Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018, soit dans moins de 5 mois.
Il introduit une nouveauté importante pour les entreprises qui traitent des données dans le cadre de services de la société de l’information : la minorité digitale.
Pour rappel, si un traitement des données ne peut pas être justifié autrement (par exemple par l’exécution du contrat de services ou par une obligation légale), le consentement de la personne dont les données sont traitées doit être obtenu.
C’est déjà le cas actuellement, mais à partir du 25 mai 2018, les conditions de validité de ce consentement seront drastiquement renforcée pour tous, puisque le consentement devra être dûment informé, explicite, démontrable et rétractable à tout moment. Concernant les enfants, le RGPD exigera en outre que, dans certains cas, le consentement d’un parent ou d’un représentant légal soit obtenu, si l’enfant n’a pas atteint l’âge de la « majorité digitale », comme nous l’évoquions dans une précédente actualité.
Cette toute nouvelle obligation et les difficultés concrètes qu’elle engendre, inquiètent de façon bien compréhensible les entreprises. Fort heureusement, le groupe de travail institué par l’article 29 de l’actuelle directive 95/46 a récemment fourni quelques éclaircissements. Voici donc un récapitulatif qui vous permettra de savoir si votre entreprise est concernée par cette question, et si oui, comment la régler.
Minorité digitale
Il s’agit donc de l’impossibilité pour un enfant de consentir seul au traitement de ses données dans le cadre de services de la société de l’information.
L’âge de cette majorité digitale est fixé à 16 ans par le RGPD, mais les États membres peuvent descendre ce seuil jusqu’à 13 ans.
Si la France, l’Allemagne, les Pays-Bas ou le Luxembourg entendent maintenir la barre à 16 ans, le Royaume-Uni et, chuchote-t-on, la Belgique, envisagent de la ramener à 13 ans. Les entreprises doivent donc être vigilantes quant à l’âge qui sera adopté dans les prochains mois en Belgique en et vérifier à adapter le critère d’âge en fonction de la loi applicable aux consommateurs qu’elles visent.
Quels services sont concernés ?
Par « services de l’information », on entend la fourniture dématérialisée de services à distance. On peut penser à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux. En effet, même si cette notion implique normalement une rémunération pour le service fourni, elle englobe aussi un service gratuit pour les destinataires mais financé autrement, comme par la publicité ou par l’exploitation des données personnelles. C’est bien là tout l’enjeu de cette nouvelle obligation.
Quels services ne sont pas concernés ?
Toutefois, si le service n’est pas offert directement à un enfant, on échappe à cette disposition du RGPD. Les autorités de contrôle ne se contenteront toutefois pas de la seule affirmation sur une page d’accueil que les services ne visent que les majeurs, si le reste des faits démontre le contraire. Si par exemple le catalogue proposé contient des dessins animés, ou que le marketing vise spécifiquement les jeunes consommateurs, on parlera de services offerts directement à un enfant et on devra donc tenir compte de cette minorité digitale. Ce point laisse cependant une grande marge d’appréciation et des enseignements devront sans doute être tirés des sanctions qui seront infligées par les autorités de contrôle nationales. Dans l’intervalle et dans le doute, il est conseillé d’adopter la voie prudente, pour ne pas faire l’objet de ces sanctions.
De même, dès qu’on sort de ce cadre « dématérialisé » en livrant un bien physique, il ne s’agit plus d’un service de la société de l’information. Donc, lorsque vous vendez des jeux, des livres, ou des vêtements pour enfants, même s’il l’on passe commande en ligne, la question de la minorité digitale ne se pose pas.
De quel consentement parle-t-on ?
Cette minorité digitale » ne concerne que le traitement des données de l’enfant utilisateur du service, et pas l’achat du service. La capacité juridique nécessaire pour commander le service en lui-même reste inchangée.
De même, la seule utilisation des coordonnées de l’enfant et de son mot de passe pour se connecter au service en ligne ne requiert pas son consentement, puisque ce traitement de données est nécessaire à l’exécution du contrat.
Ce n’est que lorsque le traitement des données ne peut pas être justifié autrement (par exemple par l’exécution du contrat de services ou par une obligation légale) que le consentement de l’utilisateur doit être obtenu. Il s’agit donc de tous les usages qui ne sont pas strictement nécessaires, comme par exemple le profilage sur base de ces données ou la revente de données à une entreprise tierce.
Comment faire ?
En résumé, si votre entreprise propose des services en ligne à destination d’enfants, elle est concernée. Mais que doit-elle faire ? Mettre en place un mécanisme pour demander à chaque utilisateur s’il a atteint ou non l’âge requis, le seuil âge devant être adapté à chaque pays:
- Si l’utilisateur déclare avoir atteint la majorité digitale:
L’entreprise doit vérifier que c’est bien exact. Cette vérification doit être faite de manière raisonnable et en fonction des risques présentés par le traitement de données envisagé. Le Groupe 29 suggère ainsi de faire compléter à l’utilisateur un formulaire en attestant ou de lui demander son année de naissance. Rien ne garantit cependant que l’utilisateur ne persiste pas dans son mensonge à propos de son âge.
Il est important de noter que, parmi les suggestions du Groupe 29, ne figure par exemple pas l’utilisation d’un document officiel, comme une carte d’identité électronique. Outre les aspects légaux d’une telle utilisation dans chaque pays, en vertu du principe de minimisation des données, la vérification ne doit en effet pas engendrer un traitement de données disproportionné. Les maigres solutions proposées par le Groupe 29 dénotent donc que les autorités de contrôle nationales sont tout à la fois pragmatiques et perplexes quant aux moyens à mettre en œuvre pour vérifier que l’utilisateur a bien atteint la majorité digitale.
- Si par contre le jeune utilisateur admet qu’il n’a pas atteint l’âge requis:
Le fournisseur de service en ligne doit se diriger vers un parent (ou un autre représentant légal) pour obtenir son consentement.
Cela pose tout autant de problèmes pratiques, puisque ce sera en premier lieu à l’enfant d’indiquer qui est cette personne (par exemple en complétant son adresse e-mail pour qu’une demande de confirmation y soit adressée). Même si le risque existe que l’enfant renseigne une adresse e-mail qu’il contrôle lui-même, le Groupe 29 et l’autorité de contrôle du Royaume-Uni estiment que cette mesure peut être suffisante si le traitement de données est peu risqué (par exemple l’inscription à la newsletter d’une popstar). S’il l’est davantage (par exemple l’inscription à un forum de discussion non contrôlé), une preuve que l’adulte qui consent est bien le titulaire de la responsabilité parentale pourra être exigée. Quant à savoir quelle preuve, le Groupe 29 évoque un service tiers de vérification…
Enfin, le fournisseur de services en ligne doit être attentif au fait que le consentement du parent n’est valable que jusqu’à la majorité numérique de l’enfant. Une fois que celui-ci aura atteint, selon les cas, 13 ou 16 ans, il devra lui-même consentir au traitement de ses données. La précision de l’année de naissance de l’enfant se justifie donc également lorsqu’il admet ne pas avoir atteint l’âge requis.
Notre conseil :
L’entrée en vigueur du RGPD se rapprochant à grands pas, vous devez vérifier si votre activité implique d’obtenir le consentement d’un parent pour traiter les données d’un enfant.
Si c’est le cas, le processus d’obtention du consentement devra être fondamentalement adapté aux nouvelles exigences du RGPD.
A défaut, les amendes pourront être lourdes…
