FOCUS SUR LES TRAITEMENTS DE DONNÉES DES MINEURS DANS LE CADRE DU RGPD

 

Par Mariana OPRIS

Juriste Consultante RGPD

 

100 jours avant l’entrée en application du RGPD, les Etats membres de l’Union européenne préparent leurs lois internes afin de maintenir ou introduire certaines spécificités nationales appelées également « marges de manœuvre ». Parmi ces adaptations internes, figure également un point sensible : l’âge à partir duquel un mineur peut valablement consentir à ce que ses données soient traitées. En France, la question est soumise à arbitrage gouvernemental.

La notion d’enfant

Dans le RGPD, les mineurs sont désignés sous le terme large d’«enfants».

Le texte semble néanmoins renvoyer à la définition de la Convention Internationale relative au droit de l’enfant de 1989 : «tout être humain âgé de moins de dix-huit ans, sauf si la majorité est atteinte plus tôt en vertu de la législation qui lui est applicable».

En effet, selon l’article 8 du RGPD l’enfant peut être âgé de «moins de 16 ans» ou «de plus de 16 ans» et est soumis à un «titulaire de la responsabilité parentale».

Par analogie, il est donc permis de considérer que «l’enfant» correspond à la notion de «mineur non émancipé» en droit français, soit toute personne physique âgée de moins de 18 ans et n’ayant pas fait l’objet d’une décision d’émancipation du juge des tutelles.

Le consentement

L’article 8 du RGPD relatif aux conditions applicables au consentement du mineur concerne les traitements dans le cadre des «services de la société de l’information».

Il s’agit des services en ligne prestés contre rémunération notamment ceux fournis dans le cadre du commerce électronique conformément à l’article 1er de la directive 2015/1535 du 9 septembre 2015. Toutefois, la doctrine tend à inclure les réseaux sociaux parmi ces services.

Les mineurs de moins de 13 ans ne peuvent en aucun cas donner eux-mêmes leur propre consentement au traitement de leurs données à caractère personnel aux fins d’une fourniture de services en ligne.

Concernant les mineurs âgés de 13 à 15 ans (inclus), la règle générale veut que lorsqu’une organisation sollicite le consentement pour procéder au traitement de leurs données à caractère personnel, le consentement parental doit alors être obtenu, à moins que la législation de l’État membre dont le mineur concerné est ressortissant réduise ce seuil d’âge requis – étant toutefois entendu que ce seuil ne peut jamais être inférieur à 13 ans.

À partir de 16 ans et plus, les mineurs peuvent donner leur propre consentement au traitement de leurs données à caractère personnel sans l’autorisation du titulaire de la responsabilité parentale.

Les législations des Etats membres peuvent prévoir un âge inférieur à 16 ans sans descendre en deçà de 13 ans.

  • En France, le Parlement pourrait voter pour 15 ans (Projet CNIL3).

 

Le responsable du traitement doit vérifier par la suite que cette étape a bien été effectuée «compte tenu des moyens technologiques disponibles». Néanmoins, la formulation reste vague et le texte ne fournit pas davantage de précisions quant aux moyens technologiques en question.

L’obligation d’identifier le « titulaire de l’autorité parentale »

Le texte prévoit que les professionnels devront s’efforcer «raisonnablement de vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles».

La formule employée ne fait peser sur les professionnels qu’une obligation de moyens. Il s’agit malgré tout d’une zone de risque et de mise en responsabilité.

Cette exigence ne concerne que certaines données en ligne, les données hors ligne resteront soumises aux règles habituelles des États membres relatives à la capacité à consentir. De même, l’article 8 (paragraphe 1) ne doit pas être considéré comme affectant le droit général des contrats des États membres concernant la validité, la création ou l’effet d’un contrat conclu avec un mineur. Les organisations devront continuer à se référer à leur droit local dans ce domaine.

Les autorités de contrôle et les juges devront apprécier les mesures mises en œuvre au regard «des moyens technologiques disponibles» sans que cette notion ne soit réglementairement définie.

Le RGPD formalise donc les règles permettant de sécuriser les traitements de données personnelles «d’enfants», et invite les professionnels à une réflexion technique et juridique sur le degré de risque. Réflexion d’autant plus nécessaire que le Règlement leur impose un devoir de précaution renforcé dans la mise en place de ces traitements (par exemple : études d’impact préalables, minimisation des effets attentatoires aux droits des personnes concernées…)

La transparence

La protection spécifique des mineurs se traduit également à travers la mise en œuvre du principe de transparence.

Les mentions d’information adressées aux mineurs doivent être adaptées à leur âge. L’article 12 du RGPD prévoit que les obligations consistant à s’assurer que les informations fournies aux personnes concernées soient concises, transparentes et formulées en des termes simples, doivent être respectées “particulièrement pour toutes les informations à fournir spécifiquement à un enfant”. Toute information relative à une collecte de données à caractère personnel doit être lisible et accessible par l’enfant, et ce dans «des termes clairs et simples que l’enfant peut aisément comprendre» (considérant 58).

En outre que le droit d’opposition et à l’information préalable est actionné par les titulaires de l’autorité parentale s’agissant des mineurs et par le tuteur s’agissant des personnes faisant l’objet d’une mesure de protection légale.

Le droit à l’oubli des mineurs

L’article 17 du RGPD prévoit pour toute personne l’exercice d’un “droit à l’effacement” de ses données personnelles auprès du responsable du traitement qui aura pour obligation d’exécuter la demande «dans les meilleurs délais» sous réserve des exceptions prévues à l’alinéa 3.

L’article 40 de la loi Informatique et libertés prévoit désormais un «droit à l’oubli» spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit. Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques «dans les meilleurs délais». Toutefois, la mise en œuvre de ce droit pour les enfants reste donc à être définie clairement.

En l’absence de réponse ou de réponse négative d’une plateforme dans un délai de un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.

Dispositions diverses – assistance, codes de conduite et activités des autorités de contrôle

L’article 6 (paragraphe 1 (f)) du RGPD énonce que les droits et libertés d’une personne concernée pourraient “en particulier” prévaloir sur les intérêts du responsable du traitement ou d’un tiers lorsque la personne concernée est un enfant.

Les responsables du traitement doivent s’assurer qu’une documentation soit conservée démontrant que les intérêts opposés en présence ont été dûment considérés au moment de se fonder sur des intérêts légitimes comme base juridique pour le traitement de données concernant des enfants.

Le considérant 38 énonce que l’utilisation de données relatives à des enfants à des fins de marketing ou de profilage, ou à des fins de fourniture de services à des enfants, constitue un domaine qui exige une protection particulière en vertu du RGPD. Ce considérant énonce également que le consentement parental ne saurait être exigé dans le cadre de services de prévention et/ou de sensibilisation adressés directement à un enfant, bien que cette suggestion ne soit pas reflétée dans le texte même du RGPD.

Le considérant 75 indique que les enfants sont des “personnes physiques vulnérables”, et que le traitement de données concernant des enfants constitue une activité susceptible d’engendrer un risque d’une “probabilité et d’une gravité variables”.

L’article 40 impose aux États membres, aux autorités de contrôle, au Comité Européen de Protection des Données et à la Commission d’encourager la création de codes de conduite, notamment dans le domaine de la protection des enfants et concernant la manière dont le consentement peut être recueilli auprès du dépositaire de l’autorité parentale concerné. Les organisations procédant au traitement de données à caractère personnel concernant des enfants doivent surveiller la mise en place de tels codes de conduites susceptibles d’imposer des contraintes supplémentaires particulières. Enfin, les autorités de contrôle, dans le cadre de leurs démarches de sensibilisation et de compréhension par le public des risques, règles, garanties et droits liés au traitement des données à caractère personnel, conformément à l’obligation que leur impose l’article 57 (paragraphe 1 (b)), sont tenues de prêter une “attention particulière” aux activités qui ciblent des enfants.

 

 


accueil Blog Actu-CIL