Vie privée des enfants : une protection insuffisante sur les sites Internet

25 janvier 2016

29 autorités dans le monde ont mené un audit pour vérifier le respect des règles de protection de la vie privée par les sites internet consultés par les enfants. Cette opération montre que leurs données personnelles sont insuffisamment protégées.

Que ce soit pour jouer, apprendre, s’informer, bénéficier d’un soutien scolaire ou suivre les aventures de son personnage préféré, les enfants et adolescents passent beaucoup de temps sur Internet (en moyenne, par semaine, 3h40 de 1 à 6 ans, 5h30 de 7 à 12 ans, 13h30 de 13 à 19 ans en 2015) et le temps consacré à cette navigation augmente (plus d’une heure  par tranche d’âge entre 2012 et 2015) [1]. En mai dernier, 29 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne sur 1 494 sites et applications : l’Internet Sweep Day. La CNIL y a participé.

L’objectif était de vérifier si les sites et applications Internet consultés par les enfants et adolescents respectaient bien les règles de protection de la vie privée. Les vérifications effectuées ont porté principalement sur :

  • le type de données collectées,
  • le niveau d'information et l’adaptation de l’information aux utilisateurs (un mineur ou un adolescent peut-il comprendre ?)
  • la présence de mesures de vigilance ou de contrôle liées au jeune âge du public visé (quelles précautions particulières sont prises ?).

Tendances observées par la CNIL et ses homologues


La CNIL a examiné 54 sites internet consultés par les enfants et adolescents (la moitié des sites s’adressaient aux 7-12 ans, un quart aux moins de 7 ans, un quart aux plus de 12 ans). Ces sites couvraient différentes thématiques qui correspondent aux habitudes des jeunes publics [2]  : jeux, offres éducatives, réseau social, mais aussi accès à des chaînes tv, actualité web ou encore soutien scolaire.[3]

Ces vérifications font apparaître :

  • Une large collecte de données personnelles et peu de marge de manœuvre sur la suppression de comptes : 87 % (67% en moyenne pour les homologues) des sites examinés par la CNIL collectent des données personnelles (adresse IP, identifiant du terminal mobile, localisation), notamment à partir de la création obligatoire d’un compte utilisateur (nom, prénom, adresse électronique). Si pour certaines de ces données, la collecte est justifiée par le service proposé par le site, pour d'autres, cette collecte n’est pas nécessaire. Seuls 39% de ces sites offrent à leurs utilisateurs une manière simple de supprimer leur compte ;
  • Un défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données : 71% des sites examinés comportent une mention d’information relative à la collecte de données à caractère personnel et notamment aux  droits « informatique et libertés » des utilisateurs, mais seulement 33% adaptent l’information au jeune public visé et l’indiquent sur le formulaire rempli par l’enfant (ou son parent) ;
  • Une redirection courante vers des sites tiers, dont des sites marchands : sur 63 % des sites, les enfants peuvent être redirigés vers un autre site, y compris de type marchand, par un simple clic ; [4]
  • Le dépôt de cookies sans bandeau d’information, une pratique encore très courante : tous les sites examinés déposent des cookies sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil sans recueillir son consentement préalable et la plupart (63 %) sans l’apposition du bandeau d’information obligatoire.

Un point d’attention particulier : les mesures de vigilance et de contrôle parental liées au jeune public


Les vérifications effectuées montrent également que :

  • Trop de sites n’ont aucune mesure de vigilance : 62% de ces sites ne proposent aucune mesure de vigilance ou de contrôle parental à destination du jeune public (comme un message de sensibilisation ou l’envoi d’un courriel aux parents pour les informer de la collecte des données de leur enfant et leur demander leur accord).

  • La case de recueil de l’accord parental est la mesure la plus courante, mais est loin d’être généralisée : 18% des sites observés recueillent l’accord parental au moyen d’une case, 15 % introduisent une mesure de vérification de l’âge, 13 % incitent à la vigilance, 11% mettent en place un tableau de contrôle parental lors de la création du compte.

Les conseils de la CNIL à destination des gestionnaires de sites pour enfants et des parents


La CNIL publie deux fiches pratiques :

Les mesures prises par la CNIL à l’issue de cette campagne :

  • envoi d’un courrier aux éditeurs des sites pour enfants leur rappelant leurs obligations et les droits de leurs jeunes utilisateurs ; faute d’une mise en conformité de leur part, la CNIL se réserve la possibilité d’effectuer de nouvelles vérifications et, le cas échéant, d’engager des procédures de sanction ;
  • envoi d’un courrier aux associations de parents afin de les alerter sur les constats du Sweep day et construire avec eux une démarche de vigilance.

Sources

[1] Etude IPSOS, 2 avril 2015, pour Junior Connect, Bayard, Milan et Disney Hachette Presse. [2] Etude IPSOS, 2 avril 2015, pour Junior Connect, Bayard, Milan et Disney Hachette Presse. [3] Les sites et réseaux sociaux susceptibles d’êtres contrôlés simultanément par plusieurs autorités ont été exclus du Sweep Day. Comme pour le Sweep Day « cookies » du G29, la priorité a été donnée aux sites dont le responsable de traitement est établi sur le territoire français.  [4] Un enfant n’est en principe pas en âge de contracter en l’absence de son représentant légal. La pratique des liens HTML semble exploiter l’inexpérience/la crédulité des mineurs pour les amener à contracter, ce qui est contraire à la loi (décret n°92-280 du 27 mars 1992). L’Autorité de régulation de la publicité professionnelle (ARPP)  indique « lorsque le message sollicite directement les enfants et qu’il incite à une dépense, l’appel à y participer doit associer de façon explicite les parents » et le Conseil national de la consommation sur la publicité recommande de son côté que les « publicités diffusées dans les systèmes interactifs n’aient pas pour objet d’amener les enfants à contracter d’engagement sous quelque forme que ce soit sans l’accord des parents. Or, le Sweep a montré que trop souvent, l’enfant pouvait par un simple clic et sans information subsidiaire arriver sur ces sites.