Recommandation 8 : prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant
Renforcer les droits des mineurs devrait aussi se traduire par la mise en place de mesures de protection spécifiques, par et sur les sites, les services et les applications qu’ils sont susceptibles d’utiliser, et ce dès leur conception.
Plusieurs garanties ont été évoquées lors de la consultation publique organisée par la CNIL : elles correspondent pour beaucoup à des mesures proposées par les autorités britannique (ICO) et irlandaise (DPC) de protection des données, ou proviennent d’initiatives internationales (OCDE, Conseil de l’Europe notamment).
Elles ont en général été plébiscitées par les personnes ayant participé à la consultation publique, certaines réserves étant parfois émises en faveur d’une analyse de ces garanties fondée sur les risques, qui tienne compte de l’âge du mineur et de l’évolution de ses capacités.
Il s’agit pour la CNIL d’encourager, par voie de recommandations, les fournisseurs de service en ligne à adopter des bonnes pratiques ou à élaborer un code de conduite qui s’y conformerait. Elles ont également vocation à être prises en compte dans le cadre de l’approche design.
Ces recommandations ont vocation à être discutées avec l’ensemble des acteurs concernés. Compte tenu des initiatives convergentes en cours ou en projet au niveau européen, il pourrait enfin être envisagé de soumettre à termes ces recommandations au CEPD.
Les conseils de la CNIL
Mettre en place un paramétrage de confidentialité renforcée par défaut
Par exemple, celui-ci pourrait inclure une désactivation par défaut de tous les services supplémentaires qui ne relèvent pas du service de base. Ainsi, pour un site proposant des jeux en ligne, la création du compte et l’utilisation du service relèvent du service de base, tandis que l’option de géolocalisation relève a priori d’un service supplémentaire (par exemple, si elle permet au mineur de s’identifier sur la carte géographique des joueurs).
En pratique, la plupart des mineurs, comme les adultes d’ailleurs, ne modifient pas leur paramétrage par défaut. Les choix initiaux proposés par le concepteur du service sont donc déterminants.
Eviter le profilage des mineurs
Si le RGPD n’interdit pas de manière générale le profilage des mineurs, il souligne la nécessité d’une protection spécifique des mineurs. En effet, comme le soulignent les lignes directrices du Comité européen de protection des données (CEPD) sur le ciblage des utilisateurs des réseaux sociaux « le ciblage peut influencer la formation des préférences et des intérêts personnels des enfants, affectant finalement leur autonomie et leur droit au développement ». En outre, le RGPD souligne que les prises de décision automatique, sur la base du profilage, ne devraient pas concerner un enfant.
Cette approche fait largement consensus. Elle s’est exprimée dans la consultation publique menée par la CNIL, puisque 87 % des répondants se sont prononcés en faveur de la « désactivation par défaut des systèmes de profilage pour les mineurs ». Elle se reflète aussi dans les initiatives convergentes du « Code de l’âge » de l’ICO au Royaume-Uni et des « Principes fondamentaux » de la DPC en Irlande, qui ont entendu apporter des restrictions au profilage des mineurs en vue de le limiter aux cas où il pourrait effectivement servir l’intérêt supérieur de l’enfant.
Ce cantonnement du profilage aux cas où il permettrait la protection des mineurs correspond à certains arguments avancés par des acteurs économiques ayant répondu à la consultation publique. Ils ont insisté sur son potentiel rôle bénéfique, en particulier pour s’assurer que les mineurs ne reçoivent que des produits et services adaptés à leur âge, et qu’ils n’aient accès qu’à des contenus appropriés.
Éviter la réutilisation et la transmission à des tiers de données personnelles de mineurs à des fins commerciales ou publicitaires
Les observations générales de l’ONU affirment que les enfants doivent être « protégés contre toute forme d’exploitation portant atteinte à tout aspect de leur bien-être en relation avec l’environnement numérique. (…) En créant et en partageant des contenus, les enfants peuvent être des acteurs économiques dans l’environnement numérique, ce qui peut entraîner leur exploitation. ». En ce sens, elles enjoignent les États parties à veiller, par toutes mesures utiles, à protéger les enfants contre la marchandisation, et ainsi à sanctuariser l’enfance en relation avec l’environnement numérique.
Au regard des garanties spécifiques qui devraient être mises en place pour protéger l’intérêt supérieur de l’enfant, la CNIL invite les responsables de plateformes et services en ligne utilisés par des mineurs à :
- mettre en place un paramétrage de confidentialité renforcée par défaut ;
- prévoir une désactivation par défaut des dispositifs de profilage des mineurs, tout particulièrement à des fins de ciblage publicitaire ;
- ne pas réutiliser ou transmettre à des tiers des données de personnes mineures à des fins commerciales ou publicitaires, sauf s’ils sont en mesure de démontrer qu’ils agissent pour des raisons impérieuses liées à l’intérêt supérieur de l’enfant.
Découvrez les 8 recommandations de la CNIL
1 - Encadrer la capacité d’agir des mineurs en ligne
2 - Encourager les mineurs à exercer leurs droits
3 - Accompagner les parents dans l’éducation au numérique
4 - Rechercher le consentement d’un parent pour les mineurs de moins de 15 ans
5 - Promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant
6 - Renforcer l’information et les droits des mineurs par le design
7 - Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
8 - Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant
