Quelles sont les règles du RGPD concernant le consentement des mineurs ?
Le Règlement Général Européen sur la Protection des Données ou RGPD est le nouveau texte de référence en matière de protection des données en ligne sur l’ensemble du territoire de l’Union européenne. En plus de mettre en place et de renforcer des droits et des obligations, ce texte entré en vigueur le 25 mai 2018 prévoit également des dispositions particulières qui concernent le consentement des mineurs.
L’âge de consentement
Le consentement est le critère essentiel en matière de traitement de données, et notamment celui des données à caractère personnel. En effet, pour donner le consentement, il est important d’être au-dessus d’un âge limite. Aujourd’hui, d’après les dispositions du RGPD, l’âge limite de base est de 16 ans. En revanche, le règlement européen offre aux États membres la possibilité d’ajuster cette limite entre 13 et 16 ans. À titre indicatif, l’âge de consentement est de 15 ans en Grèce, en République Tchèque et en Slovénie, contre 14 ans en Italie, en Autriche, à Chypre et en Bulgarie. Celui-ci descend même à 13 ans en Estonie, au Danemark, en Belgique, en Irlande, en Finlande, en Pologne, en Lettonie, en Espagne, au Portugal, au Royaume-Uni et en Suède.
La France a retenu 15 ans comme âge légal ‘numérique’ et donc pour pouvoir donner son consentement.
La responsabilité parentale
Si une personne morale, prévoit de collecter des données appartenant à un mineur plus jeune que l’âge limite, le consentement doit être accordé par une personne pouvant exercer ce qu’on appelle la « responsabilité parentale ». Elle est également tenue de faire tous les « efforts raisonnables » pour prouver que la personne qui fournit ce consentement dispose réellement de cette figure parentale. La vérification de la personne qui se trouve derrière l’écran incombe aussi à l’entreprise qui collecte ces données, en prenant en compte les moyens technologiques disponibles dont elle a accès. À noter toutefois que les mineurs peuvent fournir eux-mêmes leur propre consentement lorsque les données sont collectées dans le cadre de services ou de prévention et de conseils qui s’adressent directement aux enfants.
Le principe de la transparence
Le RGPD insiste également sur la mise en place et le respect du principe de transparence envers les mineurs, afin de leur accorder une meilleure protection dans le cadre du traitement de leurs données. En d’autres termes, il est important que les mentions d’informations qui s’adressent aux mineurs soient réellement adaptées à leur âge. Les dispositions de l’article 12 du RGPD prévoient donc que les obligations qui consistent à assurer que les informations fournies à ce type de profil soient transparentes, concises et formulées dans des termes simples doivent être respectées, surtout lorsque les informations s’adressent spécifiquement à un enfant. Tout type d’information ayant un lien avec la collecte de données personnelles doit être lisible et parfaitement accessible grâce à des termes simples et clairs facilement compréhensibles par un enfant.
Le droit à l’oubli
D’après les dispositions de l’article 17 du RGPD, toute personne est en mesure d’exercer son « droit à l’effacement de ses données à caractère personnel » auprès du responsable du traitement de l’entreprise concernée. Cette dernière sera alors obligée d’exécuter la demande dans les meilleurs délais, sous réserve des exceptions mentionnées dans l’alinéa 3. L’article 40 de la loi informatique et libertés mentionne également le « droit à l’oubli numérique» pour les mineurs, ainsi qu’une accélération de la procédure relative à l’exercice de ce droit. En effet, lorsque la personne concernée est encore mineure au moment de la collecte des données, celle-ci est tout à fait en mesure d’obtenir l’effacement de ses données problématiques dans les meilleurs délais. En cas de réponse négative ou d’absence de réponse dans un délai d’un mois après la requête, elle peut ensuite saisir la CNIL qui dispose pour sa part d’un délai de 3 semaines pour donner sa réponse.
Ne pas confondre le droit d’effacement de la base ‘active’ avec une suppression des données qui peuvent devoir être conservées en archives intermédiaires pour des durées de prescription légale.