La CNIL a récemment communiqué ses stratégies de contrôle pour l’année 2019. Trois grandes thématiques sont ainsi mentionnées, à savoir le respect des droits de la personne concernée par le traitement, la répartition des responsabilités entre responsable de traitements et sous-traitant et le traitement des données des mineurs. En effet, sur ce dernier point, la CNIL souhaite apporter une attention particulière à ce public « vulnérable» au sujet duquel elle reçoit régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux ou la mise en œuvre de traitements biométriques dans les écoles.
Le considérant 38 du RGPD met en exergue la vulnérabilité des « enfants », terme utilisé au sein du règlement, et considère qu’ils « méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ». Il convient ainsi de faire un rappel sur les règles mises en œuvre par le RGPD afin de protéger au mieux les données des mineurs.
1. Sur les bases légales du traitement des données à caractère personnel des mineurs
L’article 6 du RGPD énumère les différentes bases légales rendant licite le traitement d’une donnée à caractère personnel. À priori, le traitement des données d’un mineur devrait remplir les mêmes conditions que pour tout traitement. Cependant, sur les 6 bases légales prévues par le RGPD, deux connaissent des aménagements lorsque la donnée traitée concerne un mineur :
(a) le point f) de l’article 6 1. du RGPD prévoit que le traitement est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ». Par conséquent, la vulnérabilité des mineurs suppose, lorsqu’une mise en balance est faite entre leurs intérêts et les intérêts légitimes du responsable de traitement, que ce soit toujours les intérêts des mineurs qui priment.
(b) Par ailleurs, des conditions particulières sont prévues s’agissant du consentement des mineurs.
Aux termes de l’article 6 du RGPD, le consentement de la personne concernée est une base légale justifiant le traitement d’une donnée à caractère personnel. Cependant, l’article 8 du RGPD détermine des conditions particulières en ce qui concerne le consentement du mineur dans le cadre de traitements de données par des services de la société de l’information, et uniquement pour ces traitements. Sont ici visés les plateformes internet, les réseaux sociaux ou encore les newsletters.
Ainsi, « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans ». Par principe, les mineurs de plus de 16 ans peuvent s’inscrire seul sur un réseau social comme Facebook, leur consentement étant considéré comme suffisamment éclairé. A contrario, les mineurs de moins de 16 ans ont besoin d’une autorisation parentale lors de l’inscription.
Le RGPD souligne cependant que les Etats membres peuvent prévoir par le biais de dispositions légales nationales un âge différent permettant à un enfant mineur de donner un consentement sans l’autorisation des parents, à la condition que cet âge ne soit pas inférieur à 13 ans. À ce titre, la France, en insérant un article 7-1 dans la loi Informatique et Libertés de 1978 à l’occasion de l’ordonnance n°2018-1125 du 12 décembre 2018, a décidé de fixer l’âge requis pour consentir seul à un service de la société de l’information à 15 ans. L’Assemblée Nationale a en effet considéré qu’un mineur normalement en âge d’entrer au lycée dispose du discernement nécessaire afin d’appréhender l’univers numérique dans lequel il évolue. Il s’agissait également pour l’Assemblée Nationale de « prendre en compte les seuils établis dans d’autres domaines, comme en matière d’opposition à l’accès des parents aux données de santé (15 ans) ou dans le domaine encore plus sensible de la majorité sexuelle (fixée, en droit français, à 15 ans) ».
Puisqu’en France le seuil est dorénavant fixé à 15 ans, le traitement des données d’un enfant plus jeune ne sera donc licite, en vertu de l’article 8 du RGPD, « que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». Un consentement conjoint de l’enfant et du titulaire de l’autorité parentale doit donc être recueilli par le responsable de traitement.
2. Sur la responsabilité parentale
En France et pour un enfant âgé de moins de 15 ans, le consentement doit donc également être accordé par une personne pouvant exercer la « responsabilité parentale ».
Il s’agit alors pour les professionnels des services de la société d’information de s’efforcer de « raisonnablement vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles » (article 8-2 du RGPD). Cette obligation, a priori de moyens, interroge quant à son effectivité en pratique.
En effet, comment s’assurer de la minorité ou majorité numérique de l’enfant sur internet ? Outre l’accès aux services de la société d’information, cette question reste la même s’agissant de l’ensemble des sites internet requérant la majorité, numérique ou non, de l’enfant. L’accès aux sites pornographiques est manifeste de la difficulté qui existe aujourd’hui à vérifier l’identité des utilisateurs. Généralement, il suffit de cliquer sur un bouton afin de confirmer sa majorité. Aucun dispositif de vérification renforcée n’a réussi à être mis en place, que ce soit du fait des limites techniques, mais également juridiques. En effet, des filtres automatiques devant empêcher les mineurs français d’accéder à des contenus pornographiques avaient été évoqués mais il est aujourd’hui très facile de tromper un site internet, notamment avec l’usage de VPN (Virtual Private Network), gratuits et légaux. Par ailleurs, la mise en place d’un système de contrôle nécessitant l’envoi de documents d’identification est fréquemment envisagée par les autorités. Cependant, cela pose de nombreuses questions s’agissant du respect à la vie privée et du droit à la protection des données personnelles. En 2017, la ministre des Familles, de l’Enfance et des Droits des femmes voulant renforcer les mesures de blocage des sites pornographiques aux mineurs, se disait favorable à la collecte du numéro de carte bleue à des fins de vérification d’âge. Or, la CNIL avait dès 2013 mis en exergue dans l’une de ses recommandations que la vérification de l’âge via la carte bleue n’est pas une finalité déterminée et légitime. Avec l’entrée en vigueur du RGPD, le principe de minimisation des données est d’autant plus renforcé avec l’article 5.1.c) qui dispose que le traitement doit être « adéquate, pertinente et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées ».
En avril dernier, le gouvernement britannique a annoncé la mise en place obligatoire par les sites pornographiques d’un système de contrôle de l’âge de leurs usagers à partir du 15 juillet 2019, mesure présentée comme une première mondiale. Il s’agirait de forcer certaines plateformes (celles dont plus d’un tiers du contenu est pour adulte et qui génèrent de l’argent via des publicités ou des abonnements) à vérifier l’identité de leurs utilisateurs selon le procédé qu’elles souhaitent. Plusieurs solutions sont proposées : utilisation d’un document d’identité, d’un téléphone mobile ou encore grâce à l’achat d’une carte d’accès dans un magasin physique. Pour toutes les raisons évoquées précédemment, cette nouvelle règlementation risque de soulever des inquiétudes s’agissant de la protection de la vie privée. Par ailleurs, le RGPD est (pour l’instant) toujours d’application au Royaume Uni et le principe de minimisation du traitement des données compliquera la mise en place effective de la vérification de l’identité des utilisateurs.
Enfin, et pour revenir à l’autorisation parentale nécessaire pour un enfant de moins de 15 ans, le considérant 38 du RGPD précise en revanche que lorsque les données sont collectées dans le cadre de services ou de prévention et de conseils qui s’adressent directement aux enfants, le mineur peut fournir son consentement seul, et ce même s’il n’est pas âgé de plus de 15 ans.
3. Sur le principe de transparence
Le considérant 58 du RGPD précise que le principe de transparence doit être renforcé dès lors que le traitement concerne une donnée d’un mineur. En effet, il est indiqué que « les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre ». Cette obligation de transparence du responsable de traitement est reprise à l’article 12 du RGPD. S’agissant de la transposition de ce principe dans la loi nationale, l’Ordonnance n° 2018-1125 du 12 décembre 2018 venue poursuivre l’adaptation du droit français avec le RGPD a repris dans son article 45 cette obligation, mais spécifiquement concernant les mineurs de moins de 15 ans. Or, la CNIL avait expressément refusé d’effectuer une distinction entre les mineurs car tous doivent pouvoir bénéficier de la même clarté de la part du responsable de traitement. L’intégration de cette obligation dans l’article 45 porte finalement à confusion son champ d’application et il ne saurait en être déduit que seuls les mineurs de moins de 15 ans doivent bénéficier de cette transparence renforcée.
4. Sur le droit à l’oubli
Le droit à l’effacement fait aujourd’hui partie des droits fondamentaux de la personne concernée s’agissant du traitement de ses données. Ainsi, l’article 17 du RGPD met en exergue ce principe et précise que le responsable du traitement aura pour obligation d’exécuter la demande « dans les meilleurs délais ». Le point f) du paragraphe 1 du même article souligne à ce titre que les enfants bénéficient de ce même droit à l’oubli.
Du fait de leur exposition grandissante sur les réseaux sociaux et numériques, l’article 63 de la Loi pour une République Numérique était déjà venue modifier l’article 40 de la loi Informatique et libertés de 1978 afin de consacrer un droit à l’effacement des données des mineurs. Aujourd’hui, l’article 40 dispose que « sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte ». La minorité de la personne concernée lors de la collecte et du traitement initial des données suffit ainsi à elle seule à invoquer le droit à l’oubli.
En conclusion, la vulnérabilité des mineurs suppose une protection accrue de leurs données, notamment à l’ère de leur surexposition sur internet. Cependant, l’applicabilité de ces nouvelles règles, notamment celles issues du RGPD, questionne.
D’une part, le RGPD, en laissant la possibilité aux Etats membres de fixer comme seuil l’âge de leur choix compris entre 13 ans et 16 ans, fait naitre des disparités entre états qui sont susceptibles de complexifier les actions des services de la société d’information. Ainsi, ces différences doivent être prises en compte et intégrées dans les conditions générales d’utilisation ou conditions générales de vente de la société, et ce pour chaque Etat.
D’autre part, comment garantir l’âge effectif des mineurs ou encore la collecte du consentement du titulaire de l’autorité parentale ? La conciliation des procédés de vérification de l’identité des utilisateurs avec la règlementation sur la protection des données personnelles pose aujourd’hui problème, notamment s’agissant du principe de minimisation de la collecte des données. Facebook ayant récemment acquis une startup spécialisée dans la vérification des pièces d’identité, il s’agira alors de voir la manière dont cette vérification pourra effectivement être mise en place sans violer aucune disposition du RGPD.