Recommandation 7 : vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
La vérification de l’âge des mineurs et de l’autorisation parentale est une question complexe mais déterminante : comment protéger les mineurs si on ne parvient pas à les identifier ou à savoir qui exerce l’autorité parentale à leur égard ? Comment procéder à cette vérification sans remettre en cause le principe d’anonymat en ligne ?
Je mets des fausses données à cause de mes parents.
44 %
des 11-18 ans déclarent avoir déjà menti sur leur âge sur les réseaux sociaux.
(Source : Enquête Génération numérique « les pratiques numériques des jeunes de 11 à 18 ans », mars 2021)
Le constat : pas de « solution miracle » pour l’instant
S’agissant de la vérification de l’âge, l’étude comparative menée par la CNIL montre que les dispositifs existants ou envisagés sont généralement insatisfaisants à deux titres. Certains reposent sur une collecte massive de données personnelles et apparaissent dès lors difficilement conformes aux principes de protection des données (p. ex, reconnaissance faciale). D’autres, moins intrusifs, sont cependant inefficaces parce que trop aisément contournés par les mineurs (p. ex systèmes déclaratifs ou vérification par mail).
S’agissant de la vérification de l’autorisation parentale, il faut rappeler qu’en principe elle est exercée conjointement par les deux parents, quelle que soit leur relation (mariage, PACS, concubinage…), qu’ils vivent ensemble ou séparément. Cependant, il arrive qu’elle ne soit exercée que par un seul des parents, par exemple lorsque le juge en a décidé ainsi, en fonction de l’intérêt de l’enfant, lorsque les parents séparés n’arrivent pas à s’entendre sur les modalités d’exercice de l’autorité parentale. Comment identifier le parent dont l’accord doit être obtenu sans demander des informations intrusives ?
Face à ces constats et pour répondre à ces préoccupations, la Commission européenne a lancé un appel d’offres, afin d’étudier la faisabilité et la fiabilité d’une infrastructure technique interopérable dédiée à la mise en œuvre de mécanismes de protection de l’enfance, tels que la vérification de l’âge et l’obtention du consentement parental. Les mesures techniques devraient notamment s’appuyer sur l’utilisation des moyens d’identification électronique (eID) qui sont développés dans les différents États de l’UE. Ce projet devrait, par ailleurs, inclure la réalisation d’une cartographie des méthodes existantes de vérification de l’âge et d’obtention du consentement parental en distinguant les pratiques les plus pertinentes.
Ce que prévoient les textes
Le cadre juridique de l’analyse a été posé par le CEPD dans ses lignes directrices sur le consentement du 28 novembre 2017, révisées en 2018.
Elles indiquent que la nécessité de vérifier l’âge découle implicitement de l’article 8.2 du RGPD qui pose un seuil d’âge à partir duquel le mineur peut, dans certains cas, valablement consentir seul au traitement de ses données. Ainsi, elles rappellent que, dans le champ strict de cette disposition, , la vérification de l’âge et du consentement parental constitue une obligation de moyen pour le fournisseur de services en ligne, qui doit à cet effet fournir des « efforts raisonnables », « compte tenu des moyens technologiques disponibles ».
Elles insistent aussi sur la nécessité d’adopter une approche proportionnée, fondée sur une évaluation des risques encourus, et ce en application du principe de minimisation. La conformité de la solution doit être analysée à la lumière des technologies disponibles et en prenant compte la nature des traitements envisagés ainsi que les risques qui leur sont liés. Cette démarche, dans laquelle s’inscrit le positionnement de la CNIL, a été largement adoptée par les autorités de protection des données qui se sont penchées sur cette question. En ce sens, il convient par exemple de rappeler qu’au Royaume-Uni, l’ICO précise dans son « Code de l’âge » que si un service en ligne comporte peu de risques, une méthode purement déclarative peut être suffisante. Elle recommande par ailleurs d’éviter au maximum les identifiants robustes (passeports, cartes de crédit).
Les conseils de la CNIL
La CNIL considère que si des systèmes de vérification de l’âge et du consentement parental doivent être mis en place pour certaines applications et sites, il convient de préserver la capacité à naviguer en ligne librement, sans s’identifier, ce qui conduit à promouvoir des systèmes de vérification de l’âge et du consentement parental qui soient respectueux des règles suivantes :
Proportionnalité
La détermination par le responsable d’un service en ligne d’un système de vérification de l’âge devrait être fonction des finalités envisagées, des publics visés, des données traitées, des technologies disponibles et du niveau de risque associé au traitement. Ainsi, un dispositif fondé sur un système de reconnaissance faciale, devrait être jugé disproportionné.
Minimisation
Tout système devrait être conçu de façon à limiter le recueil des données personnelles à ce qui est strictement nécessaire à cette vérification et à ne pas conserver les données une fois la vérification effectuée. Ainsi, ces données ne devraient pas être utilisées à d’autres fins, notamment pour des utilisations commerciales.
Robustesse
Ces dispositifs de contrôle de l’âge devraient être robustes pour les pratiques ou traitements considérés comme à risque ( ciblage publicitaire des mineurs par ex.), Dans ces cas, devrait par exemple être exclu le recours à un système purement déclaratif.
Simplicité
La mise en place de solutions simples et faciles d’utilisation qui combinent à la fois la vérification de l’âge et celle de l’autorisation parentale pourrait être promue.
Standardisation
Des « standards industriels » et un programme de certification pourraient être promus afin d’assurer le respect de ces règles et de promouvoir des systèmes de vérification qui puissent être utilisés pour un grand nombre de sites et d’applications.
Intervention d’un tiers
Des systèmes de vérification de l’âge fondés sur l’intervention d’un tiers de confiance assurant un contrôle préalable de l’identité et de la qualité (l’attribution de l’autorité parentale) des personnes concernées pourraient être étudiés pour répondre aux exigences présentées ci-dessus.
Elle encourage et suivra avec intérêt les travaux qui sont et seront conduits pour mettre de telles solutions à disposition des éditeurs de service en ligne, en particulier les travaux initiés par la Commission européenne.
Découvrez les 8 recommandations de la CNIL
1 - Encadrer la capacité d’agir des mineurs en ligne
2 - Encourager les mineurs à exercer leurs droits
3 - Accompagner les parents dans l’éducation au numérique
4 - Rechercher le consentement d’un parent pour les mineurs de moins de 15 ans
5 - Promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant
6 - Renforcer l’information et les droits des mineurs par le design
7 - Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
8 - Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant
