Publication 18 février 2020

Les données personnelles des mineurs, sont-elles suffisamment protégées ?

Mardi dernier avait lieu la Journée pour un Internet plus sûr (Safer Internet Day), une journée consacrée à la sensibilisation à la sécurité des enfants en ligne, dans 150 pays. Au-delà de l’attention suscitée par cet événement, le débat sur les enfants et l’internet semble avoir pris récemment une acuité particulière. Au Royaume-Uni, un nouveau code de design (Age Appropriate Design Code), établi par l’autorité de protection des données et susceptible d’entrer en vigueur d’ici l’automne 2021, obligerait les réseaux sociaux, les jeux vidéo en ligne et les services de streaming utilisés par les enfants à se conformer à un nouveau code de protection de la vie privée. Aux États-Unis, la Chambre des représentants examine actuellement une nouvelle législation sur la protection de la vie privée des enfants en ligne qui étendrait certaines protections fédérales aux adolescents jusqu’à 17 ans (la PRotecting the Information of our Vulnerable Children and Youth, ou PRIVCY Act.) En France, l’Assemblée nationale vient d’adopter une loi le 13 février pour encadrer l’exploitation commerciale des “influenceurs” enfants en ligne. Dans le contexte de Safer Internet Day et de la légifération croissante de cet enjeu, Serious.Links souhaitait amener une réflexion sur la problématique des enfants en ligne, la nature sensible de leurs données et l’adéquation des protections mises en place.

Pourquoi les enfants sont-ils particulièrement vulnérables en ligne ?

Certains phénomènes tendent à rendre les enfants particulièrement vulnérables à la violation ou à la manipulation de leur vie privée et de leurs données personnelles. Parmi ces phénomènes, on peut citer la connectivité accrue des services et des produits destinés aux enfants, connus sous le nom d’internet des jouets (« The Internet of Toys »). Les jouets et les articles portables (“wearables”) destinés aux enfants collectent une quantité importante d’informations personnelles grâce à l’utilisation de caméras, de capteurs vocaux, de la géolocalisation, du bluetooth, etc. Le phénomène du Sharenting — un néologisme issu des mots « partager » (« share ») et « parent » — fait référence à l’utilisation excessive des réseaux sociaux par les parents pour partager des photos ou des informations concernant leurs enfants. L’extension de la technologie destinée aux enfants en dehors de la maison pour toucher les écoles et même les établissements de santé peut présenter certains risques si les droits des enfants ne sont pas respectés. La mise en données de l’enfance, ou l’utilisation d’informations provenant du corps et du comportement des enfants à des fins d’exploitation commerciale, peut menacer leur développement et leur avenir. Comme pour les adultes, l’exploitation des données peut entraîner un profilage et un biais algorithmique. En outre, pour les enfants, une bonne réputation en ligne est importante pour leur réussite future dans les environnements éducatifs et professionnels.

Les enfants naissant dans un environnement numérisé ont beau être des « enfants du numériques », ils ne reçoivent pas forcément la formation nécessaire pour maîtriser leurs droits dans ces espaces. La culture numérique est un concept encore en construction, qui ne tient pas compte de nombreux aspects qui impactent l’expérience numérique des enfants, comme le ciblage-personnalisé, les stratégies de conception qui cherchent à influencer les comportements (“nudging”), ou la collecte et le traitement des données à caractère personnel.

Les cadres de protection des données des enfants en France sont-ils adéquats pour cette population ?

Le statut juridique de “mineur” est attaché à toute personne en France qui n’a pas atteint l’âge de 18 ans (16 ans s’il est émancipé). Sur le plan civil, “l’incapacité juridique du mineur” est un régime de protection visant à éviter l’abus de sa méconnaissance ou des engagements pris sans discernement. Le représentant légal de l’enfant, souvent ses parents, agit en son nom et pour son compte (article 382 du code civil et 388-1-1 du code civil). Par exemple, l’enfant ne peut pas s’engager dans un contrat sans l’accord de son représentant légal. Cependant, le mineur peut prendre certaines décisions sans le consentement de son représentant : cette capacité “exceptionnelle” du mineur lui permet d’accomplir « les actes courants autorisés par la loi ou l’usage, pourvu qu’ils soient conclus à des conditions normales » (articles 1148 et 1149 du Code civil).

Dans le monde numérique, la protection de l’enfant est renforcée par le règlement général sur la protection des données (RGPD) dans son article 8. Le RGPD complète la définition de consentement inscrite dans la loi Informatique et Libertés, en précisant notamment les critères de validité du consentement. Le RGPD fixe la « majorité numérique » à 16 ans, en autorisant les États-membres à l’abaisser jusqu’à 13 ans. L’âge retenu en France est 15 ans. En France, le traitement des données personnelles fondé sur le consentement par les réseaux sociaux et les plateformes numériques (les services de la société de l’information) sans l’autorisation d’un représentant légal, est donc seulement légal a partir de 15 ans, âge auquel les enfants peuvent s’inscrire à des services de réseaux sociaux sans accord parental. Par ailleurs, le RGPD exige que les informations destinées aux mineurs soient exprimées dans les termes clairs et facilement compréhensibles, et il insiste sur le fait que les mineurs bénéficient du droit de rectification et du droit à l’oubli.

Cependant, des inquiétudes existent quant à l’application du RGPD. Le rapport de juin 2019 du Groupe d’experts multipartite de la Commission européenne a souligné plusieurs problèmes liés à la mise en œuvre pratique de son article 8. Il n’est pas toujours clair si le consentement des parents ou des enfants est nécessaire, ce qui risque de priver les enfants des services internet. Le groupe d’experts a également demandé des clarifications en ce qui concerne la vérification de l’âge et le motif légal nécessaire au traitement des données relatives aux enfants.

Avant l’entrée en vigueur du RGPD, la loi fédérale américaine COPPA s’applique déjà aux enfants utilisant des plateformes américaines aux États-Unis et à travers le monde. La COPPA offre certaines protections aux enfants de moins de 13 ans quant à leurs données personnelles. Par ailleurs, les principaux textes qui cherchent à assurer la protection des données personnelles sont : la Convention n° 108 du Conseil de l’Europe, les directives 95/46/CE et 2002/58/ CE du Parlement européen et du Conseil, et la loi n° 78-17 du 6 janvier 1978 (qui a été ensuite modifiée en 2004 en encore en 2011). Toutefois, comme le souligne le Défenseur des droits en 2012, ces règlements ne prévoient pas de protection renforcée pour l’enfant. Les inquiétudes du Défenseur des droits en 2012 ressemblent à celles partagées aujourd’hui par rapport au RGPD :

“Le recueil du consentement parental, qui devrait – ce que ne précise pas la loi Informatique et Libertés – être systématiquement recueilli en cas de collecte de données personnelles concernant un enfant, après une information claire et adaptée à l’âge de celui-ci, est techniquement complexe. En effet, il est difficile de s’assurer que l’enfant a réellement reçu l’autorisation de ses parents avant de s’inscrire sur un site Internet (réseau social, jeux en ligne, etc.). Par ailleurs, la communication de l’autorisation, le cas échéant, est fastidieuse (envoi d’un document écrit scanné). Certains sites présument donc le consentement obtenu lorsque l’enfant s’inscrit et se réservent le droit d’en demander une copie écrite à tout moment, et d’annuler l’inscription si l’enfant n’est pas en mesure de la donner.”

La notion de consentement a-t-elle besoin d’une mise à jour ?

Les cadres juridiques visant à protéger les données des enfants et, partant, leur vie privée et leur sécurité reposent sur la notion de consentement,  qui elle-même repose sur la notion de maturité, ou sur la capacité des enfants à éviter l’abus de leur ignorance ou les engagements inconsidérés. Or, la maturité en matière de services numériques est un concept variable et difficile à mesurer. L’écart de maturité entre l’âge de 13 et 15 ans pourrait être considéré comme important. La notion de consentement est également variable : l’internet des objets (jouets compris) et le déploiement de smart technologies dans les espaces publics nous obligent à donner de plus en plus fréquemment notre consentement à une gamme croissante de services sur internet et “hors ligne”. Alors que les enfants sont amenés à prendre de plus en plus de décisions en ligne, avec des implications de plus en plus importantes, notre conception de la maturité numérique et du consentement doit-elle évoluer en conséquence ? Le phénomène de Sharenting suscite des inquiétudes quant à savoir si le concept de consentement parental offre une protection suffisante aux enfants. Selon le Conseil de l’Europe, « lorsque les États prennent des mesures pour décider d’un âge auquel les enfants sont considérés comme capables de consentir au traitement de données à caractère personnel, leurs droits, leurs opinions, leur intérêt supérieur et leurs capacités de développement doivent être pris en considération. Cela doit être suivi et évalué en tenant compte de la compréhension réelle des enfants sur les pratiques de collecte de données et les développements technologiques« . La notion de consentement devrait donc se fonder à la fois sur les capacités des enfants et sur la technologie.

Certains, notamment la philosophe Helen Nissenbaum, s’opposent à l’idée de consentement, parce qu’il est difficile de comprendre précisément ce à quoi on donne son consentement sur internet. Par exemple, il est difficile de cerner la manière exacte dont nos données seront traitées et utilisées, et ce que cela impliquerait concrètement. Si seulement 7 Français sur 10 lisent les conditions d’utilisation avant d’accepter les services en ligne, peut-on s’attendre à ce que les enfants fassent beaucoup mieux, avec des connaissances juridiques plus limitées et un statut plus particulier ? L’existence des CMPs, ou « plateformes de gestion des consentements », des services tiers à qui les sites web peuvent externaliser la conception de leurs pages de consentement afin de respecter les règles de RGPD en maximisant la conservation des données, révèle d’autres façons dont le RGPD peut être délibérément contourné. Helen Nissenbaum pense que le modèle actuel de respect de la vie privée fondé sur le consentement a échoué, entraînant le phénomène de « privacy fatigue » que nous connaissons aujourd’hui. Elle propose une approche “post-consentement” de la vie privée, basée sur ce qu’elle appelle « l’intégrité contextuelle » : dans certains cas, selon elle, la société doit intervenir dans la circulation de l’information — dans les cas où des personnes pourraient accepter certains flux d’informations qui leur sont nuisibles. Dans l’intégrité contextuelle, la protection de la vie privée doit être assuré par des flux d’informations appropriés, qui tiennent compte de la personne concernée, de l’expéditeur, du destinataire, du type d’information et de la transmission. La protection de la vie privée se fonde sur des questions éthiques qui évoluent dans le temps. Pour Helen Nissenbaum, l’idée d’intégrité contextuelle s’applique aussi bien aux enfants qu’aux adultes.

Que fait-on pour renforcer les droits de l’enfant en ligne ?

L’éducation à l’économie des données est essentielle à la maîtrise de ses droits et à la protection de sa vie privée. De nombreuses initiatives existent. L’association e-Enfance est l’un des pionniers dans la protection des enfants sur internet en France. Sa publication « Réfléchissez avant de partager », en collaboration avec Facebook et MediaSmarts, est un exemple de leur travail dans ce domaine ; d’autres se trouvent sur leur site.

L’ONG 5Rights au Royaume-Uni lutte pour faire progresser la protection des enfants en ligne. Elle dirige actuellement la réponse du Royaume-Uni à l’examen de la COPPA. 5Rights a également mis en place une Commission de littératie des données (“Data Literacy Commission”) réunissant des jeunes internautes afin d’identifier les expériences, les inquiétudes, les opportunités et les préoccupations communes quant à leur environnement numérique.

En 2018, en anticipation de l’entrée en vigueur du RGPD, Renaissance Numérique, avec l’Ifop, a réalisé une enquête auprès d’un échantillon des français. Lorsqu’on leur a demandé  ce qui pourrait renforcer leur confiance en matière de protection des données personnelles, seul 12 % des répondants ont indiqué une formation sur leurs droits, tandis que 36 % ont indiqué « une meilleure information de la part des services captant [leurs] données personnelles sur l’utilisation faite de ces données ». Cette étude a été menée auprès de personnes de plus de 18 ans, mais elle pourrait avoir une résonance concernant le défi de la protection des données des mineurs. En effet, si Helen Nissenbaum a raison de dire que le consentement n’est plus un concept suffisant, nous devrions suivre de près des initiatives telles que l’adoption du Age Appropriate Design Code au Royaume-Uni, qui remet en question l’architecture de nos espaces en ligne et  porte la responsabilité sur les services plutôt que sur les citoyens.

Sur le même sujet