Le Règlement général sur la protection des données (RGPD) a introduit le concept de minorité digitale. De quoi s’agit-il ?
Minorité digitale
Il s’agit de l’impossibilité pour un enfant de consentir seul au traitement de ses données dans le cadre de services de la société de l’information.
Consentement …
Pour rappel, un des 6 fondements légitimes d’un traitement des données est le consentement de la personne dont les données sont traitées (article 6.1, a) du RGPD).
Dans ce cas, le consentement doit être dûment informé, explicite, démontrable et rétractable à tout moment (article 7 du RGPD).
d’un enfant de moins de 13 ans …
Mais ce n’est pas tout… Lorsqu’il s’agit de données d’un enfant, le RGPD ajoute encore des exigences supplémentaires !
En effet, la minorité digitale de l’enfant signifie qu’il bénéficie d’une protection accrue.
L’âge de cette majorité digitale est en principe fixé à 16 ans par le RGPD. Cependant, les États membres pouvaient descendre ce seuil jusqu’à 13 ans, ce que la Belgique a fait. Les entreprises belges doivent donc être vigilantes quant aux clients et utilisateurs âgés de moins de 13 ans.
à qui on offre directement un service de la société de l’information
Dans ce cas, le traitement ne sera légal que si le consentement d’un parent est recueilli (article 8 du RGPD).
Service de la société de l’information offert directement à un enfant
Que recouvre exactement la notion de “services de la société de l’information offerts directement à un enfant” ?
La définition doit être recherchée dans la directive 2015/1535 : « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».
Dans un premier temps, le Comité européen à la protection des données (CEPD) a fourni quelques éclaircissements.
Quels services sont concernés ?
Par « services de l’information », on entend la fourniture dématérialisée de services à distance. Cette notion excède donc le simple commerce électronique. Globalement, toute activité économique fournie pour partie en ligne peut être visée. On pense à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux.
En principe, cette notion implique normalement une rémunération pour le service fourni. Elle englobe néanmoins aussi un service gratuit pour les destinataires mais financé autrement. On vise par exemple les services rémunérés par la publicité ou l’exploitation des données personnelles. C’est bien là tout l’enjeu de cette nouvelle obligation.
Quels services ne sont pas concernés ?
Dès qu’on sort de ce cadre « dématérialisé », il ne s’agit plus d’un service de la société de l’information. La livraison d’un bien physique, commandé en ligne en est un exemple. Cela ne constitue pas un service de la société de l’information. Par conséquent, la question de la minorité digitale ne se pose pas.
De plus, si le service (bien que qualifiable de “service de la société de l’information”) n’est pas offert directement à un enfant, on échappe à cette disposition du RGPD. Il ne suffit pas pour l’entreprise d’affirmer sur une page d’accueil que les services ne visent que les majeurs.
Il faut également que les faits ne démontrent pas le contraire. Si par exemple le catalogue proposé contient des dessins animés, ou que le marketing vise spécifiquement les jeunes consommateurs, on parlera de services offerts directement à un enfant.
Un élargissement de la notion par l’APD ?
A la lecture de ces lignes, le contour de la notion semble clair. Cependant, l’APD a récemment semé le doute en interprétant de manière très large les différents éléments de cette notion. Elle a été suivie sur ce point par la Cour des marchés.
Les faits
En pratique, l’école avait fait appel aux services d’une plateforme scolaire numérique pour mettre au point un formulaire d’enquête sur le harcèlement en milieu scolaire.
Toutes deux ont décidé que cette notion recouvrait le fait pour un enfant de se connecter à la plateforme en ligne Smartschool pour répondre à une enquête sur le harcèlement proposée par son école.
Par conséquent, le consentement des parents des enfants de moins de 13 ans devait être recueilli. En l’absence du consentement des parents, l’enquête ne reposait sur aucun fondement légitime. En conclusion, ce traitement n’était pas conforme au RGPD.
Dès lors, l’APD a infligé une amende de 2.000 euros à l’école, car elle a estimé qu’elle n’était pas une autorité publique exonérée d’amende administrative.
Un service fourni à la demande individuelle de l’enfant ?
Pour accéder à l’enquête et y répondre, l’élève devait lui-même se connecter à la plateforme. L’APD retient cet élément pour en déduire que le service est bien fourni à la demande de l’élève.
Un service presté normalement contre rémunération ?
Smartschool fournit effectivement ses services contre rémunération. Mais cette rémunération est payée par l’école !
Partant de ce constat, l’APD considère que le service fourni par Smartschool aux élèves est de nature commerciale. La plateforme numérique Smartschool n’offre pas des services d’éducation et ne remplit pas elle-même une mission d’orientation des étudiants.
Un service offert directement à l’enfant ?
En pratique, l’école a un accord avec la plateforme Smartschool lui permettant dans un premier temps de rédiger les questions composant l’enquête et dans un deuxième temps de mettre l’enquête à dispositions des élèves.
Donc Smartschool ne fournit qu’indirectement le service aux élèves. L’école envoie elle-même l’enquête aux élèves.
Ici encore, l’APD et la Cour des marchés accordent une importance primordiale au fait que l’élève lui-même doit aller se connecter à la plateforme Smartschool afin d’avoir accès à l’enquête.
Sur la base de cette considération, l’APD et la Cour des marchés estiment qu’il s’agit bien d’un service offert directement aux enfants.
Notre conseil :
Cette jurisprudence récente oblige à vérifier si l’un de vos traitements de données ne peut pas être considéré comme “un service de la société de l’information offert directement aux enfants”.
Si c’est le cas, cela implique d’obtenir le consentement du titulaire de l’autorité parentale sur l’enfant avant de procéder au traitement de données. Nous examinons ici comment faire.
Pour finir, si les services offerts par votre entreprise sont accessibles à partir de différents pays, vous devez être attentif au fait que l’âge de la minorité digitale peut varier dans chaque État Membre de l’Union.
En collaboration avec Victoria Ruelle