Quelles sont les précautions à prendre par rapport aux données des enfants ?

Le Règlement général sur la protection des données (RGPD) n’interdit pas de traiter les données des enfants. Par contre, il prévoit certaines règles spécifiques :

Clarté des informations

Le RGPD exige de façon générale que les informations portées à la connaissance des personnes dont on traite les données soient formulées de façon claire et compréhensible.

Cette exigence est encore renforcée concernant les enfants et les adolescents.

Votre entreprise doit donc tenir compte de l’âge de son public cible et faire en sorte, le cas échéant, que sa politique en matière de traitement des données à caractère personnel soit compréhensible par un enfant ou un adolescent. Un langage trop juridique doit être évité. On peut par contre imaginer utiliser des icônes ou une présentation ludique.

gdpr_enfants_artikel

Consentement à un service de la société de l’information

La deuxième particularité concerne le traitement des données d’un enfant dans le cadre de services de la société de l’information.

Si le traitement des données ne peut pas être justifié autrement que par le consentement (par exemple par l’exécution du contrat ou par une obligation légale), pour les enfants de moins de 13 ans (pour la Belgique), le consentement ne peut pas être obtenu sans l’accord d’un parent ou d’un représentant légal.

Par services de l’information, on entend la fourniture dématérialisée de services à distance, même à titre gratuit. On peut penser à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux.

Toutefois, si le service n’est pas offert directement à un enfant, on échappe à cette obligation. De même, dès qu’on sort de ce cadre dématérialisé en livrant un bien physique, il ne s’agit plus d’un service de la société de l’information. Donc, si vous vendez des vêtements pour enfants en ligne, la question de la majorité digitale ne se pose pas.

Si par contre votre entreprise est concernée, elle doit :

  • adapter le ton des informations afin qu’elles soient compréhensibles par un enfant ou un adolescent,
  • mettre en place un mécanisme pour demander à chaque utilisateur s’il a atteint ou non l’âge requis dans chaque pays de l’Union européenne (qui varie entre 13 et 16 ans),
  • si l’utilisateur déclare avoir atteint la majorité digitale, vous devez vérifier que c’est bien exact (par exemple en demandant un numéro de carte de crédit),
  • si par contre l’utilisateur admet qu’il n’a pas atteint l’âge requis, vous devez vous adresser à un parent ou un représentant légal pour obtenir son consentement.

« Droit à l’oubli »

Ensuite, même si un des parents a autorisé le traitement des données concernant un service de la société de l’information, ce n’est pas définitif.

Le parent ou l’enfant pourra retirer ce consentement à tout moment et demander l’effacement de toutes les données collectées par le passé. Les « erreurs » de jeunesse pourront ainsi être effacées sans devoir donner d’explication.

Votre entreprise doit donc être en mesure de traiter ce genre de demande d’effacement dans le mois, et de la transmettre à tous ses partenaires qui auraient reçu les données de l’enfant, pour qu’ils les effacent à leur tour.

Conclusion

Il faut dans tous les cas adapter à l’âge de votre public le ton et le vocabulaire des informations que vous fournissez à vos clients par rapport à leurs données à caractère personnel.

Si vous proposez un service de la société de l’information et demandez le consentement des utilisateurs, vous devez vérifier l’âge de la majorité digitale dans chacun des pays dans lequel vous êtes actif (le seuil de la majorité digitale est par exemple de 16 ans en France) et adapter votre processus de consentement pour vérifier l’âge de la personne derrière l’écran.

À défaut, les amendes peuvent être lourdes et il est fort à parier que les autorités de contrôle feront preuve de peu de compréhension si les données d’enfant sont concernées.

 

 

Fanny COTON

fanny-coton

Fanny COTON est associée du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  52