Les huits recommandations de la Cnil pour renforcer la protection des mineurs en ligne
Le 9 juin 2021, la Cnil a publié 8 recommandations à destination des mineurs, de leurs parents et des acteurs numériques ; mais également des politiques, afin d’inciter à établir un cadre juridique et mettre en place une « politique citoyenne plus globale d’éducation citoyenne numérique ».
Les enjeux relatifs à la présence des mineurs sur internet
Avec la numérisation des sociétés, les enfants ont accès de plus en plus aux outils numériques, tels que les :
-
réseaux sociaux ;
-
plateformes de streaming ;
-
jeux en lignes ;
-
sites de vente en ligne ;
-
etc.
Face à ce phénomène, la Cnil a établi huits recommandations qui ont pour objectif de sensibiliser sur les dangers auxquels les enfants peuvent être exposés sur internet (par exemple, cyber harcèlement, haine en ligne, exposition à des contenus choquants).
Elle souligne aussi que les mineurs ont plus souvent tendance à accepter la collecte de leurs données personnelles, par le biais de différents sites internet, sans se rendre compte des répercussions sur leur vie privée et familiale, leurs études et leur avenir professionnel.
La législation actuelle sur la protection des données personnelles des mineurs
Les mineurs sont mentionnés au considérant 38 du Règlement général sur la protection des données personnelles (ci-après « RGPD ») qui expose la nécessité de prévoir une protection spécifique quant à leur données personnelles :
« Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. »
-
Le recueil du consentement des mineurs au traitement de leurs données personnelles :
En termes de consentement au traitement des données personnelles, l’article 8 du RGPD et l’article 45 de la loi informatique et libertés disposent de règles particulières pour les mineurs.
L’article 45 de la loi informatique et libertés, prévoit :
-
Qu’à partir de l’âge de 15 ans, « un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information ». Pour les mineurs âgés de plus de 15 ans, le consentement de ses parents ou des personnes dépositaires de l’autorité parentale n’est pas requis.
-
En dessous de l’âge de 15 ans, « le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et ou les titulaires de l’autorité parentale à l’égard de ce mineur ». Pour les mineurs âgés de moins de 15 ans, le recueil du consentement de l’enfant, ainsi que celui de ses parents ou des personnes dépositaire de l’autorité parentale est nécessaire.
Les recommandations de la Cnil :
Selon un sondage de mars 2021, réalisé par Enquête Génération numérique : « 63% des moins de 13 ans ont au moins un compte sur un réseau social »
D’après l’article 8 du RGPD et l’article 45 de la loi informatiques et libertés susvisés, les mineurs, à partir de 15 ans, peuvent consentir au traitement de leurs données, lorsque le consentement est considéré comme « non contractuel ». (par exemple, accepter les cookies lors de la visite d’un site internet).
Mais cette capacité de consentir dès l’âge de 15 ans ne représente pas une majorité numérique au sens du RGPD.
A contrario, en droit commun, le mineur est considéré comme incapable juridiquement et ne peut donc pas conclure de contrats, et par voie de conséquence des contrats de service en ligne.
Concrètement, il ne peut pas s’inscrire sur un réseau social en vertu du droit commun, si cette inscription constitue un contrat. Mais, il peut consentir au traitement de ses données selon le RGPD.
Mais, selon la Cnil, la conclusion de certains contrats de services en ligne sont considérés comme des « actes courant » de tel sorte que les mineurs doivent pouvoir les conclure sans le consentement de leurs parents.
Face à cette autonomie consacrée par le RGPD aux mineurs âgés de plus de 15 ans, la Cnil admet que, sous certaines conditions, un mineur devrait pouvoir conclure des contrats de services en ligne. Les conditions recommandées par la Cnil sont les suivantes :
-
les services convoités sont adaptés aux mineurs ;
-
les traitements des données respectent les règles en matière de protection des données personnelles ;
-
l’obligation d’informer le mineur, de façon claire et adaptée, sur les conditions d’utilisation de ses données et de ses droits ;
-
la possibilité pour les parents d’exercer des voies de recours pour obtenir la suppression du compte de l’enfant sur le fondement de la protection de son intérêt supérieur.
Par cette recommandation, la Cnil prend conscience de l’autonomie numérique dont disposent les mineurs en leur permettant de s’inscrire sur des réseaux sociaux, des sites de jeu en ligne, en leur reconnaissant la faculté de conclure certains contrats de service en ligne.
Au même titre que les adultes, les mineurs disposent de droits numériques consacrés par le RGPD tels que :
-
Le droit d’accès (Article 15 du RGPD) : permet à un individu de prendre connaissance des données qui sont collectées sur lui, d’en obtenir la communication. En cas d’exercice de ce droit, l’organisme traitant les données sera contraint de communiquer une copie des données qu’il possède et de renseigner la personne sur :
- les finalités d’utilisation des données ;
- les catégories de données collectées ;
- les personnes ayant eu accès à ces données ;
- la durée de conservation de ces données ou les critères déterminant cette durée ;
- les autres droits existants (le droit de rectification, d’effacement, de limitation, d’opposition) ;
- la possibilité de saisir la Cnil ;
- les sources données détenues par cette organisme dans le cas où elles n’auraient pas été collectées auprès de la personne concernée ;
- une prise de décision automatisée ou de profilage à l’égard de la personne, ainsi que la logique sous-jacente et les conséquences pratiques de cette décision ;
- le transfert de ces données à destination de pays tiers ou à des organisations internationales.
-
Le droit de rectification (Article 16 et 19 du RGPD) : consacre la possibilité pour un individu de demander la correction des information inexactes ou incomplètes qu’un organisme détient sur elle.
-
Le droit à l’effacement (Article 17 du RGPD) : permet à un individu de demander la suppression des données détenues par un organisme le concernant. Le droit à l’effacement est possible dans les situations suivantes :
- les données personnelles sont collectées à des fins de prospection ;
- la collecte des données ne répond plus aux objectifs de traitement préalablement définis ;
- le consentement au traitement des données est retiré par la personne concernée ;
- le traitement des données est illicite ;
- les données doivent être supprimées en vertu d’une obligation légale ;
- en cas d’opposition au traitement de ses données et à défaut de motifs légitimes ou impérieux de la part du responsable de traitement ;
-
Le droit d’opposition (Article 21 du RGPD) : la faculté de s’opposer à l’utilisation de ses données par un organisme.
La maitrise de l’ensemble de ces droits doit être rendue possible pour les mineurs. La Cnil considère que les enfants doivent être informés de ces droits, et ce de manière adaptée au regard de leur âge et de leur maturité.
Par conséquent, la Cnil requiert la possibilité pour les mineurs d’exercer ces droits directement sur les réseaux sociaux, plateformes de jeux et de partage de vidéos.
Les fournisseurs de service sont incités à expliquer, de façon claire, les démarches et voies de recours permettant l’exercice de ces droits.
D’après le sondage « les comportements digitaux des enfants » de l’IFOP datant de février 2020, « 44% des ne se sentent pas ou pas assez accompagnés dans l’encadrement des pratiques numériques de leurs enfants ». En effet, une majorité de parents maitrise avec difficultés les outils numérique en ligne.
Face à ce constat, la Cnil associée avec le collectif Educnum, s’engagent dans l’éducation numérique des parents et des mineurs, à travers des conférences, des guides et des articles disponibles sur le site internet d’Educnum.
La Cnil a également élaboré, avec la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet, le Défenseur des droits et le Conseil supérieur de l’audiovisuel ; un kit du citoyen numérique conçu pour les parents, les enseignants et les enfants.
Ce kit dispose de ressources pédagogiques qui permettent de s’éduquer sur les outils numériques.
D’après l’article 45 de la loi informatique et liberté et l’article 8 du RGPD susvisés, en matière de consentement au traitement des données personnelles, l’enfant dispose d’une certaine autonomie à partir de l’âge de 15 ans.
En revanche, pour le consentement à des fonctionnalités supplémentaires, l’accord conjoint des parents et de l’enfant est nécessaire (par exemple, le choix d’un profil public ou privé sur un réseau social).
Néanmoins, pour les contrats conclus avec des prestataires de service visés par la recommandation 1 le mineur peut les conclure seul, selon la Cnil. Et pour les contrats qui ne suivent pas cette recommandation, les représentants de l’autorité parentale peuvent les conclure à la place des mineurs.
La Cnil s’est penchée sur la question des modalités du recueil du consentement des parents et a consulté le Ministère de la Justice sur la question de savoir si le consentement des deux représentants légaux étaient nécessaires.
D’après le Ministère de la Justice, le consentement parental est un acte qui ne nécessite l’accord que d’un seul des parents, l’autre étant présumé. Néanmoins, la Cnil recommande que le parent qui souhaite s’opposer au traitement des données de son enfant puisse exprimer son opposition.
Le contrôle parental est un outil efficace contre les risques et dangers auxquels les mineurs s’exposent. Cependant, cet outil est utilisé par un nombre restreint de parents qui connaissent, parfois, mal ses fonctionnalités.
La Cnil considère que le contrôle parental est utile pour aider les mineurs à avoir une utilisation prudente des outils numériques. En revanche, elle alerte sur les risques d’utilisation excessives du contrôle parental :
-
l’altération de la confiance entre les parents et les enfants ;
-
l’entrave potentielle au développement de l’autonomie de l’enfant ;
-
le risque lié à l’habitude d’être surveillé.
A l’égard des données personnelles, les contrôles parentaux mis en place doivent respecter les règles relatives à la protection des données à caractère personnel :
-
le principe de proportionnalité : qui devra prendre en compte les caractéristiques de l’enfant : son âge, sa maturité et son intérêt.
-
le principe de transparence : l’enfant devra être informé, de manière adaptée, sur les modalités du contrôle parental.
-
le principe de sécurité : qui garantit que des tiers ne puissent pas avoir accès aux données personnelles des mineurs.
Les enfants représentent un public peu averti sur le traitement de leurs données personnelles et leurs droits numériques. Ainsi, il est nécessaire d’informer les mineurs, de manière adaptée, sur les conditions d’utilisation de leurs données personnelles, ainsi que sur leurs droits.
La Cnil appelle les prestataires de service en ligne à adapter l’information sur les conditions d’utilisation des données personnelles et des droits, aux mineurs. Cette adaptation peut passer par un design simplifié des sites internet (exemple : l’utilisation d’icônes interactives), ou par des images et vidéos explicatives.
La Cnil prône également l’usage de phrases simples et précises qui permettent aux mineurs d’avoir recours aux informations essentielles et de les comprendre.
Pour guider les prestataires de services en ligne, la Cnil recommande d’appliquer les conseils suivants :
-
la politique de confidentialité et les conditions générales d’utilisation doivent permettre de fournir une information adaptée à un public mineur ;
-
les interfaces doivent être simples et compréhensibles pour les enfants et éviter les interfaces trompeuses qui visent à capter leur attention et à les manipuler ;
-
les paramétrages de la politique de confidentialité doivent être simples d’utilisation et la désactivation par défaut de certaines fonctionnalités, comme la géolocalisation, doit être prévue ;
-
les prestataires sont incités à publier la liste de leurs engagements en matière de protection des données des mineurs.
Le Comité européen de la protection des données (ci-après « CEPD ») a publié en novembre 2017 des lignes directrices sur le consentement qui précisent la nécessité pour le prestataire de service de vérifier l’âge et le consentement parental, selon l’article 8 du RGPD susvisé. En application de cette disposition, le prestataire de service en ligne, par des « efforts raisonnables » et « compte tenu des moyens technologiques disponibles », doit vérifier l’âge de l’enfant et recueillir le consentement parental lorsqu’il est nécessaire.
Certains processus de vérification sont considérés comme trop intrusifs (par exemple, la reconnaissance faciale), et d’autres comme peu fiables car facilement contournés par les mineurs (par exemple, les vérifications par mail).
Pour faire face à ces problématiques, la Commission européenne a lancé un appel d’offre pour la mise en place d’infrastructure techniques permettant la vérification de l’âge et du consentement des parents etconsacre la nécessité des systèmes de vérification de l’âge du mineur et du consentement des parents, mais tout en respectant « la capacité à naviguer en ligne, sans s’identifier ». Pour cela, les processus de vérification doivent respecter les conditions suivantes :
-
la proportionnalité : les moyens mise en œuvre pour la vérification de l’âge de l’enfant et du consentement parental devront être proportionnels à la finalité du traitement. Ils devront aussi être adaptés aux données collectées, aux personnes visées et aux technologies disponibles ;
-
la minimisation : seules les données strictement nécessaires à la vérification devront être collectées. Elles ne pourront pas être collectées à des fins commerciales ;
-
la robustesse : les outils de vérification de l’âge et du consentement devront être robustes au regard des données qui traités qui concernent des mineurs ;
-
la simplicité : ces outils devront être simples d’utilisation pour les usagers ;
-
la standardisation : les outils de vérification devront respecter des standards industriels pour permettre son utilisation par de nombreux prestataire de service en ligne (par exemple, des sites et des applications) ;
-
l’intervention d’un tiers : les outils de vérification devront inclure l’intervention d’un tiers qui s’assurera préalablement de l’identité et de la qualité des personnes concernées par la vérification.
Lors d’une consultation publique organisée par la Cnil en avril et juin 2020, de nombreuses garanties relatives à la protection des mineurs ont été discutées. La plupart de ces garanties, rejoignent celles établies par les autorités britanniques (ci-après l’« ICO ») et irlandaises (ci-après la « DPC ») en charge de la protection des données personnelles. Ainsi que celles de l’Organisation de coopération et de développement économiques (ci-après « OCDE ») et du Conseil de l’Europe.
La Cnil propose plusieurs garanties pour protéger les mineurs en ligne. Ainsi elle propose la mise en place de paramétrage par défaut qui permettrait de désactiver les services supplémentaires qui ne sont pas nécessaires au fonctionnement du service en ligne. (par exemple, la géolocalisation).
Elle propose, également, d’exempter de profilage les données personnelles des mineurs.
Le profilage est défini à l’article 4 du RGPD comme :
« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; ».
En d’autres termes, la technique de profilage permet d’analyser et de prédire les réactions et les préférences d’un utilisateur grâce à ses données. Mais, le profilage des mineurs n’est pas interdit par le RGPD.
Cependant, de nombreux acteurs publics partagent la volonté d’éviter les systèmes de profilage pour les mineurs. En effet, l’ICO et la DPC ont restreint les pratiques de profilage des mineurs à des fins de préservation de l’intérêt supérieur de l’enfant.
La position inverse est adoptée par certains acteurs économiques, qui considèrent que le profilage permet de proposer aux enfants des produits et services adéquats et éviter les contenus inappropriés.
Enfin, la Cnil recommande d’éviter l’utilisation des données personnelles des mineurs à des fins commerciales ou publicitaires. Les plateformes de service en ligne sont invitées à appliquer les recommandations suivantes :
-
la mise en place de paramètres de confidentialité renforcés ;
-
désactiver par défaut les dispositifs de profilage des mineurs ;
-
ne pas réutiliser ou transmettre les données personnelles pour des finalités commerciales ou publicitaires : sauf en cas pour des raisons impérieuses liées à l’intérêt de l’enfant.
Par Debora Cohen - 29 septembre 2021