Tous les jours des milliers d’enfants et adolescents se connectent à internet, où de nombreux sites collectent leurs données personnelles sans que ceux-ci en soient conscients. Face à cette situation inquiétante, le RGPD intervient et fixe des règles permettant aux personnes mineures d’être protégées face aux sociétés actives sur internet.
Les enfants sont les premiers surexposés au marketing des sites internet. Certains d’entre eux consultent une multitude de page web, s’inscrivent à des newsletters, s’abonnent à des pages, communiquent des numéros de téléphone et même parfois des détails bancaires. Une fois ces informations recueillies, il est très simple pour les dites sociétés de les exploiter, d’envoyer des notifications par e-mails ou SMS ou encore d’inciter l’utilisateur à une contribution pécuniaire. A titre exemplatif, certaines applications de jeux réclament un paiement aux joueurs pour leur permettre de continuer à jouer et ce indifféremment de l’âge du joueur. Les mineurs sont les premières victimes de ce marketing agressif.
Suivant le considérant 38 du RGPD «les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ». Pour protéger les mineurs des conséquences que peut avoir le partage de leurs données personnelles, le RGPD prévoit encore que « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.» (Article 8 du RGPD)
Si l’âge est fixé à 16 ans par le RGPD, ce dernier laisse néanmoins le soin aux Etats membres de déterminer eux même l’âge auquel un mineur n’a plus besoin de l’autorité parentale, à condition que celui-ci ne soit ni inférieur à 13 ans ni supérieur à 16 ans. La France par exemple, a considéré qu’un mineur de 15 ans ou plus était capable de suffisamment de discernement pour ne plus avoir besoin de l’autorisation parentale. Au Luxembourg cet âge est fixé à 16 ans.
Suite au changement des paradigmes, il revient aux professionnels des services des sociétés d’information de s’assurer que le consentement des mineurs et de leurs représentants légaux leur est donné « compte tenu des moyens technologiques disponibles » (article 8-2 du RGPD). Mais il ne s’agit pas d’une tâche facile, l’accès aux sites pornographiques en est un bon exemple. En effet, il est très simple pour les utilisateurs de tous âges d’y accéder sans grandes difficultés puisqu’aucun réel control n’est réalisé quant à l’âge des visiteurs de ces sites. Leurs données telles que l’adresse IP de leur ordinateur ou téléphone peut alors être collecté et traité sans que les mineurs ne s’en rendent compte.
Par quels moyens les responsables de traitement peuvent-ils remédier à ce problème afin de ne pas aller à l’encontre du respect à la vie privée et du droit à la protection des données personnelles ? La demande d’une pièce d’identité, d’un numéro de carte bleue ou encore d’un numéro de téléphone sont autant de solutions à la vérification de l’âge des usagers, mais une fois de plus il comporte des informations sensibles dont le partage est susceptible d’inquiéter les utilisateurs quant à la protection de leur vie privée.
De quel moyen de riposte disposent les mineurs ? L’article 17 du RGPD relatif au droit à l'effacement («droit à l'oubli») prévoit que « La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais ».
Le RGPD a prévu de lourdes sanctions en cas de violation des prédites dispositions. Ainsi, le responsable traitement s’expose à une amende pouvant s’élever à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Ce sera toujours la somme la plus élevée entre ces deux options qui sera retenue. A titre d’exemple, en octobre 2018, près de 500.000 clients de la compagnie aérienne British Airways ont été victimes d’un piratage de leurs informations personnelles comprenant pour certains les détails confidentiels de leur carte bleu. L’ICO, l’équivalent britannique de la CNPD, a l’intention de sanctionner la compagnie à hauteur de 201,6 millions d’euros, soit à peu près 1,5% du chiffre d’affaires de l’année 2017 de l’IAG, maison mère de la compagnie aérienne.
En conclusion, le RGPD a
prévu toutes les dispositions à même de protéger les données personnelles des
mineurs. Cependant, le rôle des parents reste important si ce n’est déterminant
quand il s’agit de la protection des données personnelles des enfants, alors
que par principe leur consentement est indispensable à la légalité d’un traitement
de données personnelles de mineur. Ils sont encore ceux qui peuvent mettre en
garde les mineurs des risques encourus par leur surexposition sur internet de
manière préventive et limiter l’accès à certains sites internet par le biais de
contrôles parentaux.