Article 8
Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information
Articles liés à l'article 8
Mots clés liés à l'article 8
(38) Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant.
(47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection commerciale peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 8.
Le GDPR
D’après le considérant 38 du Règlement, les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Sont en particulier concernées l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et la collecte de données relatives aux enfants lors de l'utilisation de services fournis directement à un enfant.
Dès lors, l’article 8 du Règlement prévoit que le traitement des données relatives à un enfant dans le cadre de l’offre directe de services de la société de l’information (cfr. l’article 1er §2 de la Directive 98/34EC du 22 juin 1998) est licite à l’égard des enfants âgés de 16 ans au moins. En dessous de 16 ans, le responsable doit obtenir le consentement au traitement du titulaire de la responsabilité parentale.
Le Règlement permet toutefois aux Etats membres d’autoriser le traitement des données relatives à un enfant âgé de moins de 16 ans pour ces finalités sans l’autorisation du titulaire de la responsabilité parentale, pour autant que cet âge ne soit pas inférieur à 13 ans.
En d’autres termes, les enfants âgés de moins de 16 ans devront obtenir l’autorisation des parents pour ouvrir un compte sur les médias sociaux tels que Facebook, Instagram ou Snapchat, comme c'est déjà le cas dans la plupart des pays de l'Union à l’heure actuelle, à moins que l’Etat membre ait prévu un âge inférieur qui ne peut, en toute hypothèse, pas être en dessous de 13 ans (cfr. Communiqué de presse de la Commission des libertés civiles, de la justice et des affaires intérieures du 17 décembre 2015, REF. : 20151217IPR08112).
Initialement, les négociateurs du parlement souhaitaient une limite d’âge à l’échelle européenne de 13 ans. Toutefois, les États membres ne sont pas parvenus dégager un consensus sur cet âge. Partant, les États membres peuvent fixer leurs propres limites pour autant qu’elles ne soient ni inférieures à 13 ans, ni supérieures à 16 ans. Cette flexibilité a été introduite à la demande pressante des États membres, afin qu’ils puissent conserver les limites qu’ils appliquent déjà.
Il incombe au responsable de faire des efforts raisonnables afin de vérifier que le consentement est donné par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles.
La disposition précise enfin qu’elle n’affecte pas les législations nationales en matière contractuelle qui comprendraient des règles spécifiques concernant notamment la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.
La Directive
Ni la Directive, ni les législations nationales analysées ne contenaient une telle disposition.
Difficultés probables ?
La validité du consentement des enfants sur internet pose d’évidence problème. Non seulement parce que le caractère libre et informé de celui-ci pourra souvent être discuté, mais également que la validité de celui-ci peut varier d’État à État. L’article 8 paraît en être conscient et paraît vouloir s’attaquer au problème.
Des définitions sont absentes (celle d’enfant et du titulaire de la responsabilité parentale) alors qu’elles avaient été insérées dans la première version du Règlement.
Finalement, une telle disposition a principalement pour effet d’interdire au responsable de fonder son traitement sur le consentement de l’enfant âgé de moins de 16 ans, ou de moins de 13 ans selon le droit de l’État membre concerné.
Cette flexibilité reconnue aux États membres va à l’encontre de la volonté d’harmonisation des règles au niveau européen et risque d’engendrer une insécurité juridique dans le chef des responsables qui devront tenir compte des spécificités de chaque État membre afin de s’assurer de la légalité de leur traitement.
Groupe 29
Comité européen de la protection des données (EDPB)
Lignes directrices sur le consentement au sens du règlement (UE) 2016/679 (4 mai 2020)
Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement (UE)2016/679, également connu sous le nom de règlement général sur la protection des données (ci-après le «RGPD»). La notion de consentement telle qu’utilisée jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 du groupe de travail «Article 29» sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.
Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD.2 Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.
En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.
Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement4 restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi l’EDPB développe-t-il et complète-t-il dans le présent document ses avis précédents du groupe de travail «Article 29» relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.
Comme le G29 l’a indiqué dans son avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée . Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment en son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.
Dans le même temps, l’EDPB a eu connaissance de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD . En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. L’EDPB a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».
Concernant la directive «vie privée et communications électroniques» existante, l’EDPB note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD9 . Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. L’EDPB note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».
|
Art. 8 1. Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. 2. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles. 3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. |
Proposition 1
close
1. Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s’efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles. 2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l’égard d’un enfant. 3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux méthodes d'obtention du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. 4. La Commission peut établir des formulaires types pour les méthodes particulières d'obtention du consentement vérifiable prévu au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Proposition 2
close
1. Dans les cas où l'article 6, paragraphe 1, point a) est applicable, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant (...) n'est licite que si, et dans la mesure où, ce consentement est donné ou autorisé par le titulaire de la responsabilité parentale ou donné par l'enfant dans des circonstances où ce consentement est considéré comme valide par le droit de l'Union ou de l'État membre. 1 bis. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles. 2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, notamment les dispositions régissant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. 3. (...) 4. (...). |
Directive close
La Directive ne contient pas de disposition spécifique au traitement de données relative aux enfants. |
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art. 7 En exécution de l’article 8.1 du Règlement, le traitement des données à caractère personnel relatif aux enfants en ce qui concerne l’offre directe de services de la société de l’information aux enfants, est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus. Lorsque ce traitement porte sur des données à caractère personnel de l ’enfant âgé de moins de 13 ans, il n’est licite que si le consentement est donné par le représentant légal de cet enfant. |
Ancienne loi
close
La Directive ne contient pas de disposition spécifique au traitement de données relative aux enfants. |