Le RGPD contient une disposition spécifique concernant le consentement de l’enfant.
En effet, l’article 8 prévoit que dans certains cas, le responsable du traitement doit obtenir le consentement du titulaire de l’autorité parentale.
Quand le consentement du titulaire de l’autorité parentale est-il nécessaire ?
Comme nous l’avons évoqué récemment, cet article 8 du RGPD ne s’applique que si les trois conditions cumulatives suivantes sont remplies :
- le consentement est la seule base légale pouvant justifier le traitement ;
- la personne concernée est un enfant de moins de 13 ans ;
- le traitement est lié à une offre directe d’un service de la société de l’information à l’enfant.
Cependant, il faut donc être vigilant ! L’Autorité de protection des données interprète de manière très large la notion de service de la société de l’information offert directement à un enfant. Des services qu’on ne considèrerait a priori pas de nature commerciale pourraient être soumis à l’article 8 du RGPD.
Comment faire ?
Si l’article 8 s’applique à votre traitement de données, que doit faire le responsable du traitement ?
1e étape :
- Mettre en place un mécanisme pour demander à chaque utilisateur s’il a atteint ou non l’âge requis.
2e étape :
Si l’utilisateur déclare avoir atteint la majorité digitale :
Il faut vérifier que c’est bien exact.
Comment ? De manière raisonnable et en fonction des risques présentés par le traitement de données :
- Le Comité européen à la protection des données suggère ainsi de demander à l’utilisateur son année de naissance. Rien ne garantit cependant que l’utilisateur ne persiste pas dans son mensonge à propos de son âge.
- Le Comité évoque également la possibilité de demander le paiement de 0,01 € par carte de crédit.
Parmi les suggestions du Comité, ne figure par exemple pas l’utilisation d’un document officiel, comme une carte d’identité électronique. En effet, le principe de minimisation des données s’applique aussi. La vérification ne doit donc pas elle-même engendrer un traitement de données disproportionné.
Ce sont là les maigres solutions proposées par le Comité. Elles dénotent donc que les autorités de contrôle nationales sont tout à la fois pragmatiques et perplexes quant aux moyens à mettre en œuvre.
Enfin, la demande de consentement et les informations préalables doivent malgré tout être formulées en termes compréhensibles par un enfant.
Si par contre le jeune utilisateur admet qu’il n’a pas atteint l’âge requis :
Le fournisseur de service en ligne doit se diriger vers le représentant légal pour obtenir son consentement.
Cela pose tout autant de problèmes pratiques, puisque ce sera en premier lieu à l’enfant d’indiquer qui est cette personne. Par exemple en complétant son adresse e-mail pour qu’une demande de confirmation y soit adressée.
Évidemment, le risque existe que l’enfant renseigne une adresse e-mail qu’il contrôle lui-même. Le Comité et l’autorité de contrôle du Royaume-Uni estiment que cette mesure peut être suffisante si le traitement de données est peu risqué (par exemple l’inscription à la newsletter d’une popstar).
S’il l’est davantage (par exemple l’inscription à un forum de discussion non contrôlé), on pourra exiger une preuve que l’adulte qui consent est bien le titulaire de l’autorité parentale.
A ce jour, ni le CEPD, ni l’APD n’ont précisé la manière concrète dont le responsable du traitement pouvait vérifier que la personne affirmant être le parent l’est bien.
Aucune indication n’est donnée non plus sur la façon d’agir en cas d’adoption ou dans les cas où l’autorité parentale est exercée par un tuteur.
Au vu de la formulation employée par le RGPD, le responsable de traitement est tenu par une obligation de moyen. Il conserve donc le choix des moyens raisonnables à mettre en œuvre.
Cependant, conformément au principe d’accountability, il devra être en mesure de démontrer qu’il a mis en œuvre les moyens adaptés pour s’assurer que le consentement recueilli émane de l’autorité parentale.
Et après ?
Le consentement du parent est valable au-delà de la majorité numérique de l’enfant, mais il pourra lui-même retirer ce consentement.
Le CEPD recommande, au nom du principe de transparence, d’informer le jeune majeur numérique de cette possibilité.
La précision de l’année de naissance de l’enfant se justifie donc également lorsqu’il admet ne pas avoir atteint l’âge requis.
Our advice:
Vérifiez si vous êtes susceptible de traiter des données à caractère personnel d’enfants de moins de 13 ans. Si c’est le cas, vous devez mettre en place une procédure en deux temps :
- Identifier l’âge de l’enfant
- Obtenir le consentement du parent si l’enfant a moins de 13 ans.
A défaut, votre traitement sera considéré illégal et une sanction administrative pourrait vous être infligée.