Les enfants issus de la génération Z multiplient leur présence sur les réseaux sociaux en se construisant une véritable « autobiographie virtuelle ». Leurs données personnelles représentent une vraie mine d’or. Le règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018 consacre une « protection spécifique » (1) aux mineurs en matière de protection des données à caractère personnel. Cette protection spécifique trouve à s’appliquer notamment dans le cadre des traitements réalisés à des fins marketing. Compte tenu de leur vulnérabilité face aux enjeux que représentent leur exposition, il paraissait évident de leur consacrer des dispositions davantage protectrices.
Le consentement des mineurs dans le cadre du traitement de leurs données personnelles
A la lecture du règlement, on remarque que les mineurs sont désignés sous le terme plutôt large d’« enfants ». L’article 8 du RGPD relatif aux conditions applicables au consentement du mineur concerne les traitements dans le cadre des « services de la société de l’information ». Il s’agit des services en ligne prestés contre rémunération notamment ceux fournis dans le cadre du commerce électronique conformément à l’article 1er de la directive 2015/1535 du 9 septembre 2015. Toutefois, la doctrine tend à inclure les réseaux sociaux parmi ces services.
Le règlement fixe à 16 ans l’âge auquel le mineur peut consentir aux finalités du traitement sans l’autorisation du titulaire de la responsabilité parentale. En revanche, pour les enfants âgés de 13 à 16 ans, le représentant légal de l’enfant doit donner ou autoriser le consentement pour que le traitement soit licite. Le responsable du traitement doit vérifier par la suite que cette étape a bien été effectuée « compte tenu des moyens technologiques disponibles ». Néanmoins, la formulation reste vague et le texte ne fournit pas davantage de précisions quant aux moyens technologiques en question.
Toutefois, les législations des Etats membres peuvent prévoir un âge inférieur à 16 ans sans descendre en deçà de 13 ans. Le gouvernement français a décidé de fixer la majorité numérique à 16 ans.
En outre, cette protection spécifique se traduit également à travers la mise en œuvre du principe de transparence. Toute information relative à une collecte de données à caractère personnel doit être lisible et accessible par l’enfant, et ce dans « des termes clairs et simples que l’enfant peut aisément comprendre » (2).
Le droit à l’oubli des mineurs
L’article 17 du RGPD prévoit pour toute personne l’exercice d’un “droit à l’effacement” de ses données personnelles auprès du responsable du traitement qui aura pour obligation d’exécuter la demande « dans les meilleurs délais » sous réserve des exceptions prévues à l’alinéa 3. Le règlement a élargi les cas dans lesquels celui-ci peut être exercé. Le renvoi fait au paragraphe 1, f) vers l’article 8 du règlement suppose que les enfants bénéficieraient également de ce droit à l’effacement. Cependant, les multiples interprétations dont l’article a donné lieu méritent d’être tranchées. La mise en œuvre de ce droit pour les enfants reste donc à être définie clairement.
Une telle consécration dans le règlement permet de relancer le débat concernant l’effectivité de ce droit à la suppression des données. Au regard de la rapidité à laquelle circulent les informations, l’exercice de ce droit peut parfois s’avérer vain. De même, le responsable de traitement qui reçoit une demande d’effacement se doit de notifier au tiers également détenteur de ces données personnelles pour qu’il les efface. Ainsi, le droit à l’oubli ne doit pas non plus amener les enfants à diminuer leur vigilance quant aux contenus qu’ils publient. Il est essentiel de les sensibiliser et de les responsabiliser face aux enjeux de leur exposition sur le web.
(1) RGPD, considérant 38
(2) RGPD, considérant 58

A propos de Kahina OUAMRANE