Recommandation 7 : vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
La vérification de l’âge des mineurs et de l’autorisation parentale est une question complexe mais déterminante : comment protéger les mineurs si on ne parvient pas à les identifier ou à savoir qui exerce l’autorité parentale à leur égard ? Comment procéder à cette vérification sans remettre en cause le principe d’anonymat en ligne ?
Je mets des fausses données à cause de mes parents.
44 %
des 11-18 ans déclarent avoir déjà menti sur leur âge sur les réseaux sociaux.
(Source : Enquête Génération numérique « les pratiques numériques des jeunes de 11 à 18 ans », mars 2021)
Le constat : pas de « solution miracle » pour l’instant
S’agissant de la vérification de l’âge, l’étude comparative menée par la CNIL montre que les dispositifs existants ou envisagés sont généralement insatisfaisants à deux titres. Certains reposent sur une collecte massive de données personnelles et apparaissent dès lors difficilement conformes aux principes de protection des données (p. ex, reconnaissance faciale). D’autres, moins intrusifs, sont cependant inefficaces parce que trop aisément contournés par les mineurs (p. ex systèmes déclaratifs ou vérification par mail).
S’agissant de la vérification de l’autorisation parentale, il faut rappeler qu’en principe elle est exercée conjointement par les deux parents, quelle que soit leur relation (mariage, PACS, concubinage…), qu’ils vivent ensemble ou séparément. Cependant, il arrive qu’elle ne soit exercée que par un seul des parents, par exemple lorsque le juge en a décidé ainsi, en fonction de l’intérêt de l’enfant, lorsque les parents séparés n’arrivent pas à s’entendre sur les modalités d’exercice de l’autorité parentale. Comment identifier le parent dont l’accord doit être obtenu sans demander des informations intrusives ?
Face à ces constats et pour répondre à ces préoccupations, la Commission européenne a lancé un appel d’offres, afin d’étudier la faisabilité et la fiabilité d’une infrastructure technique interopérable dédiée à la mise en œuvre de mécanismes de protection de l’enfance, tels que la vérification de l’âge et l’obtention du consentement parental. Les mesures techniques devraient notamment s’appuyer sur l’utilisation des moyens d’identification électronique (eID) qui sont développés dans les différents États de l’UE. Ce projet devrait, par ailleurs, inclure la réalisation d’une cartographie des méthodes existantes de vérification de l’âge et d’obtention du consentement parental en distinguant les pratiques les plus pertinentes.
Ce que prévoient les textes
Le cadre juridique de l’analyse a été posé par le CEPD dans ses lignes directrices sur le consentement du 28 novembre 2017, révisées en 2018.
Elles indiquent que la nécessité de vérifier l’âge découle implicitement de l’article 8.2 du RGPD qui pose un seuil d’âge à partir duquel le mineur peut, dans certains cas, valablement consentir seul au traitement de ses données. Ainsi, elles rappellent que, dans le champ strict de cette disposition, , la vérification de l’âge et du consentement parental constitue une obligation de moyen pour le fournisseur de services en ligne, qui doit à cet effet fournir des « efforts raisonnables », « compte tenu des moyens technologiques disponibles ».
Elles insistent aussi sur la nécessité d’adopter une approche proportionnée, fondée sur une évaluation des risques encourus, et ce en application du principe de minimisation. La conformité de la solution doit être analysée à la lumière des technologies disponibles et en prenant compte la nature des traitements envisagés ainsi que les risques qui leur sont liés. Cette démarche, dans laquelle s’inscrit le positionnement de la CNIL, a été largement adoptée par les autorités de protection des données qui se sont penchées sur cette question. En ce sens, il convient par exemple de rappeler qu’au Royaume-Uni, l’ICO précise dans son « Code de l’âge » que si un service en ligne comporte peu de risques, une méthode purement déclarative peut être suffisante. Elle recommande par ailleurs d’éviter au maximum les identifiants robustes (passeports, cartes de crédit).
Les conseils de la CNIL
La CNIL considère que si des systèmes de vérification de l’âge et du consentement parental doivent être mis en place pour certaines applications et sites, il convient de préserver la capacité à naviguer en ligne librement, sans s’identifier, ce qui conduit à promouvoir des systèmes de vérification de l’âge et du consentement parental qui soient respectueux des règles suivantes :
Proportionality
When choosing an age verification system, online service providers should consider the proposed purposes of the processing, the target audiences, the data processed, the technologies available and the level of risk associated with the processing. A mechanism using facial recognition would therefore be disproportionate.
Minimisation
Any system should be designed to limit the collection of personal data to what is strictly necessary for the verification, and not retain the data once the verification has been completed. The data should not be used for other purposes, including commercial uses.
Robustness
Age verification mechanisms must be robust when they are for practices or processing that involves a risk (e.g. targeted advertising for children). For these cases the use of self-declaration methods alone should be avoided.
Simplicity
The use of simple and easy-to-use solutions that combine verification of both age and parental consent could be encouraged.
Standardisation
"Industry standards" and a certification programme could be encouraged to ensure compliance with these rules and to promote verification systems suitable for a wide range of websites and apps.
Third party intervention
Age verification systems based on the intervention of a trusted third party who can check a data subject's identity and status (attribution of parental authority) could be investigated in order to meet the requirements as described above.
Elle encourage et suivra avec intérêt les travaux qui sont et seront conduits pour mettre de telles solutions à disposition des éditeurs de service en ligne, en particulier les travaux initiés par la Commission européenne.
Découvrez les 8 recommandations de la CNIL
1 - Encadrer la capacité d’agir des mineurs en ligne
2 - Encourager les mineurs à exercer leurs droits
3 - Accompagner les parents dans l’éducation au numérique
4 - Rechercher le consentement d’un parent pour les mineurs de moins de 15 ans
5 - Promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant
6 - Renforcer l’information et les droits des mineurs par le design
7 - Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
8 - Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant