Enfants et jeux vidéo : Nouvelles précisions sur la collecte des données des mineurs
Par Henri Leben, avocat & DPO et Eolia Busata, avocate & DPO
Le Comité Européen de la Protection des Données, qui joue un rôle central dans la réglementation sur les données personnelles, a émis le 4 mai dernier de nouvelles lignes directrices sur le recueil du consentement. Ces lignes directrices contiennent des développements importants sur le consentement des mineurs.
Ce sujet est à la mode, puisque la CNIL a ouvert le 21 avril dernier, une consultation publique sur les droits des mineurs dans l'environnement numérique. Les industries concernées, y compris les acteurs du jeu vidéo, ont jusqu'au 1er juin prochain pour faire connaître leur position.
Le présent article récapitule les principaux éléments proposés par le Comité Européen (CEPD). Chaque éditeur/distributeur de jeux devra s'assurer qu'il collecte bien les données des mineurs en conformité avec ces éléments.
Méthodes acceptables de recueil du consentement
Le RGPD fixe l'âge du consentement digital à 16 ans, laissant la possibilité aux Etats-Membres de descendre jusqu'à 13 ans. En dessous de l'âge retenu, le consentement doit être collecté auprès de l'enfant et auprès du titulaire de l'autorité parentale. En France, l'âge du consentement digital a été fixé à 15 ans.
La vérification de l'âge peut se faire sur la base d'une déclaration de la part de l'utilisateur.
Si l'utilisateur (un enfant) indique être plus jeune que la majorité digitale, l'éditeur doit mettre en place un système de collecte du consentement du titulaire de l'autorité parentale. Les Lignes Directrices indiquent qu'une adresse email de contact peut par exemple être sollicitée auprès du parent.
Bien sûr, si le service vise exclusivement des mineurs, le praticien recommandera de mettre en place directement un mécanisme destiné à obtenir l'accord des parents.
Le titulaire de l'autorité doit recevoir un email mentionnant les informations obligatoires et rappelant les droits pouvant être exercés à tout moment au nom de l'enfant. Un email semblable est envoyé à l'enfant ayant lui-même sollicité le service.
Il est important de préciser que la méthode proposée par le CEPD doit respecter l'ensemble des dispositions du RGPD. A ce titre, l'email doit détailler la nature des données collectées, la finalité du traitement, l'identité du responsable de traitement, les droits prévus au RGPD et leurs modalités d'exercice, etc.
Lorsque les risques éventuels paraissent faibles, les Lignes Directrices considèrent qu'une confirmation par email peut suffire.
Lorsque le site sur lequel le mineur souhaite se connecter contient une partie réservée exclusivement à un public adulte, le responsable de traitement doit prendre des mesures supplémentaires pour s'assurer que l'accès au site a bien été validé par les parents. (Renvoi d'un second email, attention spécifique portée sur les contenus consultables, appel téléphonique, etc.).
Contrôle de l'âge de référence
Certaines plateformes font le choix d'interdire l'accès de leurs services aux mineurs, en précisant par exemple dans leurs conditions générales, que seules les personnes de plus de 18 ans peuvent créer un compte.
Les Lignes Directrices soulignent que l'exclusion dans les conditions générales ne suffit pas et qu'il doit être tenu compte du public visé réellement par le service.
A ce titre, les campagnes de promotion et de distribution d'un service ne doivent pas contenir d'éléments laissant à penser que celui-ci, bien que censé être réservé aux adultes, vise également les enfants.
Le responsable de traitement est enfin invité à tenir compte des choix de chaque Etat-Membre en matière d'application du RGPD.
Comme indiqué, l'âge de consentement digital des enfants peut en effet osciller, au choix de l'Etat-Membre, entre 13 et 16 ans. Il n'est cependant pas indiqué clairement dans le RGPD s'il est nécessaire de tenir compte de la réglementation de l'Etat-Membre où est établi le responsable de traitement ou de celui où se trouve le mineur.
Certaines plateformes de jeux vidéo ont par exemple mis en place des mécanismes de vérification passant par une déclaration sur l'honneur sous la forme : "I accept X User Agreement And I am 16 years old or older".
En retenant l'âge maximum (16 ans), cette formulation cherche à limiter les risques.
On notera cependant que cette formule n'est pas toujours traduite dans la langue du site. On peut par conséquent s'interroger sur son caractère clair, compréhensible et explicite… d'autant que, plus l'utilisateur est jeune et donc concerné par cette information, moins sa compréhension d'une langue étrangère est élevée.
D'autres plateformes ont opté pour une déclaration sur l'honneur retenant l'âge de consentement digital de leur pays d'origine, par exemple : "J'accepte (les CGU) Et je suis âgé d'au moins 13 ans".
L'âge du consentement digital n'étant pas harmonisé, certains éditeurs fournissent un dispositif personnalisé d'inscription demandant de renseigner le lieu de résidence et la date de naissance.
En fonction du lieu choisi, il est tenu compte de la législation spécifique à chaque Etat. Un enfant de 13 ans vivant en Grande Bretagne pourra ainsi créer un compte alors qu'il devra attendre d'avoir 14 ans s'il vit en Autriche et 15 ans en France.
Responsabilisation des acteurs
Les lignes directrices rappellent qu'un certain nombre d'éléments sont laissés à l'appréciation du responsable de traitement : nécessité de mesures spécifiques pour déterminer l'âge de l'utilisateur ou l'identité de son tuteur, nature de ces mesures, actions à mener en cas de signalement d'un utilisateur susceptible d'être un enfant, etc.
En conséquence, il est recommandé aux éditeurs et aux plateformes d'être en mesure de démontrer que des garde-fous et, plus généralement, tous les efforts technologiquement et matériellement raisonnables, ont été mis en oeuvre, pour assurer le recueil d'un consentement des utilisateurs conforme au RGPD.
Une adresse de contact clairement indiquée est notamment recommandée afin de pouvoir recevoir et traiter des plaintes éventuelles.
Passage de la majorité digitale
Enfin, les Lignes Directrices permettent de clarifier le futur de l'utilisation des données collectées lorsque l'enfant atteint l'âge de consentement digital.
Le CEPD indique tout d'abord que, dans la mesure où l'enfant en âge de consentir peut exercer à tout moment les droits prévus au RGPD, y compris le droit de retirer son consentement, il n'est pas nécessaire de le solliciter à nouveau.
En revanche, il est important que l'enfant soit informé de ses droits. En effet, et jusqu'à la date de sa majorité digitale, le consentement étant également collecté auprès d'un tiers, il est probable que l'enfant n'ait pas conscience de ses droits ni de leur mode d'exercice.
Au-delà des clarifications proposées concernant le recueil du consentement des mineurs, les Lignes Directrices rappellent que le RGPD constitue un bloc légal séparé du droit des contrats de chaque Etat-Membre.
La collecte d'un consentement conforme au RGPD ne doit ainsi pas faire oublier que la licéité d'un contrat conclu avec un enfant peut faire l'objet de dispositions spécifiques.
Henri Leben, avocat et DPO
Eolia Busata, avocate et DPO
Leben Avocats en partenariat avec Virtual-DPO
Nous lançons un projet qui pourrait vous intéresser, L'école des Réseaux Sociaux est un programme européen d’intérêt général porté par eduPad et European Schoolnet qui a été lauréat du Google.org Impact for Change on safety.
Nous envoyons deux contenus préventifs par semaine et aujourd'hui le thème est : "Données personnelles, pourquoi les protéger ?" : https://mailchi.mp/schoolofsocialnetworks/n6-donnees-personnelles-pourquoi-les-proteger
N'hésitez pas à partager autour de vous.
Pour plus d'information, contactez-moi par MP