Les enfants méritent une protection supplémentaire
Le RGPD est clair : les enfants constituent un groupe vulnérable. Ils sont moins conscients des risques et conséquences du partage de leurs données personnelles. C’est pourquoi des règles supplémentaires s’appliquent lorsque vous traitez des données de mineurs.
Cela concerne plus d’organisations qu’on ne le pense : écoles, clubs sportifs, crèches, associations de jeunesse, plateformes en ligne, boutiques en ligne de produits pour enfants, et même les entreprises qui envoient des newsletters à des listes de diffusion comprenant des mineurs.
Consentement parental : quand et jusqu’à quel âge ?
L’article 8 du RGPD dispose que pour offrir des “services de la société de l’information” (c’est-à-dire des services en ligne) aux enfants, le consentement d’un parent ou tuteur est nécessaire. Le RGPD fixe le maximum à 16 ans, mais permet aux États membres de l’abaisser à 13 ans minimum.
En pratique, cela signifie :
| Pays | Limite d’âge |
|---|---|
| Pays-Bas | 16 ans |
| Belgique | 13 ans |
| Allemagne | 16 ans |
| France | 15 ans |
| Espagne | 14 ans |
| Irlande | 16 ans |
| Suède | 13 ans |
| Italie | 14 ans |
Attention : ces limites d’âge s’appliquent spécifiquement au consentement comme base juridique pour les services en ligne. Le principe plus large selon lequel les enfants méritent une protection supplémentaire s’applique toujours.
Sanctions : amendes pour mauvaise gestion des données d’enfants
Les autorités de contrôle prennent les infractions concernant les données d’enfants très au sérieux :
TikTok - 345 millions d’euros (Irlande, 2023). La DPC irlandaise a infligé à TikTok une amende de 345 millions d’euros pour protection insuffisante de la vie privée des utilisateurs mineurs. Les profils d’enfants étaient publics par défaut, et la fonction “Family Pairing” présentait des failles permettant à des non-parents de lier des comptes d’enfants.
Instagram/Meta - 405 millions d’euros (Irlande, 2022). La DPC irlandaise a sanctionné Meta pour avoir rendu publics les adresses e-mail et numéros de téléphone d’adolescents sur Instagram, et pour avoir configuré par défaut les comptes professionnels pour les mineurs.
Le message est clair : les autorités de contrôle considèrent la protection des données d’enfants comme une priorité.
Que faire si vous traitez des données d’enfants ?
1. Déterminez si vous travaillez avec des données d’enfants
Vérifiez si votre public cible comprend (en partie) des mineurs. Pensez à :
- L’inscription des membres d’un club sportif ou d’une association de jeunesse
- L’administration des élèves d’une école
- Les inscriptions à un camp d’été ou une activité parascolaire
- Une boutique en ligne de jouets ou de vêtements pour enfants
- Une application ou un service en ligne utilisé par des enfants
2. Vérifiez votre base juridique
Si vous utilisez le consentement comme base juridique, vous avez besoin du consentement parental pour les enfants en dessous de la limite d’âge nationale. Si vous utilisez une autre base (p. ex. la nécessité contractuelle pour une inscription scolaire), l’exigence de consentement parental de l’article 8 ne s’applique pas, mais le devoir de diligence supplémentaire demeure.
3. Vérifiez l’âge
Vous devez déployer des “efforts raisonnables” pour vérifier si une personne est assez âgée pour consentir elle-même, et si le consentement provient bien d’un parent ou tuteur. Ce qui est “raisonnable” dépend du risque et de la technologie disponible.
4. Communiquez dans un langage adapté aux enfants
Le RGPD exige que l’information sur le traitement des données soit compréhensible pour le public cible. Si vous vous adressez à des enfants, votre politique de confidentialité doit être rédigée dans un langage simple et clair. Le jargon juridique ne suffit pas.
5. Limitez le traitement des données
Le principe de minimisation des données s’applique encore plus strictement aux enfants. Ne collectez que ce dont vous avez réellement besoin. Évitez le profilage et la prise de décision automatisée basée sur les données d’enfants.
Exception : services de prévention et de conseil
L’article 8 contient une exception importante : l’exigence de consentement parental ne s’applique pas aux “services de prévention ou de conseil offerts directement à un enfant.” Pensez aux lignes d’aide pour les victimes de maltraitance ou aux services d’information en ligne sur la santé. Cette exception évite que les enfants ayant besoin d’aide soient bloqués par une exigence de consentement du parent qui est potentiellement à l’origine du problème.
Conseils pratiques pour clubs sportifs, écoles et organisations de jeunesse
- Inscription des membres : ne collectez que le strict nécessaire (nom, date de naissance, coordonnées du parent)
- Photos et vidéos : obtenez toujours le consentement parental avant de publier des photos d’enfants sur votre site ou les réseaux sociaux
- Newsletters : n’envoyez pas d’e-mails marketing aux enfants sans consentement parental
- Partage avec des tiers : concluez des contrats de sous-traitance avec les sponsors, photographes ou autres parties
- Durées de conservation : ne conservez pas les données d’enfants plus longtemps que nécessaire; supprimez les données des anciens membres
GDPRWise vous aide a cartographier les donnees personnelles que vous traitez, y compris celles des mineurs. Avec des recommandations specifiques pour les ecoles, clubs et organisations de jeunesse.