Données personnelles des enfants : quelles obligations pour les marketeurs ?

Données personnelles des enfants : quelles obligations pour les marketeurs ?

par Martine Ricouart Maillet, avocat Associé, et Edouard Verbecq, avocat.

A l’heure où le big data s’immisce dans notre quotidien, il ne se passe pas une semaine sans découvrir un nouvel objet connecté susceptible de collecter des données. D’abord le smartphone en 2007, aujourd’hui les montres et les balances, demain la voiture autonome et la maison connectée, tout ce qui entoure notre quotidien devient désormais « connecté ».

C’est ainsi que le marché des Playmobils, Barbies, Mécano et autres jouets en bois ne résiste pas à ce phénomène.

Les enfants se retrouvent désormais avec des jouets capables de se connecter à Internet et de transmettre une multitude d’informations.  Il est sans conteste que cela ouvre de nouvelles possibilités pour l’éveil et l’éducation des plus jeunes.

Des failles de sécurité constatées sur les jouets connectés

Cependant, ces objets exposent également l’enfant à des risques dont il était jusqu’à maintenant préservé. En témoigne le piratage à grande échelle des serveurs de la société chinoise VTECH, spécialiste des jouets hi-tech et constructeur de tablettes et ordinateurs pour enfants.

La faille de sécurité révélée fin octobre a permis la fuite de 190 Go de données dans la nature concernant les comptes de 6,4 millions d’enfants. Les informations suivantes ont été subtilisées : Nom, prénom, adresse, mail ; sexe, IP, photos ou enregistrements audio des enfants.

De l’autre côté du globe, une association américaine a remis en cause la sécurité du système d’Hello Barbie, la célèbre poupée dotée d’un micro permettant de dialoguer avec l’enfant (à l’image de ce que propose Siri sur un iPhone). Il a été expliqué que la communication avec les serveurs de la société ToyTalk chargée d’analyser la voix de l’enfant faisait l’objet de plusieurs failles de sécurité.

Ces problèmes mettent en exergue la problématique de la sécurité des données des enfants et amènent plus généralement à s’interroger sur les obligations concernant le traitement de données personnelles des mineurs.

Une étude de la CNIL révèle que les sites internet ne protègent pas assez la vie privée des enfants

Dans une étude menée en mai dernier sur un panel de 54 sites différents, la CNIL s’est donnée pour objectif de vérifier si les sites et applications mobiles consultées par les enfants et les ados respectaient les règles de protection de la vie privée.

Elle a relevé que les sites procédait à une large collecte des données personnelles en imposant notamment la création d’un compte utilisateur et seuls 39% de ceux-ci fournissaient un moyen simple de supprimer ces comptes. L’autorité a également constaté que rares sont les sites qui adaptent leurs mentions d’information au jeune public et qu’il est courant que ces sites internet effectuent des redirections vers des sites marchands par le biais d’un simple clic. Par ailleurs, 63% des sites analysés déposent des cookies sans bandeau d’information ni recueil du consentement. Enfin, seuls 18% des sites observés recueillent par le biais d’une case à cocher, le consentement des parents, 15% vérifient l’âge du mineur et 11% prévoient un tableau de contrôle parental lors de la création de compte.Cette étude témoigne de la faible prise en compte de l’âge de l’internaute pour le traitement de ses données.

La création d’un statut particulier pour les données personnelles des mineurs

En droit français, la loi informatique et libertés ne prévoit pas de dispositifs spécifiques pour les mineurs contrairement à la loi américaine qui conditionne le traitement de données au consentement du tuteur légal. Certains Etats comme la Californie ont même consacré un droit à l’oubli pour les mineurs leur permettant de demander d’effacer le contenu publié dans sa jeunesse.

A force de militer pour la consécration d’un tel droit, la CNIL et le défenseur des droits ont été entendus par le législateur qui a décidé d’intégrer un article dédié au droit à l’oubli pour les mineurs dans le projet de loi Lemaire sur le numérique.

Dans la version actuelle du projet, encore sujette à d’éventuelles modifications, il est prévu que toute personne qui était mineure au moment de la collecte des données, est en droit de demander l’effacement « dans les meilleurs délais » des informations. Ce droit peut donc être exercé à la fois par les adolescents mais aussi les adultes sous réserve que la mise en ligne des informations soit intervenue avant la majorité. Ce droit à l’oubli est toutefois assorti de plusieurs exceptions. Le responsable de traitement pourra refuser si le traitement des données est nécessaire à l’exercice du droit à la liberté d’expression et d’information ; pour constater, exercer, des défendre des droits en justice ou encore pour des motifs d’intérêt public dans le domaine de la santé.

Le Règlement Européen sur la protection des données dont la version consolidée a été adoptée le 17 décembre 2015 conditionne le traitement de données concernant des mineurs au consentement de son représentant légal .Les états auront à déterminer jusqu’à quel âge le consentement des parents sera requis ( entre 13 et 16 ans selon le texte européen .)

La loi Lemaire  si elle est adoptée prochainement devra en tenir compte.

Le Règlement prévoit également un droit à l’effacement des informations litigieuses, avec là encore, de nombreuses exceptions.

Des règles spécifiques concernant la publicité pour les mineurs
De son côté, l’Autorité de Régulation Professionnelle de la Publicité (ARPP) a publié 28 règles déontologiques s’appliquant à tout message publicitaire mettant en scène des enfants et/ou s’adressant à eux. Il est précisé que ces règles s’appliquent à Internet.

Parmi ces règles, il doit notamment être prévu que l’enfant puisse identifier rapidement le caractère publicitaire du message alors que les messages doivent être présentés avec dignité  loyale en n’induisant pas en erreur l’enfant sur les caractéristiques, la valeur ou les performances du droit. L’ARPP préconise que le message publicitaire sollicite directement l’enfant par téléphone ou internet et qu’il incite à une dépense, l’appel a y participer doit associer de façon explicite les parents.

Enfin, la boucle est bouclée dès lors que l’ARPP appelle aux respects des règles édictées par la CNIL concernant la collecte des données personnelles de mineurs.

Information adaptée, contrôle de l’âge des enfants, consentement du représentant légal, déontologie des publicités ciblées, telles sont les règles à retenir pour le marketing à l’attention des mineurs.
Martine Ricouart Maillet, Avocat Associé
Edouard Verbecq, Avocat