Les enfants meritent une protection supplementaire
Le RGPD est clair : les enfants constituent un groupe vulnerable. Ils sont moins conscients des risques et consequences du partage de leurs donnees personnelles. C’est pourquoi des regles supplementaires s’appliquent lorsque vous traitez des donnees de mineurs.
Cela concerne plus d’organisations qu’on ne le pense : ecoles, clubs sportifs, creches, associations de jeunesse, plateformes en ligne, boutiques en ligne de produits pour enfants, et meme les entreprises qui envoient des newsletters a des listes de diffusion comprenant des mineurs.
Consentement parental : quand et jusqu’a quel age ?
L’article 8 du RGPD dispose que pour offrir des “services de la societe de l’information” (c’est-a-dire des services en ligne) aux enfants, le consentement d’un parent ou tuteur est necessaire. Le RGPD fixe le maximum a 16 ans, mais permet aux Etats membres de l’abaisser a 13 ans minimum.
En pratique, cela signifie :
| Pays | Limite d’age |
|---|---|
| Pays-Bas | 16 ans |
| Belgique | 13 ans |
| Allemagne | 16 ans |
| France | 15 ans |
| Espagne | 14 ans |
| Irlande | 16 ans |
| Suede | 13 ans |
| Italie | 14 ans |
Attention : ces limites d’age s’appliquent specifiquement au consentement comme base juridique pour les services en ligne. Le principe plus large selon lequel les enfants meritent une protection supplementaire s’applique toujours.
Sanctions : amendes pour mauvaise gestion des donnees d’enfants
Les autorites de controle prennent les infractions concernant les donnees d’enfants tres au serieux :
TikTok - 345 millions d’euros (Irlande, 2023). La DPC irlandaise a inflige a TikTok une amende de 345 millions d’euros pour protection insuffisante de la vie privee des utilisateurs mineurs. Les profils d’enfants etaient publics par defaut, et la fonction “Family Pairing” presentait des failles permettant a des non-parents de lier des comptes d’enfants.
Instagram/Meta - 405 millions d’euros (Irlande, 2022). La DPC irlandaise a sanctionne Meta pour avoir rendu publics les adresses e-mail et numeros de telephone d’adolescents sur Instagram, et pour avoir configure par defaut les comptes professionnels pour les mineurs.
Le message est clair : les autorites de controle considerent la protection des donnees d’enfants comme une priorite.
Que faire si vous traitez des donnees d’enfants ?
1. Determinez si vous travaillez avec des donnees d’enfants
Verifiez si votre public cible comprend (en partie) des mineurs. Pensez a :
- L’inscription des membres d’un club sportif ou d’une association de jeunesse
- L’administration des eleves d’une ecole
- Les inscriptions a un camp d’ete ou une activite parascolaire
- Une boutique en ligne de jouets ou de vetements pour enfants
- Une application ou un service en ligne utilise par des enfants
2. Verifiez votre base juridique
Si vous utilisez le consentement comme base juridique, vous avez besoin du consentement parental pour les enfants en dessous de la limite d’age nationale. Si vous utilisez une autre base (p. ex. la necessite contractuelle pour une inscription scolaire), l’exigence de consentement parental de l’article 8 ne s’applique pas, mais le devoir de diligence supplementaire demeure.
3. Verifiez l’age
Vous devez deployer des “efforts raisonnables” pour verifier si une personne est assez agee pour consentir elle-meme, et si le consentement provient bien d’un parent ou tuteur. Ce qui est “raisonnable” depend du risque et de la technologie disponible.
4. Communiquez dans un langage adapte aux enfants
Le RGPD exige que l’information sur le traitement des donnees soit comprehensible pour le public cible. Si vous vous adressez a des enfants, votre politique de confidentialite doit etre redigee dans un langage simple et clair. Le jargon juridique ne suffit pas.
5. Limitez le traitement des donnees
Le principe de minimisation des donnees s’applique encore plus strictement aux enfants. Ne collectez que ce dont vous avez reellement besoin. Evitez le profilage et la prise de decision automatisee basee sur les donnees d’enfants.
Exception : services de prevention et de conseil
L’article 8 contient une exception importante : l’exigence de consentement parental ne s’applique pas aux “services de prevention ou de conseil offerts directement a un enfant.” Pensez aux lignes d’aide pour les victimes de maltraitance ou aux services d’information en ligne sur la sante. Cette exception evite que les enfants ayant besoin d’aide soient bloques par une exigence de consentement du parent qui est potentiellement a l’origine du probleme.
Conseils pratiques pour clubs sportifs, ecoles et organisations de jeunesse
- Inscription des membres : ne collectez que le strict necessaire (nom, date de naissance, coordonnees du parent)
- Photos et videos : obtenez toujours le consentement parental avant de publier des photos d’enfants sur votre site ou les reseaux sociaux
- Newsletters : n’envoyez pas d’e-mails marketing aux enfants sans consentement parental
- Partage avec des tiers : concluez des contrats de sous-traitance avec les sponsors, photographes ou autres parties
- Durees de conservation : ne conservez pas les donnees d’enfants plus longtemps que necessaire; supprimez les donnees des anciens membres
GDPRWise vous aide a cartographier les donnees personnelles que vous traitez, y compris celles des mineurs. Avec des recommandations specifiques pour les ecoles, clubs et organisations de jeunesse.