2 décembre 2010, Rec., p. I-12213, par. 24.
8 Consid. 38 RGPD.
9 Consid. 58 RGPD.
10 Art. 4 (11) RGPD.
11 Lignes directrices sur le consentement, op. cit., p. 29.
12 Art. 5 (1) (c) RGPD.
13 Art. 8 (2) RGPD.
14 Art. 7 (3) RGPD.
15 Art. 15 et cons. 65 RGPD.
16 Art. 12 (1) RGPD.