Incidence de l'âge sur le consentement à un traitement de données à caractère personnel

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée, il importe donc de s'assurer qu'elle peut librement donner son consentement.

 

Au regard de  l’article 5 du RGPD , les données personnelles doivent être traitées « de manière licite, loyale et transparente au regard de la personne concernée ».

La licéité implique que le traitement soit justifié par un fondement : la personne concernée a donné son consentement pour une ou plusieurs finalité(s), le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, etc. (l’article 6 du RGPD ).

            Les enfants, personnes vulnérables

Par principe, une personne majeure (à partir de 18 ans) peut librement consentir à un traitement de données la concernant. En-deçà, des règles spécifiques sont prévues notamment pour les mineurs, considérés comme des « personnes physiques vulnérables » .

Les mineurs sont désignés, dans le RGPD, sous le terme plus large d’ « enfants », englobant les mineurs non émancipés.

Pour assurer la protection du mineur,l’article 12 du RGPD prévoit également que le responsable du traitement doit prendre des mesures appropriées pour fournir toute information et toute communication, au titre des droits des personnes sur leurs données, de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, notamment pour une information destinée spécifiquement à un enfant.

            Le consentement au traitement du mineur et du majeur

En France, le consentement d’un mineur est régi par les règles du Code civil : « toute personne incapable de contracter peut néanmoins accomplir seule les actes courants autorisés par la loi ou l’usage, pourvu qu’ils soient conclus à des conditions normales » ( l’article 1148 ).

Lorsque l’acte est considéré comme courant et que les conditions sont dites normales, l’enfant peut fournir des données personnelles par lui-même. Cependant, cette question reste délicate car pour tous les autres actes ne pouvant recevoir cette qualification, le consentement du responsable de l’autorité parentale est requis (jusqu’à ses 18 ans).

 

Enfant (moins de 18 ans)

Personne de plus de 18 ans

Acte de la vie courante, conditions normales

Consentement de l’enfant.

Consentement de la personne concernée (sous réserve du cas du majeur protégé).

Tous les autres actes

Consentement du titulaire de l’autorité parentale.

Consentement de la personne concernée (sous réserve du cas du majeur protégé).

 

Il faut donc établir une information préalable des représentants de l’enfant sur le traitement (finalité, durée de conservation des données, droits sur les données, etc.) et s’assurer par écrit que le consentement a été donné.

Pour autant, le consentement doit être écrit, libre et éclairé. Le responsable du traitement devra être en mesure de prouver que ce dernier a bien été recueilli et la personne concernée peut retirer son consentement à tout moment (l’article 7 du RGPD ).

Le consentement de la personne concernée ne peut concerner qu’une seule finalité, et ne peut donc pas être général.

            Le cas particulier de l’offre de services en ligne à un enfant (minorité numérique)

L’article 8 du RGPD prévoit qu’en ce qui concerne l’offre directe de services d’une société de l’information aux enfants (majorité numérique : âge à partir duquel la loi considère que l’enfant est propriétaire de ses données personnelles), le traitement des données relatives à un enfant est licite lorsqu’il est âgé d’au moins 16 ans. En dessous de ces 16 ans, ce traitement ne sera licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Le RGPD laisse cependant la possibilité aux Etats membres de baisser cet âge sans aller en dessous de 13 ans. Ainsi, la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, et révisant la Loi Informatique et Libertés, a choisi le seuil de 15 ans.

Ainsi, l’article 7-1 de la loi relative à la protection des données prévoit qu’un mineur peut consentir seul à un traitement de données à caractère personnel pour une offre directe de services d’une société de l’information à partir de l’âge de 15 ans.

En dessous de 15 ans, le responsable du traitement doit recueillir le consentement conjoint du mineur concerné et du/des titulaires de l’autorité parentale à l’égard du mineur (ou de son tuteur).

L’information et la communication au mineur sur le traitement le concernant doit être rédigée en des termes clairs, simples et aisément compréhensibles par le mineur.

Enfant âgé de moins de 15 ans

Enfant âgé de plus de 15 ans

Consentement conjoint du mineur et du/des titulaires de l’autorité parentale.

Consentement du mineur.

 

Le RGPD prévoit qu’en pareil cas, le responsable du traitement doit raisonnablement s’efforcer de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant compte tenu des moyens technologiques disponibles.

Au sein de l’Education Nationale, les enseignants tout comme le personnel d’un E.P.L.E. doivent être particulièrement vigilants quant à la question du consentement à une offre de services. A titre d’exemple, un enseignant pourrait inviter ses élèves à utiliser une offre de services dans le cadre d’un projet pédagogique (visionner une vidéo sur une plateforme internet, etc.). Dans ce cas, l’élève invité/incité à utiliser cette offre de services, ne peut consentir sans ses titulaires de l’autorité parentale.

 

            Le droit à l’image et l’information de l’enfant

Aux termes des dispositions de l’article 9 du code civil , chacun a droit au respect de sa vie privée.

En outre, aux termes des dispositions de l'article 38 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, " Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur. Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement." Ce droit d'opposition figure à l’article 21 du règlement européen dit RGPD.

Une autorisation précisant le cadre dans lequel l'image, l'enregistrement de la voix et/ou la réalisation d'une vidéo s'avère indispensable (lieu, durée, modalité de présentation, de diffusion, support). Au même titre que pour la photographie de classe, il ne peut y avoir d'autorisation générale. Ainsi, comme le rappelle le juge judiciaire, "il faut respecter la finalité visée dans l'autorisation donnée par l'intéressé, ce qui n'est pas prévu par l'autorisation n'est pas autorisé" (cf. en ce sens Cour de cassation civile du 1er mai 2000).

Enfin, lorsque les informations sont collectées auprès d’un mineur de moins de 15 ans, l’article 32 de la Loi Informatique et Libertés, modifié suite à la loi relative à la protection des données personnelles de juin 2018, prévoit que le responsable du traitement doit informer le mineur sur :

  • L’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • La finalité poursuivie par le traitement auquel les données sont destinées ;
  • Le caractère obligatoire ou facultatif des réponses ;
  • Les conséquences éventuelles, à son égard, d'un défaut de réponse ;
  • Les destinataires ou catégories de destinataires des données ;
  • Les différents droits qu'il détient (droit d’opposition, droit de rectification, etc.) dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;
  • La durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Malgré des règles spécifiques à l’égard des enfants, le RGPD précise qu’il ne doit pas être porté atteinte aux règles relevant du droit général des contrats des Etats membres (validité, formation ou effets d’un contrat à l’égard d’un enfant).

Vous trouverez en cliquant sur le lien suivant les différents formulaires de consentement à remplir en cas de demande d’autorisation : http://eduscol.education.fr/internet-responsable/ressources/boite-a-outils.html.

L’autorisation définit la durée d'utilisation envisagée. En conséquence, à l'issue de celle-ci l'image et l'autorisation sont à détruire.

Pour autant, les personnes peuvent toujours revenir sur l'autorisation donnée et ce à tout moment et solliciter le retrait des images bien avant la fin de la durée initialement prévue par l'autorisation en vertu de l’article 17 du règlement européen intitulé droit à l'effacement ("droit à l'oubli").

Ce droit figure à l’article 40 de la loi informatique et libertés