07/03/17

Traitement des données personnelles de l’enfant et e-commerce : les apports du règlement européen

holding privacy settings smartphoneLe Règlement Européen n°2016/679 du 27 avril 2016 réformant le droit européen de la protection des données à caractère personnel (ci-après le « RGPD ») consacre un article aux règles protectrices des données de « l’enfant » (article 8 du RGPD). Cet article met notamment en lumière la difficulté pour le secteur du e-commerce de s’assurer de la qualité de l’utilisateur.

L’article 8 du RGPD encadre le traitement des données personnelles d’enfants.

Il prévoit notamment qu’il est nécessaire de recueillir le consentement « du titulaire de la responsabilité parentale de l’enfant » lorsque l’enfant est âgé de moins de 16 ans.
Dans ce cas, le professionnel « s’efforce raisonnablement » de s’assurer de la qualité de « titulaire de la responsabilité parentale ».

A compter du 25 mai 2018, les professionnels du e-commerce devront donc identifier (i) les utilisateurs « enfant » et (ii) les titulaires de l’autorité parentale sur ces utilisateurs « enfant ».

La notion « d’enfant »
Une nouvelle fois, la règlementation européenne utilise la notion d’enfant sans la définir.
Le texte semble néanmoins renvoyer à la définition de la Convention internationale relative au droit de l’enfant de 1989 : « tout être humain âgé de moins de dix-huit ans, sauf si la majorité est atteinte plus tôt en vertu de la législation qui lui est applicable. »

En effet, selon l’article 8 du RGPD l’enfant peut être âgé de « moins de 16 ans » ou « de plus de 16 ans » et est soumis à un « titulaire de la responsabilité parentale ».

Par analogie, il est donc permis de considérer que « l’enfant » correspond à la notion de « mineur non émancipé » en droit français, soit toute personne physique âgée de moins de 18 ans et n’ayant pas fait l’objet d’une décision d’émancipation du juge des tutelles.

L’obligation d’identifier le « titulaire de l’autorité parentale »
Le texte prévoit que les professionnels devront s’efforcer « raisonnablement de vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».

La formule employée ne fait (heureusement) peser sur les professionnels qu’une obligation de moyens. Il s’agit malgré tout d’une zone de risque et de mise en responsabilité.

Les autorités de contrôle et les juges devront apprécier les mesures mises en œuvre au regard « des moyens technologiques disponibles » sans que cette notion ne soit règlementairement définie.

Le RGPD formalise donc les règles permettant de sécuriser les traitements de données personnelles « d’enfants », et invite les professionnels à une réflexion technique et juridique sur le degré de risque. Réflexion d’autant plus nécessaire que le Règlement leur impose un devoir de précaution renforcé dans la mise en place de ces traitements (par exemple études d’impact, préalables, minimisation des effets attentatoires aux droits des personnes concernées…)

A défaut, et outre les sanctions pécuniaires prévues par le RGPD (jusqu‘à 4% du chiffre d’affaires mondial HT), les professionnels s’exposent à un véritable préjudice d’image.

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Propriété intellectuelle et Technologies de l’information : Lettre d’information janvier 2017
Découvrez notre série de la rentrée : « LES EXPERTS : Données personnelles »


Mots-clés : , , , , , , , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *