Dès le 25 mai 2018, l’ enfant fera l’objet d’une protection spécifique lorsqu’il consent au traitement de ses données, notamment à des fins de marketing ou de création de profils. Cette nouveauté, introduite par le RGPD, mérite un mot de commentaire.
Quelle protection pour l’enfant?
Dans certaines hypothèses, le consentement parental sera requis.
Cette protection se justifie car les enfants n’ont souvent pas conscience des risques attachés au traitement de leurs données personnelles. Et encore moins des droits dont ils bénéficient dans ce cadre.
Dans quelles hypothèses ?
La protection est limitée aux traitements de données fondés sur le consentement d’un enfant lors de l’utilisation d’un service de la société de l’information proposé directement à cet enfant.
En d’autres termes, le parent/tuteur sera appelé à consentir en lieu et place de son enfant lorsque le traitement:
- se fonde sur le consentement de la personne concernée ;
- porte sur les données à caractère personnel d’un enfant. Selon le RGPD, un enfant est une personne âgée de moins de seize ans. Les États membres ont cependant la faculté de descendre la limite d’âge à treize ans, comme le Royaume-Uni entend le faire. La Belgique planifie aussi une réduction, mais n’a pas encore précisé dans quelle mesure. Soyez vigilant!
- et intervient dans le cadre de l’offre d’un service de la société de l’information vers un enfant.
Quant à cette dernière notion, il s’agit, selon le RGPD, d’un « service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services».
L’important est de comprendre que ces quatre critères dépassent les frontières du commerce électronique. Globalement, toute activité économique fournie pour partie en ligne peut être visée.
Autrement dit, sont qualifiées de prestataires de services de la société de l’information, les sociétés qui proposent en ligne des produits en vente, des jeux vidéo, des réseaux sociaux ou encore des services de messagerie ou de streaming.
Par conséquent, les sociétés qui, parmi celles-ci, dirigent directement leurs services vers des enfants devront appliquer cette nouvelle protection.
Quel impact pour le responsable de traitement ?
Dans ces conditions, le responsable de traitement doit avoir recueilli le consentement du titulaire de la responsabilité parentale.
Pour ce faire, il doit s’efforcer, raisonnablement, de vérifier l’origine parentale du consentement obtenu. Et ce, compte tenu des moyens techniques à disposition.
Au vu de la formulation employée par le RGPD, le responsable de traitement est tenu par une obligation de moyen. Il conserve donc le choix des moyens raisonnables à mettre en œuvre.
Cependant, conformément au principe d’accountability, il devra être en mesure de démontrer qu’il a mis en œuvre les moyens nécessaires pour s’assurer que le consentement recueilli émane du parent.
En résumé
À défaut d’intervention législative des États membres, seuls les enfants de plus de seize ans pourront consentir au traitement de leurs données par des médias sociaux. En dessous de cet âge, il appartiendra au parent de se prononcer.
Ons advies:
En tant que responsable de traitement qui offre des services en ligne à destination d’enfants, vous serez tenu, dès le 28 mai 2018, de procéder à une double identification. D’une part, celle de l’enfant. D’autre part, celle de la personne qui détient l’autorité parentale sur ce dernier.
Il vous appartient donc de réorganiser la manière dont vous obtenez le consentement des personnes concernées en vue de vérifier leur qualité.
Par ailleurs, veillez à vous renseigner sur la limite d’âge (entre treize et seize ans) appliquée par chaque État membre dans lequel vous fournissez vos services ou vers lequel vous dirigez vos services et en tout cas par la Belgique.
