Si vous avez déjà utilisé un service en ligne nécessitant la confirmation de votre âge, vous avez probablement conscience que ces restrictions ne sont généralement pas adaptées. En effet, il vous suffit de cocher une case ou fournir votre date de naissance. Aucune preuve n’est requise et personne ne vous contacte afin de vérifier ces données.
Jusqu’à récemment, personne ne semblait être particulièrement affecté par ces pratiques laxistes. Cependant, la mise en application du Règlement Général Européen sur la Protection des Données (RGPD) a changé cela. Le Règlement met en place des règles claires concernant les limites d’âge et les sanctions en cas de violations des règles sont strictes – les violations les plus sérieuses pouvant engendrer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global (selon le montant le plus élevé).
Quelles sont les règles du RGPD ?
Les individus ne peuvent donner leur consentement que s’ils sont au-dessus de l’âge limite. Le RGPD permet aux Etats membres de mettre en place leur propre limite, sous réserve que cette limite soit entre 13 et 16 ans. Par exemple, le Royaume-Uni et l’Espagne ont choisi la limite de 13 ans, l’Allemagne et l’Irlande s’en tiennent à 16 ans alors que la France opte pour 15 ans.
Si une organisation souhaite collecter les données d’une personne plus jeune, le consentement doit être données par une personne ayant la « responsabilité parentale ». L’organisation doit également « s’efforcer raisonnablement de vérifier » que la personne fournissant le consentement est en effet une figure parentale.
Il convient de se rappeler que, tout comme pour les adultes, le consentement des mineurs n’est une option que pour les organisations souhaitant obtenir des données personnelles. Il existe 6 raisons légitimes au traitement des données et le consentement est généralement considéré comme la moins stable. Il ne devrait donc être utilisé que si aucune autre raison n’est applicable.
Contourner les exigences de consentement
De nombreuses personnes se demanderont sûrement si le RGPD changera réellement les choses. En effet, il est difficile de réguler les restrictions liées à l’âge en ligne ; c’est pourquoi il n’existe pas encore de solution plus efficace que de simplement demander à la personne de confirmer son âge. Le RGPD ne fournit pas de réponse à cette question et les organisations se retrouvent donc dans la même situation qu’avant à ce sujet. Elles sont peut-être même dans une situation plus compliquée qu’avant car, si elles se retrouvent victimes d’une violation de données concernant les informations de mineurs et qu’il est prouvé qu’elles utilisaient le consentement comme raison de collecte des données, elles pourraient faire face à des mesures règlementaires.
Mais le rôle du RGPD n’est pas de fournir des réponses. Son rôle est de protéger les données personnelles des individus et ses règles concernant l’âge limite de consentement mettent en avant la difficulté que cela représente.
Comme avec de nombreuses de ses règles, l’élément clé de sécurité est de vous demander pourquoi vous devez collecter des données personnelles. Si vous pouvez utiliser une autre raison légitime à la collecte des données vous n’aurez plus à vous soucier des exigences liées au consentement. Vous devriez également vous demander si vous avez réellement besoin de ces données car vous pourriez découvrir que les risques associés à la collecte de ces données sont trop importants vis-à-vis des bénéfices que vous pouvez en tirez.
Exceptions
Il existe deux situations lors desquelles il n’est pas requis de justifier d’une raison légitime au traitement des données. Les mineurs contrôlent pleinement leurs données personnelles collectées « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». Cela signifie que, par exemple, si un enfant confie à l’un de ses professeurs qu’il est maltraité, l’école n’a pas besoin de l’accord parental afin de signaler cela aux autorités.
Il n’est pas non plus nécessaire pour les enfants de fournir leur consentement s’ils ne peuvent exercer leurs droits de protection des données. Une figure parentale sera alors responsable.
Etes-vous conformes au RGPD ?
Le RGPD est un règlement compliqué et le consentement et les droits des personnes concernées n’en représentent qu’une petite partie.
Vous souhaitez en savoir plus sur le RGPD ? Consultez notre Livre Vert gratuit sur le Règlement Général Européen sur la Protection des Données – Guide de conformité.
Ce Livre Vert gratuit vous fournit une introduction aux changements clés mise en place par le RGPD et aux méthodes de mise en conformité.
