back button

Back

(French) Consentement GDPR en pratique – Partie 3: les mineurs

February 9, 2018byJulie Tamba

Consentement des mineurs : une bonne chose de faite ?

Mercredi 7 février 2018 a été adopté par l’Assemblée Nationale un amendement ajoutant à la loi Informatique et Libertés un article 7-1 relatif au consentement des mineurs au traitement de leurs données personnelles.

Consentement lié à l’offre directe de services de la société de l’information aux enfants

Cet article – proposition de la Commission des Lois – choisit d’utiliser la marge de manœuvre laissée par le GDPR aux Etats Membres en abaissant de 16 à 15 ans l’âge auquel « un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information ».

Deux présupposés fondent l’application de cette règle :

1) le traitement doit être basé sur le consentement ;

2) le traitement doit être lié à l’offre directe de services de la société de l’information, notamment au commerce électronique ou plus largement à Internet.

Dans un tel cas, le traitement n’est licite que si le ou les titulaires de l’autorité parentale l’ont autorisé.

Plus précisément, le consentement parental sera nécessaire dans toutes les hypothèses où le traitement devrait être basé sur le consentement de la personne concernée, par exemple en cas de décision automatisé ou de collecte de données sensibles. Outre ces cas classiques, la lecture combinée du paragraphe 38 du préambule et de l’article 6-1-f) du GDPR permet notamment de préciser que le consentement parental sera nécessaire en cas d’« utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant », là où l’utilisation des données d’un adulte aux mêmes fins pourrait potentiellement se baser sur l’intérêt légitime du responsable.

Quelles sont les vérifications nécessaires ?

Ainsi, en cas de traitement de données personnelles (i) via un service sur Internet visant notamment les enfants et (ii) basé sur le consentement de ces enfants, deux confirmations s’imposeraient donc:

1) La première relative à l’âge de la personne utilisant le service (les méthodes classiques actuelles pouvant aller de la simple déclaration à une vidéoconférence avec la personne en passant par l’envoi d’une copie de pièce d’identité) ;

2) La seconde – dans l’hypothèse d’un mineur de moins de 15 ans – relative à l’accord du ou des titulaires de l’autorité parentale (peu répandue aujourd’hui bien que l’on puisse imaginer des solutions similaires à celles susmentionnées).

En pratique, comment être certain de l’âge et/ou de l’identité d’un utilisateur sur Internet ?

Lors des débats du 7 février à l’Assemblée Nationale était souligné que « toutes les entreprises auditionnées reconnaissent qu’il leur est impossible de vérifier l’âge effectif des personnes inscrites sur ces réseaux, sauf à mettre en œuvre des mesures de profilage ou à procéder à des vérifications d’identité qui seraient tout à fait contraires au règlement ».

A cet égard, l’article 8 du GDPR précise que le responsable du traitement doit s’efforcer de raisonnablement vérifier, lorsque l’enfant est âgé de moins de 15 ans, « que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».

Cet élément – prévu dès la proposition initiale de la Commission en 2012 – semble indiquer d’une part que l’objet des vérifications ne concerne pas la déclaration d’âge, d’autre part qu’en cas d’âge déclaré inférieur à 15 ans, l’exigence ordinaire de démontrer la validité s’agissant du consentement (parental en l’occurrence) sera réduite à une exigence de démontrer les efforts raisonnables aux fins de vérifier cette validité.

A cet égard, le groupe de l’article 29 a pu préciser dans ses lignes directrices sur le consentement que les vérifications raisonnables seraient nécessairement dépendantes des risques associées au traitement, allant de la vérification par e-mail en cas de risque faible à un service de vérification par un tiers de confiance en cas de risque fort, et étant souligné que les solutions retenues doivent éviter la collecte excessive de données personnelles complémentaires aux fins de vérification.

Autres traitements impliquant les données de mineurs

Hors le cas spécifiquement abordé par les articles 8 du GDPR et 7-1 de la loi Informatique et Libertés, les règles classiques applicables aux mineurs auront vocation à s’appliquer. A date, ce domaine est régi en France par le code civil, lequel précise que « toute personne incapable de contracter peut néanmoins accomplir seule les actes courants autorisés par la loi ou l’usage, pourvu qu’ils soient conclus à des conditions normales ».

Cette règle s’appliquera notamment en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou à la fourniture d’un service sur Internet (par exemple création d’un compte sur une plateforme en vue de la fourniture de jeux) ou encore pour tout traitement de données personnelles non lié à l’offre d’un service de la société de l’information (par exemple formulaire papier relatif à l’inscription en club de sport).

Si l’acte peut être considéré comme courant et que les conditions proposées sont normales, alors l’enfant peut fournir seul ses données personnelles. Dans le cas contraire, le consentement parental est requis, et ce jusqu’à 18 ans, à peine d’invalidité du traitement. L’article 8 du GDPR comme sa transposition en droit national favorisent les services de la société de l’information, en ce que le risque d’invalidité du traitement basé sur le consentement (et donc de sanction par les autorités de contrôle) est écarté dès lors que le mineur a plus de 15 ans ou que des vérifications raisonnables ont été mises en œuvre.

En France et à compter du 25 mai 2018, le consentement parental sera désormais requis en lieu et place du consentement du mineur de moins de 15 ans au traitement de ses données sur Internet, ainsi qu’en lieu et place du consentement du mineur de moins de 18 ans dans tous les autres cas (à l’exception des actes courants conclus à des conditions normales).

Related articles

December 13, 2017byJulie Tamba

GDPR consent in practice – Part 2: Methods

After reviewing when it is opportune to obtain consent, it is time to take a closer look at ways to obtain consent. How should consent be obtained? Consent is defined by the GDPR as “any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement…

Read more

Consent

European Union

GDPR

Methods

personal data

December 12, 2017byJulie Tamba

GDPR consent in practice – Part 1: Opportunity

As a follow up to the article on whether collecting user geolocation require consent, it has to be examined more generally when and how consent should be obtained. The first part of this topic focuses on simple guidance regarding the opportunity to obtain consent. When should consent be obtained? It is important to underline that,…

Read more

Consent

GDPR

Opportunity

personal data

November 22, 2018byJulie Tamba

What CMPs can learn from the French data protection authority

On 30 October 2018, the French Data Protection Authority (the “CNIL”) issued a warning against a small company called Vectaury in relation to how this Ad Tech actor was collecting consent for geolocation-based advertising campaigns. On 8 November 2018, it decided to make this decision public notably because it is necessary to “raise awareness among…

Read more

CMP

CNIL

Consent

Cookies

France

GDPR

IAB

Sanction

Vectaury

Warning

May 25, 2018byJulie Tamba

A potential future for the Ad Tech industry: consent without tracking walls

Publishers and actors of the Ad Tech sector targeting the EU currently face one of the biggest challenges they have ever encountered, one that may require them to change profoundly their model. Namely? Unambiguous positive consent. Some background Publishers (both online and offline) have traditionally been able to provide their readers with free contents by…

Read more

Ad Tech

Consent

ePrivacy

GDPR

Publishers

March 29, 2018byJulie Tamba

An interpretation of Google new consent requirements for publishers

We wrote a few articles in the last months regarding consent, including on how consent should be obtained (e.g. may clicking on the website be considered a sufficient positive act ?) or why it should be obtained  (e.g. which geolocation uses or marketing communications will require consent ?). Taking into account this framework, we thought it would be…

Read more

Ad Tech

Consent

GDPR

Google

Publishers

targeted advertising