L’agrément des mineurs sur internet : un véritable obstacle pour les organisations

J'acceptes!

Source de conflits depuis toujours, le consentement concerne en principe des personnes en âge légal de le donner. Cela est devenu plus compliqué quand il a fallu décider à partir de quel âge une personne peut consentir librement, notamment en ce qui concerne les offres sur internet. On peut citer par exemple les inscriptions aux événements, le commerce en ligne ou encore l’inscription sur les réseaux sociaux.

Le RGPD stipule qu’un traitement de données considéré comme légal, repose sur le consentement de l’utilisateur, s’il est âgé d’au moins 16 ans. Autrement, le traitement ne peut être considéré comme licite, sauf si un des parents de l’enfant a donné son consentement en son nom.

Certes, la règle semble simple en apparence, mais il existe des dérogations pour les États membres. En effet, ils peuvent, dans certains cas, réduire cette limite d’âge à 13 ans maximum. La France a adopté ce texte dans l’article 7-1 de la loi informatique et libertés : un mineur peut donner son consentement pour l’offre des services de la société d’information dès qu’il est âgé de 15 ans. A ce texte s’ajoute le fait que si le mineur est âgé d’au moins 15 ans, son consentement doit être joint à celui de son représentant légal.

  • En France, l’âge légal pour donner son consentement est de 15 ans
  • Au Royaume-Uni, en Espagne et en Irlande, il est de 13 ans
  • En Allemagne, l’âge légal limite est de 16 ans.

RGPD hors UE : la gestion de l’âge pour le consentement

Une question se pose quant à la façon dont les différences d’âge qui déterminent le seuil de minorité, sont prises en compte dans un groupe international d’entreprises, au niveau d’une base de données qui reprend le consentement de chaque personne mineure, où qu’elle se situe.

Techniquement, on distingue un problème : il n’est pas évident d’ordonner l’âge minimum des mineurs inscrits sur la base de données générale d’un groupe. En effet, comment gérer la façon dont on envoie un mail d’information, vu que l’âge minimum du consentement diffère selon les pays ? Le recours à un logiciel dpo est dès lors conseillé.

Les groupes d’entreprise doivent respecter la législation nationale en vigueur, tout en considérant le cas de la personne concernée. Cela nécessite des innovations informatiques supplémentaires dans toute entité de groupe.

Un tel procédé nécessite différentes actions :

Première étape

Distinguer les consentements par pays pour chaque filiale

Deuxième étape

Programmer des algorithmes pour savoir quelles personnes bénéficieront des emailings et dans quels pays.

Troisième étape

Transmettre des consentements dans la maison mère si une filiale recueille un consentement d’une personne physique concernée, mais qui n’est pas établie dans le pays où la filiale est située.

Dans tous les cas, utiliser un outil dpo contribuera à la protection de la vie privée.

L’acceptation du représentant légal

Une autre question se pose concernant l’accord donné par le représentant légal. Rappelons que dans les pays mentionnés plus haut, les mineurs âgés de 13 à 16 ans doivent avoir le consentement de leur représentant légal pour garantir un traitement légal de données à caractère personnel.

Quel que soit le moyen opté par l’entreprise, elle aura des difficultés à confirmer l’identité du représentant légal. Grâce à un formulaire en ligne, il est possible de savoir si ce dernier a fourni les informations utiles au consentement.

La destruction des données et le retrait de l’acceptation

Enfin, les entreprises ne peuvent pas empêcher les mineurs de retirer leur consentement s’ils le souhaitent. En effet, le droit au retrait du consentement figure dans le RGPD, notamment lorsque l’enfant était considéré comme peu conscient des risques auxquels il s’est exposé en choisissant de donner son consentement pour le traitement des données personnelles. Ce droit ne peut donc lui être refusé à l’âge adulte.

Les problèmes liés à la suppression du consentement

Par contre, le respect de ce droit est encore très complexe pour les entreprises. Le RGPD stipule qu’il doit être mentionné dans l’information fournie aux personnes concernées. Or, il n’est pas rare que les entreprises dérogent à cette règle, notamment lorsque cette mention ne joue pas en leur faveur. Ainsi, pour gérer ce retrait de consentement, un processus précis et chronophage doit être mis en place.

Les conséquences du retrait de consentement

Il faut noter que le retrait du consentement n’aura pas d’impact sur le caractère licite du traitement des données collectées réalisées sur sa base au départ. Toutefois, le problème de la gestion du retrait des consentements mérite d’être étudié. Au regard de l’autonomie du mineur sur le consentement, il doit pouvoir être confirmé, changé ou retiré lorsqu’il atteint sa majorité.

De ce fait, une entreprise peut réaliser des traitements de données personnelles en se basant sur les consentements donnés par les parents, mais doivent aussi s’attendre à ce qu’ils soient remis en question quand les mineurs atteindront leur majorité.

Le RGPD oblige donc les entreprises à se concentrer davantage sur le consentement des mineurs, même s’il est complexe car il peut avoir de nombreuses incidences.