L’article 8 du RGPD
“Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.
Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.
”
Globalement, toute activité économique fournie pour des enfants et en partie en ligne peut être visée par ce texte.
Gérer le consentement vis-à-vis des mineurs si vous travaillez dans différents pays ne va pas être simple.
Selon le RGPD, l’âge limite est de 16 ans, mais le règlement permet aux Etats membres d’ajuster cette limite entre 13 et 16 ans… Une fois encore pas de simplification.
Par exemple, le Royaume-Uni, l’Irlande ou encore l’Espagne devraient fixer cette limite à 13 ans, l’Allemagne et les Pays-Bas conserveraient les 16 ans et l’Autriche quant à elle opterait pour 14 ans.
Ce qui veut dire qu’il faut l’acceptation du Parent dans tous quasi cas ou vous travailliez avec des données d’enfants.
Vous avez aussi l’obligation dans le cas où vos services sont offerts directement à un enfant, de vous assurer que les clauses de confidentialité sont rédigées dans un langage clair et simple qu’un enfant pourra comprendre.
Sur le site de la CNIL il y a une discussion sur le sujet : https://www.cnil.fr/fr/sujet-de-discussion/comment-adapter-linformation-aux-enfants
Comment contrôler qu’un enfant ne se fait pas passer pour un parent ?
La formulation est ambiguë, ce qui fait que vous n’êtes soumis “qu’à” une obligation de moyen, mais vous devrez montrer que vous avez mis en place les bonnes pratiques de contrôle.
