Si la notion de consentement est toujours source de débats, elle est le plus souvent associée à l’âge à partir duquel une personne peut effectivement être en mesure de consentir. Cela a évidemment été le cas lorsqu’il a été question de décider l’âge à partir duquel un mineur peut être considéré comme consentant s’agissant de l’offre de services sur internet (commerce électronique, inscriptions en ligne à des évènements, ouverture de profils sur les réseaux sociaux, par exemple) où l’âge de la majorité fait l’objet de dispositions spécifiques.
Selon le RGPD, lorsque le traitement est fondé sur le consentement « en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. » En dessous de cet âge, le traitement n’est licite que « si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant[1]. »
Si cette règle est relativement simple : en dessous de 16 ans, un mineur doit obtenir le consentement de ses parents, la problématique réside dans le fait que le RGPD laisse une marge de manœuvre aux États membres, en leur permettant d’abaisser cette limite d’âge, à condition de ne pas descendre en dessous de 13 ans[2]. C’est ce que la France a fait dans le nouvel article 7-1 de la loi informatique et libertés modifiée qui dispose : « un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans » pour ensuite préciser que « lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur[3]. ».
Si la France s’est arrêtée sur l’âge de 15 ans, au Royaume-Uni, en Irlande ou encore en Espagne, l’âge retenu a été 13 ans quand l’Allemagne a retenu de son côté les 16 ans réglementaires.
Une interrogation pratique qui se pose est celle de la manière dont les différences d’âges constituant le seuil de la minorité numérique sont prises en compte dans un groupe international d’entreprises, au sein d’une base de données reprenant le consentement de chaque mineur, quelle que soit sa localisation.
D’un point de vue technique, une complexité de taille surgit : il est très difficile d’harmoniser l’âge minimum des mineurs figurant dans la base de données globale d’un groupe. En effet, comment gérer l’envoi d’un emailing d’information ou d’une newsletter alors que l’âge minimum pour l’octroi du consentement est différent selon les pays ?
Il est habituellement conseillé aux groupes d’entreprises de se conformer à chaque législation nationale applicable à chaque entité en tenant compte du lieu de situation de la personne concernée, ce qui nécessite des développements informatiques supplémentaires dans chaque entité du groupe.
Un tel chantier nécessite en pratique un certain nombre d’actions complexes : la distinction des consentements par pays pour chaque filiale, une transmission des consentements au sein de la maison mère dans le cas où une filiale collecte un consentement d’une personne concernée non ressortissante du pays où la filiale est établie, la programmation d’algorithmes pour déterminer quelles personnes concernées peuvent bénéficier des emailings dans quels pays, etc.
Une autre question posée à travers la minorité numérique renvoie au consentement obtenu grâce à l’accord du représentant légal. Pour rappel, les mineurs âgés de 13 à 16 ans selon les pays, doivent voir leur représentant légal donner son autorisation au consentement fourni par ces derniers, directement ou via leur accord, pour que le traitement de données personnelles soit licite.
Quel que soit le moyen choisi, l’entreprise se retrouve face à une difficulté relative à la vérification de l’identité du représentant légal. A travers un formulaire en ligne, il est impossible d’avoir la certitude que les informations nécessaires ont bien été données par le représentant du mineur. C’est pourquoi on pourrait imaginer par exemple que les entreprises programment l’envoi d’un email automatique pour chaque formulaire dont la rubrique dédiée au représentant légal a été complétée, le but étant de procéder à une vérification d’identité marquée par une réponse obligatoire de sa part.
Les entreprises ne doivent enfin pas occulter la possibilité ouverte aux mineurs de demander la suppression de leurs données personnelles. En effet, le droit de suppression de données lorsque la personne concernée a consenti au traitement alors qu’elle était enfant est considéré par le RGPD comme « pertinent » lorsqu’elle n’était pas « pleinement consciente des risques inhérents au traitement (…) en particulier sur l’internet »[4]. Devenue adulte, ou tout au moins ayant atteint l‘âge de la majorité numérique, la personne concernée doit pouvoir exercer ce droit sans difficulté.
Si en application de la conformité RGPD, la personne concernée a le droit de retirer son consentement à tout moment[5], la gestion de ce retrait de consentement peut s’avérer très problématique pour les entreprises.
Retirer son consentement est un droit reconnu dans le RGPD et doit d’ailleurs faire l’objet d’une mention spécifique dans l’information fournie aux personnes concernées lorsque le traitement a pour base légale le consentement, que la collecte des données soit faite de manière directe ou indirecte.[6]En pratique, il s’avère que les entreprises peuvent être réticentes à le préciser dans la mesure où, dans la plupart des cas, il n’est pas dans leur intérêt que ce consentement soit retiré.
De manière purement opérationnelle, la gestion de ce retrait de consentement implique la mise en place de processus précis et parfois très chronophage : si l’utilisation de solutions informatiques, comme la création d’une « liste de rejet » dans une base CRM par exemple, est techniquement envisageable, cela peut aussi impliquer le retrait manuel de dizaines de personne d’une liste de diffusion envoyée par courrier électronique.
Il est en revanche entendu, et confirmé par le texte, que le retrait de ce consentement ne porte que sur l’avenir et est sans incidence sur la licéité du traitement de données à caractère personnel fondé sur ce consentement et effectué avant le retrait de ce dernier[7]. A condition, bien sûr, que ce consentement ait été recueilli de manière licite au départ[8]. A titre d’exemple, si un client retire son consentement à recevoir la newsletter de l’entreprise, ce retrait n’a pas d’incidence sur toutes les newsletters envoyées avant sa désinscription, mais l’entreprise ne sera plus autorisée à lui en envoyer.
Sans revenir sur les questions abordées précédemment, la problématique de la gestion du retrait des consentements obtenus alors que la personne concernée était mineure mérite quand même d’être soulevée. En effet, s’agissant de l’autonomie de la personne concernée à avoir un contrôle total sur le traitement, il est établi que lorsque le consentement a été donné, ou autorisé par un titulaire de la responsabilité parentale pour un enfant, ce consentement doit pouvoir être confirmé, modifié ou retiré une fois que cet enfant a atteint l’âge minimum de consentement numérique[9].
L’entreprise peut donc tout à fait fonder son traitement sur un consentement donné par un parent pour son enfant âgé de moins de 15 ans, base juridique tout à fait valable, mais doit s’attendre à ce que l’enfant, une fois l’âge minimum de consentement numérique atteint, puisse retirer ledit consentement par lui-même. Pour une conformité plus poussée, l’entreprise pourra envisager de revalider de façon proactive le consentement avec la personne concernée une fois que cette dernière a atteint l’âge requis.
Fidèle à sa logique de protection de la personne concernée dans un monde toujours plus numérique, le RGPD force donc ici les entreprises à se pencher sur le consentement des mineurs qui, bien qu’un véritable casse-tête opérationnel, a quand même le mérite d’éviter bien des dérives.
Nous vous proposons d’aller plus loin avec la lecture de cet article : anonymiser et conserver les données.
– Kimberley Lobry
Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
[1]Article 8.1 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[2]Article 8.1 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[3]Article 7-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée
[4]Considérant 65 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[5]Article 7.3 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[6]Articles 13.2 c) et 14.2 d) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[7]Article 7.3 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[8]Considérant 171 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[9]Lignes directrices sur le consentement au sens du Règlement 2016/679 du 28 novembre 2017, révisées le 10 avril 2018 (WP259)