Vers un renforcement du cadre juridique de la protection des mineurs sur les réseaux sociaux avec des contrôles et des sanctions ?

Publié le - Mise à jour le

vers_un_renforcement_du_cadre_juridique_de_la_protection_des_mineurs_sur_les_reseaux_sociaux_avec_des_controles_et_des_sanctions
Retour aux actualités

Une proposition de loi du 17 janvier 2023 visant à instaurer notamment une majorité numérique globale a été adoptée en première lecture par l’Assemblée nationale le 2 mars 2023. C’est l’occasion de revenir sur le cadre juridique existant (RGPD) sur ce point et d’exposer les principaux apports de cette proposition de loi sur la majorité numérique. Ce texte prévoit d’autres dispositions non traitées ci-dessous relatives à la lutte contre la haine en ligne.

Le RGPD et la majorité numérique

Les dispositions légales

Le règlement européen sur la protection des données dit RGPD entré en application le 25 mai 2018 a introduit dans le droit européen de la protection des données des dispositions relatives aux mineurs. Les enfants bénéficient d’une protection spécifique relativement à leurs données personnelles. En effet, ils peuvent être moins conscients notamment des risques et des conséquences relativement au traitement de leurs données personnelles. Ainsi, l’article 8 du RGPD relatif aux conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information prévoit que le traitement des données personnelles d’un enfant est licite s’il est fondé sur le consentement lorsque l'enfant est âgé d'au moins 16 ans. En revanche, lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si le consentement est donné par le titulaire de l’autorité parentale. Le RGPD permet également aux Etats- membres de déterminer l’âge de la majorité numérique comprise entre 13 et 16 ans. Ainsi, par exemple, la majorité numérique à 16 ans a été préférée en Allemagne et en Irlande alors que la Belgique, le Danemark, la Finlande et la Suède ont choisi l’âge de 13 ans.

En France, l’article 45 de la loi Informatique et Libertés modifiée en 2018 (et son décret d’application du 29 mai 2019) prévoit qu’un mineur peut, à partir de 15 ans, consentir seul au traitement de ses données personnelles si celui-ci est effectué dans le cadre de services en ligne. Lorsque le mineur est âgé de moins de 15 ans, le consentement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale pour que le traitement des données soit licite. De plus, le responsable de traitement est tenu de rédiger en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement le concernant.

Le RGPD précise que le responsable du traitement s'efforce raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

La doctrine de la CNIL

Interprétation des textes

La CNIL a indiqué, dans une de ses recommandations en ligne du 9 juin 2021, conformément à l’analyse du Comité européen de la protection des données (CEPD), que les textes précités permettent au mineur de plus de 15 ans de donner, seul, son accord à certains traitements de données personnelles qui reposent sur un « consentement » non contractuel. Ainsi, un mineur de plus de 15 ans peut légalement décider seul d’accepter les cookies pour consulter un site internet, d’opter pour un profil public ou privé sur un réseau social ou d’activer une fonctionnalité optionnelle de géolocalisation sur une application. En revanche, la CNIL a précisé que les textes ne reconnaissent pas une « majorité numérique globale » à 15 ans. En effet, le RGPD ne consacre pas la capacité du mineur à s’inscrire seul sur un réseau social.

Il est rappelé qu’en droit français, les mineurs sont en principe considérés comme juridiquement incapables de conclure un contrat. Cependant, dans certaines situations, un contrat conclu par un enfant peut être considéré comme un « acte courant ». Après analyse du droit national applicable, la CNIL a considéré que, sous réserve de l’appréciation souveraine des tribunaux, il serait cohérent que les mineurs puissent être considérés, en fonction de leur niveau de maturité et en tout état de cause à partir de 15 ans, comme capables de conclure des contrats ayant pour objet le traitement de leurs données dans le cadre de services en ligne, tels que l’inscription à un réseau social ou à un site de jeux en ligne, à condition que :

  • ces services soient adaptés aux publics mineurs qu’ils accueillent ;
  • ces traitements respectent strictement les règles de protection des données personnelles telles que fixées par le RGPD et la loi Informatique et Libertés (minimisation des données collectées, finalité déterminée, durée limitée des données, sécurité…) ;
  • le mineur soit informé de façon claire dans les conditions d’utilisation de ses données et de ses droits informatique et libertés, afin qu’il puisse comprendre le sens et la portée de son engagement ;
  • les parents disposent d’une voie de recours pour demander la suppression du compte de leur enfant s’ils l’estiment nécessaire afin de protéger son intérêt supérieur.

Les recommandations de la CNIL sur les dispositifs techniques de contrôle de l’âge

Dans son communiqué en ligne du 21 février 2023, la CNIL a précisé que l’architecture du web étant celle d’un réseau ouvert, librement accessible sans authentification, le contrôle de l’âge des internautes pose des difficultés techniques importantes, s’expose à des possibilités de contournement et présente des risques pour la vie privée. La question est donc de savoir comment contrôler techniquement l’âge de l’enfant et par voie de conséquence la validité de son consentement numérique dans le respect de la vie privée.

Comme souligné dans le rapport à l’Assemblée nationale du 15 février 2023 fait au nom de la Commission des affaires culturelles et de l’éducation sur la proposition de loi, en pratique, la vérification de l’âge pour l’accès aux réseaux sociaux est considérée insuffisante car n’empêche pas l’inscription de mineurs à l’insu des titulaires de l’autorité parentale. L’enquête annuelle 2021 de l’association Génération numérique a ainsi estimé à 44 % la proportion des 11-18 ans ayant déjà menti sur leur âge sur les réseaux sociaux.

En 2021, la CNIL a publié sur son site internet www.cnil.fr des recommandations issues d’une réflexion menée avec l’ensemble des acteurs concernés. Ainsi, elle a notamment recommandé une articulation des systèmes de vérification de l’âge autour de six piliers clés que sont la minimisation, la proportionnalité, la robustesse, la simplicité, la standardisation et l’intervention d’un tiers. Par ailleurs, une résolution sur les droits numériques des enfants a été signée en octobre 2021 par la CNIL et 22 autres autorités mondiales de protection des données réunies lors de la 43ème Global Privacy Assembly.

A date, dans l’attente du déploiement de solutions plus efficaces et respectueuses de la vie privée, la CNIL considère acceptables par exemple le recours à la vérification de l’âge par validation de la carte de paiement ou des procédés d’estimation de l’âge reposant sur une analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur sans reconnaissance faciale biométrique, à la condition que ces systèmes ne soient pas mis en œuvre directement par le site web consulté mais par un tiers indépendant présentant un niveau suffisant de sécurité et de fiabilité pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. La CNIL estime que d’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre. Il semble que la CNIL soit particulièrement attentive au développement de ces dispositifs et vérifiera le respect des dispositions Informatique et Libertés par les éditeurs de sites internet concernés, responsables de traitement au sens du RGPD. Pour en savoir plus cf. Communiqué CNIL du 26 juillet 2022 sur www.cnil.fr « Vérification de l’âge en ligne : trouver l’équilibre entre protection des mineurs et respect de la vie privée ».

La position de la CNIL sur les dispositifs de contrôle de l’âge relatifs aux sites pornographiques

L’article 227-24 du code pénal punit de trois ans d’emprisonnement et de 75 000 euros d’amende le fait de diffuser des images pornographiques susceptibles d’être vues par des mineurs. Cette infraction est constituée y compris si l’accès d’un mineur au contenu pornographique résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans. Ainsi, la loi exclut la mise en place par les sites pornographiques de techniques de vérification de l’âge reposant sur la simple déclaration.

En juillet 2022, la CNIL a publié sa position sur les dispositifs de contrôle de l’âge notamment sur les sites à caractère pornographique dont l’accès est réservé aux majeurs. Elle a conçu, en collaboration avec Olivier Blazy, professeur à l’Ecole Polytechnique et le Pôle d’expertise de la régulation numérique de l’Etat (PEReN), un prototype de dispositif permettant d’assurer un contrôle efficace de l’âge et de garantir une forte protection de la vie privée. En effet, elle recommande notamment que les mécanismes de contrôle de l’âge soient mis en œuvre par des organismes distincts de l’éditeur du site visité. En effet, il y a d’une part, l’organisme qui certifie que vous avez l’âge requis, sait qui vous êtes, mais ne sait pas quel site vous visitez et d’autre part, le site visité reçoit la preuve que vous avez l’âge requis, mais ne sait pas qui vous êtes. La CNIL préconise également la création d’une labellisation ou certification spécifique de ces acteurs tiers sur l’ensemble du cycle de gestion de la preuve de l’âge permettant de s’assurer de la conformité des dispositifs au RGPD.

Suite à l’annonce de février 2023 du gouvernement du lancement d’une expérimentation sur les sites pornographiques avec des solutions conformes aux recommandations de la CNIL, cette dernière a précisé dans son dernier communiqué en ligne de 2023 sur le sujet que si cette expérimentation en cours s’avère concluante et est commercialisée, elle préconisera que ce type de dispositif soit proposé par tous les sites de contrôle de l’âge de leurs visiteurs, qui ont déjà une responsabilité de mettre en œuvre une solution conforme aux exigences légales de contrôle de l’âge, sous le contrôle de l’Autorité de régulation de la communication audiovisuelle et numérique dite ARCOM (fusion en janvier 2022 du CSA et de HADOPI) et du juge judiciaire. Rappelons que si la CNIL n’a pas de compétence directe pour contrôler l’effectivité de l’interdiction des mineurs aux sites pornographiques, elle peut toutefois vérifier via des contrôles que les solutions utilisées par les sites respectent les règles protégeant la vie privée posées par le RGPD. En effet, la CNIL peut effectuer des contrôles en ligne, sur place, sur pièces ou sur audition qui peuvent avoir pour conséquence de sanctionner le cas échéant l’éditeur du site internet concerné, responsable de traitement, en raison des manquements au RGPD. Rappelons que les amendes de la CNIL peuvent s’élever à 20 millions d’euros ou à 4% du chiffre d’affaires mondial de l’entreprise concernée conformément à l’article 83 du RGPD.

Principales dispositions de la proposition de loi sur la majorité numérique à 15 ans

D'après une enquête de la CNIL de 2021, la première inscription sur un réseau social interviendrait en moyenne vers l'âge de 8 ans et demi et plus de la moitié des enfants de 10 à 14 ans seraient présents sur ces plateformes. De même, selon une étude de l’association Génération Numérique sur les pratiques numériques des 11-18 ans de mars 2021, 63% des moins de 13 ans ont un compte sur au moins un réseau social. 82 % des enfants de 10 à 14 ans indiquent aller régulièrement sur Internet sans leurs parents.

Le service de réseaux sociaux en ligne est défini dans la proposition de loi votée en première lecture à l’Assemblée nationale le 2 mars 2023 comme toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. Et, pour renforcer le cadre juridique existant, sont prévues de nouvelles obligations pour les réseaux sociaux complétant la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN). En effet, la proposition de loi précise que les fournisseurs de services de réseaux sociaux en ligne exerçant leur activité en France auront l’obligation de refuser l’inscription à leurs services des mineurs de moins de 15 ans, sauf si l’autorisation de cette inscription est donnée par les titulaires de l’autorité parentale sur le mineur. Cette autorisation ne pourra pas être donnée pour les mineurs de moins de 13 ans sauf pour les services de réseaux sociaux en ligne labellisés à cet effet dans des conditions définies par décret en Conseil d’Etat. Ces fournisseurs de services devront recueillir, dans les mêmes conditions et dans les meilleurs délais, l’autorisation expresse des titulaires de l’autorité parentale relative aux comptes déjà créés et détenus par des mineurs de moins de 15 ans. Les titulaires de l’autorité parentale pourront également demander à ces fournisseurs de services la suspension du compte du mineur de moins de 15 ans.

Pour vérifier l’âge des utilisateurs finaux et l’autorisation des titulaires de l’autorité parentale, la proposition de loi précise que ces fournisseurs de services auront pour obligation d’utiliser des solutions techniques conformes à un référentiel élaboré à cette fin par l’ARCOM après consultation de la CNIL. La proposition de loi précise expressément qu’il appartiendra à la CNIL de veiller à ce que les traitements de données personnelles résultant des solutions techniques prises en compte pour vérifier l’âge de l’enfant soient mis en œuvre dans les conditions prévues par le RGPD et la loi n° 78‑17 du 6 janvier 1978 dit Informatique et libertés modifiée.

Ainsi, outre les contrôles et les sanctions par la CNIL des fournisseurs de services de réseaux sociaux en cas de manquements au RGPD, sera renforcée la procédure de contrôle par l’ARCOM à l’égard de ces fournisseurs de services qui ne se conformeraient pas à leurs obligations. En effet, une mise en demeure du Président de l’ARCOM pourra être adressée au fournisseur de services de réseaux sociaux qui n’aura pas mis en œuvre de solution technique certifiée pour vérifier l’âge des utilisateurs finaux et l’autorisation des titulaires de l’autorité parentale de l’inscription des mineurs de moins quinze ans. Cette mise en demeure enjoindra au fournisseur concerné de prendre toutes les mesures requises pour satisfaire aux obligations visées sous un délai de quinze jours à compter de la mise en demeure. Passé ce délai, en cas d’inexécution de la mise en demeure, le président de l’ARCOM pourra saisir le président du tribunal judiciaire de Paris aux fins d’ordonner au fournisseur de mettre en œuvre une solution technique conforme. Enfin, est prévue une sanction du fournisseur de services de réseaux sociaux récalcitrant à se conformer via une amende pouvant s’élever jusqu’à 1 % de son chiffre d’affaires mondial pour l’exercice précédent. Cette proposition de loi, adoptée dans le cadre d’une procédure accélérée par l’Assemblée nationale, doit être examinée par le Sénat.

Par Vanessa Younès-Fellous, avocate au Barreau de Paris, en droit de la protection des données personnelles et formatrice Lefebvre Dalloz Compétences

Formations qui pourraient vous intéresser

tealium