accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Droits numériques des mineurs : les recommandations de la CNIL

AAI
CNIL, communiqué, 9 juin 2021
[11.06.2021]

Massivement présents en ligne, les mineurs doivent pouvoir bénéficier d'une protection de leurs données réelle et effective. Afin d'accompagner les jeunes, les parents et les professionnels dans la mise en place d'un environnement numérique plus respectueux de l'intérêt de l'enfant, la CNIL publie 8 recommandations issues d'une réflexion menée avec l'ensemble des acteurs concernés (V. Droits numériques des mineurs : la CNIL publie les résultats du sondage et de la consultation publique).

Ces recommandations s'articulent autour de trois axes :

- pour les mineurs, prendre en compte leur besoin d'autonomie et leurs droits tout en assurant leur protection en ligne ;
- pour leurs parents et éducateurs, affirmer leur rôle fondamental d'accompagnement dans l'environnement numérique, dans un cadre qui respecte la vie privée et l'intérêt de l'enfant ;
- pour les fournisseurs de services en ligne, leur faire prendre la mesure de leur responsabilité accrue à l'égard des mineurs lorsqu'ils traitent leurs données personnelles, afin d'offrir aux mineurs des services en ligne respectueux de leurs droits.

Parmi les recommandations :

  • Encadrer la capacité d'agir des mineurs en ligne (recommandation 1)

La CNIL constate que les mineurs ont des pratiques numériques massives et largement autonomes. Elle relève également que le RGPD a inscrit dans le droit une forme de reconnaissance encadrée de cette autonomie en donnant aux mineurs, à partir d'un certain âge, la faculté de consentir à certains types de traitements de leurs données dans le cadre de services en ligne.

Elle estime en conséquence que, sous réserve de l'appréciation souveraine des tribunaux, il serait cohérent que les mineurs puissent être considérés, en fonction de leur niveau de maturité et en tout état de cause à partir de 15 ans, comme capables de conclure des contrats ayant pour objet le traitement de leurs données dans le cadre de services en ligne, tels que l'inscription à un réseau social ou à un site de jeux en ligne), si :
- ces services sont adaptés aux publics mineurs qu'ils accueillent ;
- ces traitements respectent strictement les règles de protection des données personnelles (minimisation des données collectées, pour une finalité bien déterminée, une durée limitée et de manière sécurisée…) ;
- le mineur est informé de façon claire et adaptée des conditions d'utilisation de ses données et de ses droits informatiques et libertés, afin qu'il puisse comprendre le sens et la portée de son engagement ;
- les parents disposent d'une voie de recours pour demander la suppression du compte de leur enfant s'ils l'estiment nécessaire afin de protéger son intérêt supérieur.

  • Encourager les mineurs à exercer leurs droits (recommandation 2)

La CNIL estime que les mineurs doivent pouvoir exercer directement les droits relatifs à leurs données personnelles sur les réseaux sociaux, les plateformes de jeux et de partage de vidéos.

Cette capacité d'agir de manière autonome estsans préjudice de la possibilité pour les parents d'exercer les droits au nom de leur enfant et de l'accompagner dans cette démarche.

Afin de faciliter l'exercice effectif de ces droits, elle recommande que toutes mesures soient prises par les fournisseurs de service en ligne pour expliquer, de façon claire et compréhensible, la démarche et les voies de recours accessibles.

  • Rechercher le consentement d'un parent pour les mineurs de moins de 15 ans (recommandation 4)

La CNIL rappelle que le droit accorde une certaine place au consentement du mineur pour le traitement de ses données, accompagné de celui de ses parents lorsqu'il a moins de 15 ans. Dans le cadre des services en ligne et pour les traitements de données qui reposent sur le consentement non contractuel de l'utilisateur, le ou les titulaires de l'autorité parentale doivent donner leur accord conjointement avec celui de leur enfant si celui-ci a moins de 15 ans. Le consentement pour des fonctionnalités supplémentaires telles que le choix d'un profil public ou privé sur un réseau social ou l'activation de la géolocalisation optionnelle sur une application doit théoriquement résulter d'un commun accord de l'enfant et du ou des titulaires de l'autorité parentale.

Les parents ne peuvent, pour ces traitements, aller contre la volonté de l'enfant et l'enfant passer outre l'opposition de ses parents. En revanche, pour les traitements de données qui résultent de contrats conclus en ligne avec le prestataire de services, soit le mineur peut conclure lui-même un tel contrat (V. recommandation 1), soit les titulaires de l'autorité parentale peuvent seuls le conclure pour lui. S'agissant du consentement de l'enfant, il est bien évidemment nécessaire de prendre en compte le niveau de maturité de l'enfant.

La CNIL recommande au fournisseur de services en ligne d'obtenir le consentement d'un seul des titulaires de l'autorité parentale, celui de l'autre titulaire, s'il existe, étant présumé. Toutefois, ce dernier doit être mis en capacité d'exprimer son opposition s'il le souhaite.

  • Promouvoir des outils de contrôle parental respectueux de la vie privée et de l'intérêt de l'enfant (recommandation 5)

Les dispositifs de contrôle parental constituent un outil de protection des enfants en ligne. Toutefois, la CNIL appelle à la vigilance face à certaines fonctionnalités très intrusives qui pourraient donner à l'enfant le sentiment d'une surveillance permanente. La CNIL rappelle que les dispositifs de contrôle parental proposés doivent être conformes aux règles de protection des données et pointe la nécessité d'évaluer, en concertation avec les autres acteurs publics et les opérateurs concernés, leur conformité au RGPD.

  • Vérifier l'âge de l'enfant et l'accord des parents dans le respect de sa vie privée (recommandation 7)

La CNIL considère que si des systèmes de vérification de l'âge et du consentement parental doivent être mis en place pour certaines applications et sites, il convient de préserver la capacité à naviguer en ligne librement, sans s'identifier. Elle recommande de promouvoir des systèmes de vérification répondant aux règles suivantes :

- proportionnalité : la détermination par le responsable d'un service en ligne d'un système de vérification de l'âge devrait être fonction des finalités envisagées, des publics visés, des données traitées, des technologies disponibles et du niveau de risque associé au traitement. Ainsi, un dispositif fondé sur un système de reconnaissance faciale, devrait être jugé disproportionné ;
- minimisation : tout système devrait être conçu de façon à limiter le recueil des données personnelles à ce qui est strictement nécessaire à cette vérification et à ne pas conserver les données une fois la vérification effectuée. Ainsi, ces données ne devraient pas être utilisées à d'autres fins, notamment pour des utilisations commerciales ;
- robustesse : ces dispositifs de contrôle de l'âge devraient être robustes pour les pratiques ou traitements considérés comme à risque (ciblage publicitaire des mineurs par ex.), Dans ces cas, devrait par exemple être exclu le recours à un système purement déclaratif ;
- simplicité : la mise en place de solutions simples et faciles d'utilisation combinant les deux fonctions ;
- standardisation : des « standards industriels » et un programme de certification afin d'assurer le respect de ces règles et de promouvoir des systèmes de vérification qui puissent être utilisés pour un grand nombre de sites et d'applications
- intervention d'un tiers : des systèmes de vérification de l'âge fondés sur l'intervention d'un tiers de confiance assurant un contrôle préalable de l'identité et de la qualité (l'attribution de l'autorité parentale) des personnes concernées.

  • Prévoir des garanties spécifiques pour protéger l'intérêt de l'enfant (recommandation 8)

​​​​​​​Renforcer les droits des mineurs devrait aussi se traduire par la mise en place de mesures de protection spécifiques, par et sur les sites, les services et les applications qu'ils sont susceptibles d'utiliser, et ce dès leur conception. La CNIL invite les responsables de plateformes et services en ligne utilisés par des mineurs à :
​​​​​​​- mettre en place un paramétrage de confidentialité renforcée par défaut ;
prévoir une désactivation par défaut des dispositifs de profilage des mineurs, tout particulièrement à des fins de ciblage publicitaire ;
ne pas réutiliser ou transmettre à des tiers des données de personnes mineures à des fins commerciales ou publicitaires, sauf s'ils sont en mesure de démontrer qu'ils agissent pour des raisons impérieuses liées à l'intérêt supérieur de l'enfant.