Le réseau social Tik Tok, déjà condamné à une amende en 2019 pour conservation des informations personnelles d’utilisateurs mineurs, est à nouveau poursuivi par plusieurs groupes américains de défense des droits des mineurs et des consommateurs, pour non-respect du jugement de la Federal Trade Commission. En ce qui concerne les réseaux sociaux en France, quel est le cadre juridique pour la protection des données d’utilisateurs mineurs ? Tour d’horizon avec Gaëlle TOUSSAINT-DAVID, Avocate spécialiste en droit de la distribution et experte sur la thématique du Règlement Général sur la Protection des Données chez PwC Cabinet d’avocats.
MEDIA +
Que prévoit la loi en France sur les réseaux sociaux ? Quel cadre juridique pour la protection des données d’utilisateurs mineurs ?
GAËLLE TOUSSAINT-DAVID
La loi Informatique et Libertés – qui est le texte français de référence en matière de données personnelles – prévoit une distinction selon l’âge du mineur. Pour les moins de 15 ans, il est nécessaire d’avoir à la fois l’accord du mineur dont les données sont collectées, et celui de la personne qui est titulaire de l’autorité parentale sur ce mineur (parent, tuteur…). En revanche, si le mineur est âgé de 15 à 18 ans, il peut consentir seul au traitement de ses données personnelles, si ce traitement est effectué dans le cadre de services en ligne destinés aux mineurs et s’il repose sur le consentement (Ex/ utilisation des données pour de la prospection, pour du profilage…).
MEDIA +
Quelle définition apporte le Règlement Général sur la Protection des Données (RGPD) de mineurs sur les réseaux sociaux ?
GAËLLE TOUSSAINT-DAVID
La notion de données personnelles de mineurs sur les réseaux sociaux est identique à celle applicable aux majeurs et aux autres utilisations de ces données. En revanche, le RGPD prévoit que pour les réseaux sociaux, le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite que si l’enfant est âgé d’au moins 16 ans (cet âge pouvant être réduit par les Etats membres jusqu’à 13 ans, la France a choisi de fixer l’âge du consentement à 15 ans). Si le mineur est plus jeune, le RGPD prévoit que le traitement ne sera possible que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.
MEDIA +
Quel est le cadre juridique prévu par le RGPD en vue d’assurer la protection de ces données ?
GAËLLE TOUSSAINT-DAVID
En dehors de la question du consentement d’une tierce personne responsable du mineur, que nous avons vu plus haut, le RGPD prévoit, comme pour les autres données personnelles, différentes obligations à l’égard des personnes qui les collectent (dans notre cas, les entreprises exploitant les réseaux sociaux ou leurs partenaires, via les cookies, les publicités, les comptes et pages des membres du réseau social…). En particulier, les entreprises doivent limiter les données collectées à celles qui sont nécessaires. Elles ne peuvent pas utiliser les données pour d’autres usages que ceux acceptés par le mineur (et, selon l’âge, par la personne ayant l’autorité parentale), ni les transmettre à des tiers non mentionnés lors de l’autorisation. Elles doivent également sécuriser ces données et permettre au mineur (ou à la personne ayant l’autorité parentale) de retirer son consentement.
MEDIA +
Quelles sanctions peuvent-être attendues en cas de violation de ces données ?
GAËLLE TOUSSAINT-DAVID
La CNIL dispose d’un large panel de sanctions, notamment des sanctions financières (des injonctions pouvant aller jusqu’à 100.000 €/jour de retard, des amendes administratives allant jusqu’à 10 M€ ou 2% du chiffre d’affaires annuel mondial de la société concernée, notamment pour la violation de l’article 8 du RGDP relatif au consentement des mineurs sur les réseaux sociaux, ces deux derniers plafonds pouvant être doublés en cas d’infraction grave). La CNIL peut également limiter temporairement ou définitivement l’usage d’un traitement (Ex : interdiction d’utiliser le fichier contenant les données des abonnés du réseau social), retirer une certification, suspendre des flux de données. La publication de la sanction est également une des prérogatives de la CNIL, qui peut porter lourdement atteinte à l’image de marque du réseau social concerné.
MEDIA +
Comment protéger les données personnelles d’utilisateurs mineurs?
GAËLLE TOUSSAINT-DAVID
Plusieurs solutions de protection peuvent être mises en place par le réseau social, à commencer par l’interrogation de l’abonné sur sa qualité de mineur, notamment pour savoir s’il a moins de 15 ans, et pouvoir à ce moment-là solliciter un accord d’un parent ou tuteur pour l’inscription au réseau social. Des bonnes pratiques peuvent également être mises en place avec les partenaires du réseau (Ex/ régies publicitaires) pour garantir le respect des données personnelles des abonnés et plus particulièrement des mineurs.
MEDIA +
Quels sont les risques pour les utilisateurs mineurs liés à la détention de ces données par un réseau social ?
GAËLLE TOUSSAINT-DAVID
Les principaux risques auxquels s’exposent les mineurs dans de tels cas sont la diffusion d’informations les concernant à des tiers, soit via les contenus diffusés sur ces réseaux (vidéos, photographies) dans lesquels les mineurs peuvent apparaître, soit via leurs coordonnées et les informations de profilage que les réseaux sociaux ou leurs partenaires collectent sur le mineur, notamment à des fins commerciales.
MEDIA +
En quoi ce sujet est-il d’actualité ?
GAËLLE TOUSSAINT-DAVID
Le 21 avril 2020, la CNIL a lancé une consultation publique sur les droits des mineurs dans l’environnement numérique. Cette consultation publique prendra fin le 1er juin 2020. La CNIL publiera ensuite des recommandations pour clarifier le cadre applicable aux mineurs et proposer des conseils pratiques.
