Editeurs de sites pour enfants : n’oubliez pas vos obligations !

02 septembre 2015

Vous proposez des sites ou des applications à destination d’enfants ou d’adolescents. Quelles précautions prendre lors de la collecte des données de mineurs, comment les informer ? Suivez les conseils de la CNIL.

Quelles précautions prendre dans la collecte des données ?

Attention à ne pas en demander trop ! Vous devez pouvoir justifier la collecte de toute donnée que vous demandez auprès d’un utilisateur, notamment dans le cadre de la création d’un compte en ligne.
Si, pour certaines données, la collecte se justifie par la finalité du service, pour d’autres, cette collecte n’est pas nécessaire. Exemple : « collecte d’une adresse électronique pour confirmer la création du compte ».

Comment informer ces jeunes utilisateurs ?

Les personnes dont vous collectez les données doivent être informées :

  • de l’identité du ou des destinataire(s) de ces données,
  • des finalités que vous poursuivez par leur collecte,
  • du caractère obligatoire ou non des réponses à apporter aux différents champs du formulaire,
  • ainsi que des droits dont elles disposent à l’égard de leurs données (notamment, les droits d’accès, de rectification et d’opposition).

Veillez à ce que cette information figure directement sur le formulaire, dans des termes clairs et ludiques, adaptés au public!

Exemple de formulation

« Nous conservons ces informations pour [finalité]. Ton nom d’utilisateur et ton mot de passe nous aident à [finalité]. Ton âge ou ton année de naissance nous permettent de [finalité]. L’adresse courriel de tes parents nous permet de [finalité, par exemple : tenir tes parents informés ou recueillir leur accord à l’utilisation de tes données].

Tu as le droit d’accéder et de rectifier tes données. Pour exercer ce droit et obtenir communication ou suppression des informations qui te concernent, écris-nous, avec l’aide de tes parents, à cette adresse: [contact en charge du droit d’accès]. »

Quels dispositifs de vigilance adopter face à un jeune public ?

Si les utilisateurs du service sont mineurs, il faut mettre en œuvre des dispositifs de vigilance adaptés, par des messages de sensibilisation, un contrôle de l’âge de votre utilisateur et une intervention des parents (par exemple, par le biais d’un contrôle parental).

Par ailleurs, il faut recueillir le consentement préalable des parents avant de :

  • Collecter des données dites « sensibles » (art. 8 de la loi « informatique et libertés »)
  • Collecter des photographies de mineur,
  • Et de céder ses données à des tiers à des fins de prospection commerciale par voie électronique ou postale.
Exemple de contrôle parental préalable à la collecte des données d’un enfant lors de la création d’un compte :
« Votre enfant ne peut pas s'inscrire seul, merci de nous indiquer votre adresse électronique : XXX »

Modèle de messages de sensibilisation aux enfants :
A la création d’un compte
« Plutôt que ton véritable prénom, choisis un pseudo dont tu peux facilement te souvenir.»

Sur les réseaux sociaux
« Ne communique jamais tes coordonnées (adresse, téléphone), ni celles de tes parents. »

Modèles de clauses relatives à la prospection commerciale à l’attention des parents :
« Si vous acceptez que votre enfant reçoive des propositions commerciales de nos partenaires par voie électronique, cochez cette case: »  

« Si vous ne souhaitez pas que ses coordonnées soient utilisées par notre société à des fins de prospection commerciale par voie postale, cochez cette case : »

Un droit à l’oubli pour les mineurs

L’article 40 modifié de la loi informatique et Libertés – au même titre que futur Règlement européen sur la protection des données - consacre un droit à l’oubli spécifique pour les mineurs. Un internaute âgé de moins de 18 ans au moment de la publication ou de la création d’un compte en ligne peut directement demander au site l’effacement des données le concernant et ce, dans les meilleurs délais. En pratique, si le responsable de traitement n’a pas effacé les données ou répondu à la personne dans un délai d’un mois, la personne concernée peut saisir la CNIL. Des exceptions existent, notamment dans le cas où les informations publiées sont nécessaires à liberté d’information, pour des motifs d’intérêt public ou pour respecter une obligation légale.

Mon site/mon application dépose des cookies, quelles sont mes obligations ?

L’éditeur d’un site ou d’une application mobile doit informer ses utilisateurs et recueillir leur consentement avant le dépôt sur leur ordinateur ou terminal de cookies ou tous autres traceurs à finalités publicitaire, de réseaux sociaux et, dans certains cas, de mesure d’audience.
Pensez à la bannière d’information dès l’arrivée sur la page d’accueil et attendez le choix de votre jeune utilisateur avant le dépôt des cookies !

 

 

Quelles formalités auprès de la CNIL ?

Un fichier de clients d’un site internet d’e-commerce peut faire l’objet d’une déclaration de conformité à la norme  n ° 48 (déclaration simplifiée).
Les dispositifs qui n’entrent pas dans le cadre de cette norme doivent faire l’objet d’une déclaration normale voire d’une demande d’autorisation (lutte contre la fraude).

Un site internet mis en œuvre par un particulier à titre privé est dispensé de déclarations (dispense 6).
La diffusion et la collecte de données à caractère personnel opérées à partir d’un site web dans le cadre d’activités professionnelles ou associatives restent soumises à une déclaration préalable auprès de la CNIL.

 

 

 

 

Voir aussi…

Le site de la CNIL et de ses partenaires pour l'éducation au numérique
Le site du Ministère des Affaires Sociales, de la Santé et des droits des Femmes et son espace « Famille »
Le site d’Internet sans Craintes
Le site de l’Autorité de régulation professionnelle de la publicité (ARPP) qui a adopté des recommandations concernant la publicité adressée aux enfants

 

 

Les textes de référence

La loi du 6 janvier 1978
Le code civil :
Article 9
Article 389-3
Article 1124 
Le code pénal : 
Articles 226-1 et suivants (protection de la vie privée). 
Articles 226-16 et suivants (atteintes aux droits des personnes résultant des traitements informatiques). 
Délibération de la CNIL
Norme simplifiée n°48
Délibération n° 2013-378 portant recommandation sur les cookies et autres traceurs
Le code des postes et des communications électroniques
Article L34-5 et R10-1

Les mots clés associés à cet article