Actualités

Minorité digitale, votre entreprise est-elle prête ?

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018.

Il introduit une nouveauté importante pour les entreprises qui traitent des données dans le cadre de services de la société de l’information : la minorité digitale.

Pour rappel, si un traitement des données ne peut pas être justifié autrement (par exemple par l’exécution du contrat de services ou par une obligation légale), le consentement de la personne dont les données sont traitées doit être obtenu.

C’était déjà le cas auparavant, mais depuis le 25 mai 2018, les conditions de validité de ce consentement sont drastiquement renforcées pour tous, puisque le consentement doit être dûment informé, explicite, démontrable et rétractable à tout moment. Concernant les enfants, le RGPD exige en outre que, dans certains cas, le consentement d’un parent ou d’un représentant légal soit obtenu, si l’enfant n’a pas atteint l’âge de la « majorité digitale », comme nous l’évoquions dans une précédente actualité.

Cette toute nouvelle obligation et les difficultés concrètes qu’elle engendre, inquiètent de façon bien compréhensible les entreprises. Fort heureusement, le Comité européen à la protection des données a fourni quelques éclaircissements. Voici donc un récapitulatif qui vous permettra de savoir si votre entreprise est concernée par cette question, et si oui, comment la régler.

Minorité digitale

Il s’agit donc de l’impossibilité pour un enfant de consentir seul au traitement de ses données dans le cadre de services de la société de l’information.

L’âge de cette majorité digitale est fixé à 16 ans par le RGPD, mais les États membres peuvent descendre ce seuil jusqu’à 13 ans.

Si la France, l’Allemagne, les Pays-Bas ou le Luxembourg entendent maintenir la barre à 16 ans, le Royaume-Uni et la Belgique envisagent de la ramener à 13 ans. Les entreprises doivent donc être vigilantes quant à l’âge qui sera adopté dans les prochains mois en Belgique en et vérifier à adapter le critère d’âge en fonction de la loi applicable aux consommateurs qu’elles visent.

Quels services sont concernés ?

Par « services de l’information », on entend la fourniture dématérialisée de services à distance. On peut penser à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux. En effet, même si cette notion implique normalement une rémunération pour le service fourni, elle englobe aussi un service gratuit pour les destinataires mais financé autrement, comme par la publicité ou par l’exploitation des données personnelles. C’est bien là tout l’enjeu de cette nouvelle obligation.

Quels services ne sont pas concernés ?

Toutefois, si le service n’est pas offert directement à un enfant, on échappe à cette disposition du RGPD. Les autorités de contrôle ne se contenteront toutefois pas de la seule affirmation sur une page d’accueil que les services ne visent que les majeurs, si le reste des faits démontre le contraire. Si par exemple le catalogue proposé contient des dessins animés, ou que le marketing vise spécifiquement les jeunes consommateurs, on parlera de services offerts directement à un enfant et on devra donc tenir compte de cette minorité digitale. Ce point laisse cependant une grande marge d’appréciation et des enseignements devront sans doute être tirés des sanctions qui seront infligées par les autorités de contrôle nationales. Dans l’intervalle et dans le doute, il est conseillé d’adopter la voie prudente, pour ne pas faire l’objet de ces sanctions.

De même, dès qu’on sort de ce cadre « dématérialisé » en livrant un bien physique, il ne s’agit plus d’un service de la société de l’information. Donc, lorsque vous vendez des jeux, des livres, ou des vêtements pour enfants, même s’il l’on passe commande en ligne, la question de la minorité digitale ne se pose pas.

De quel consentement parle-t-on ?

Cette “minorité digitale” ne concerne que le traitement des données de l’enfant utilisateur du service, et pas l’achat du service. La capacité juridique nécessaire pour commander le service en lui-même reste inchangée.

De même, la seule utilisation des coordonnées de l’enfant et de son mot de passe pour se connecter au service en ligne ne requiert pas son consentement, puisque ce traitement de données est nécessaire à l’exécution du contrat.

Ce n’est que lorsque le traitement des données ne peut pas être justifié autrement (par exemple par l’exécution du contrat de services ou par une obligation légale) que le consentement de l’utilisateur doit être obtenu. Il s’agit donc de tous les usages qui ne sont pas strictement nécessaires, comme par exemple le profilage sur base de ces données ou la revente de données à une entreprise tierce.

Comment faire ?

En résumé, si votre entreprise propose des services en ligne à destination d’enfants, elle est concernée. Mais que doit-elle faire ? Mettre en place un mécanisme pour demander à chaque utilisateur s’il a atteint ou non l’âge requis, le seuil âge devant être adapté à chaque pays:

  • Si l’utilisateur déclare avoir atteint la majorité digitale:

L’entreprise doit vérifier que c’est bien exact. Cette vérification doit être faite de manière raisonnable et en fonction des risques présentés par le traitement de données envisagé. Le Comité européen à la protection des données suggère ainsi de faire compléter à l’utilisateur un formulaire en attestant ou de lui demander son année de naissance. Rien ne garantit cependant que l’utilisateur ne persiste pas dans son mensonge à propos de son âge. Le Comité évoque également la possibilité de demander le paiement de 0,01 € par carte de crédit.

Il est important de noter que, parmi les suggestions du Comité, ne figure par exemple pas l’utilisation d’un document officiel, comme une carte d’identité électronique. Outre les aspects légaux d’une telle utilisation dans chaque pays, en vertu du principe de minimisation des données, la vérification ne doit en effet pas engendrer un traitement de données disproportionné. Les maigres solutions proposées par le Comité dénotent donc que les autorités de contrôle nationales sont tout à la fois pragmatiques et perplexes quant aux moyens à mettre en œuvre pour vérifier que l’utilisateur a bien atteint la majorité digitale.

Enfin, la demande de consentement et les informations préalables devront quand même être formulés en termes compréhensibles par un adolescent.

  • Si par contre le jeune utilisateur admet qu’il n’a pas atteint l’âge requis:

Le fournisseur de service en ligne doit se diriger vers un parent (ou un autre représentant légal) pour obtenir son consentement.

Cela pose tout autant de problèmes pratiques, puisque ce sera en premier lieu à l’enfant d’indiquer qui est cette personne (par exemple en complétant son adresse e-mail pour qu’une demande de confirmation y soit adressée). Même si le risque existe que l’enfant renseigne une adresse e-mail qu’il contrôle lui-même, le Comité et l’autorité de contrôle du Royaume-Uni estiment que cette mesure peut être suffisante si le traitement de données est peu risqué (par exemple l’inscription à la newsletter d’une popstar). S’il l’est davantage (par exemple l’inscription à un forum de discussion non contrôlé), une preuve que l’adulte qui consent est bien le titulaire de la responsabilité parentale pourra être exigée. Quant à savoir quelle preuve, le Comité évoque un service tiers de vérification…

Précision importante : le consentement du parent est valable au-delà de la majorité numérique de l’enfant, mais il pourra lui-même retirer ce consentement. Le Comité recommande, au nom du principe de transparence, d’informer le jeune majeur numérique de cette possibilité. La précision de l’année de naissance de l’enfant se justifie donc également lorsqu’il admet ne pas avoir atteint l’âge requis.

Notre conseil :

Le RGPD étant désormais en vigueur, vous devez vérifier si votre activité implique d’obtenir le consentement d’un parent pour traiter les données d’un enfant.

Si c’est le cas, le processus d’obtention du consentement doit être fondamentalement adapté aux nouvelles exigences du RGPD.

A défaut, les amendes peuvent être lourdes…

de Fanny Coton

Une question ?

Contactez-nous
ut efficitur. venenatis, accumsan leo. in id libero suscipit fringilla