Afficher les considérants du Règlement liés à l'article 8 keyboard_arrow_down
Cacher les considérants du Règlement liés à l'article 8 keyboard_arrow_up
(38) Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant.
(47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection commerciale peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 8.
Le GDPR
D’après le considérant 38 du Règlement, les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Sont en particulier concernées l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et la collecte de données relatives aux enfants lors de l'utilisation de services fournis directement à un enfant.
Dès lors, l’article 8 du Règlement prévoit que le traitement des données relatives à un enfant dans le cadre de l’offre directe de services de la société de l’information (cfr. l’article 1er §2 de la Directive 98/34EC du 22 juin 1998) est licite à l’égard des enfants âgés de 16 ans au moins. En dessous de 16 ans, le responsable doit obtenir le consentement au traitement du titulaire de la responsabilité parentale.
Le Règlement permet toutefois aux Etats membres d’autoriser le traitement des données relatives à un enfant âgé de moins de 16 ans pour ces finalités sans l’autorisation du titulaire de la responsabilité parentale, pour autant que cet âge ne soit pas inférieur à 13 ans.
En d’autres termes, les enfants âgés de moins de 16 ans devront obtenir l’autorisation des parents pour ouvrir un compte sur les médias sociaux tels que Facebook, Instagram ou Snapchat, comme c'est déjà le cas dans la plupart des pays de l'Union à l’heure actuelle, à moins que l’Etat membre ait prévu un âge inférieur qui ne peut, en toute hypothèse, pas être en dessous de 13 ans (cfr. Communiqué de presse de la Commission des libertés civiles, de la justice et des affaires intérieures du 17 décembre 2015, REF. : 20151217IPR08112).
Initialement, les négociateurs du parlement souhaitaient une limite d’âge à l’échelle européenne de 13 ans. Toutefois, les États membres ne sont pas parvenus dégager un consensus sur cet âge. Partant, les États membres peuvent fixer leurs propres limites pour autant qu’elles ne soient ni inférieures à 13 ans, ni supérieures à 16 ans. Cette flexibilité a été introduite à la demande pressante des États membres, afin qu’ils puissent conserver les limites qu’ils appliquent déjà.
Il incombe au responsable de faire des efforts raisonnables afin de vérifier que le consentement est donné par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles.
La disposition précise enfin qu’elle n’affecte pas les législations nationales en matière contractuelle qui comprendraient des règles spécifiques concernant notamment la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.
La Directive
Ni la Directive, ni les législations nationales analysées ne contenaient une telle disposition.
Difficultés probables ?
La validité du consentement des enfants sur internet pose d’évidence problème. Non seulement parce que le caractère libre et informé de celui-ci pourra souvent être discuté, mais également que la validité de celui-ci peut varier d’État à État. L’article 8 paraît en être conscient et paraît vouloir s’attaquer au problème.
Des définitions sont absentes (celle d’enfant et du titulaire de la responsabilité parentale) alors qu’elles avaient été insérées dans la première version du Règlement.
Finalement, une telle disposition a principalement pour effet d’interdire au responsable de fonder son traitement sur le consentement de l’enfant âgé de moins de 16 ans, ou de moins de 13 ans selon le droit de l’État membre concerné.
Cette flexibilité reconnue aux États membres va à l’encontre de la volonté d’harmonisation des règles au niveau européen et risque d’engendrer une insécurité juridique dans le chef des responsables qui devront tenir compte des spécificités de chaque État membre afin de s’assurer de la légalité de leur traitement.