Hyperconnectées, les jeunes générations disposent d’un accès au web facilité et régulier même au plus jeune âge, et le plus souvent depuis leur smartphone – ce qui complique la supervision par les parents.
En outre, les usages liés aux réseaux sociaux occupent une place prépondérante dans le quotidien des mineurs en matière de socialisation.
Or les sites web, applications mobiles et objets connectés collectent de grandes quantités de données sensibles appartenant aux jeunes utilisateurs.
Quels sont les risques pour nos enfants ? Que prévoit la loi au regard de la protection des données des mineurs ?
Données sensibles des mineurs : un véritable challenge sociétal
Il existe un « paradoxe du web » que l’on peut exprimer de la façon suivante : l’écosystème digital est à la fois une terre de possibilités infinies pour les plus jeunes, en termes d’éducation, d’information, de divertissement et de sociabilité ; mais c’est aussi un territoire hostile constellé de dangers (contenus choquants ou inadaptés, cyberharcèlement, incitations à la haine, etc.) auxquels les mineurs sont particulièrement exposés.
À cela, il faut ajouter les risques associés à la collecte massive des données personnelles, dont l’utilisation peut avoir des conséquences sérieuses sur les jeunes internautes – au présent, mais aussi dans le futur.
En 2018, un rapport de la commission britannique de la protection de l’enfance (cité par le journal Le Monde) soulignait que « les données personnelles recueillies pendant l’enfance pourraient être utilisées pour façonner le vécu d’un individu et ses opportunités sur le long terme – pour le meilleur et pour le pire ».
En somme, l’identité numérique d’un enfant, telle qu’elle est façonnée par sa présence en ligne, est susceptible d’avoir un impact sur sa vie pendant de nombreuses années.
Les trois défis à relever au regard des données sensibles
Cette digitalisation toujours plus forte des mineurs nous met face à un triple défi sociétal au regard des données sensibles :
- La nécessité de mieux superviser les usages digitaux des mineurs, surtout des plus jeunes d’entre eux.
- Le besoin d’encadrer la collecte des informations personnelles par les entreprises, grâce à des mécanismes adaptés de protection des données.
- L’urgence à sensibiliser les mineurs sur les risques afférents au partage de leurs données sensibles, mais aussi sur les droits dont ils disposent pour s’en prémunir – et qu’ils ignorent trop souvent.
Protection des données : des règles spécifiques pour les mineurs
À ce sujet, il s’avère que la législation se renforce, au niveau européen avec le RGPD (entré en vigueur en 2018) et à l’échelle nationale, en France, par le biais de la CNIL.
Le règlement européen pour la protection des données prévoit ainsi des dispositions particulières pour les mineurs (considérant n°38) : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. »
De quelle « protection spécifique » s’agit-il ? Le texte fait référence (dans son article 8) à l’obligation de recueillir le consentement de l’enfant et des parents en cas de collecte de données sensibles relatives à des mineurs de moins de 15 ans, ou si ces données sont utilisées à des fins de marketing ou de création de profils personnalisés – sur les réseaux sociaux, par exemple.
Ce seuil peut être rabaissé jusqu’à 13 ans pour les pays qui le souhaitent. Aussi, le responsable du traitement doit se donner les moyens de vérifier l’exactitude de ce double consentement, sans que ces modalités de contrôle soient précisées.
Le cas particulier de l’école
Tout établissement scolaire est en droit de demander des données à caractère personnel dans le cadre de la scolarité de l’enfant.
Par exemple :
- l’état vaccinal de l’enfant pour la vie en collectivité ;
- les données de santé sous pli cacheté consultable par les personnels tenus au secret professionnel (médecin scolaire, infirmière, etc.) ;
- le quotient familial pour le calcul des bourses et prestations.
La collecte et le traitement de ces données sont jugés nécessaire à la mise en œuvre de la scolarité de l’enfant dans le respect des textes réglementaires, c’est-à-dire dans le cadre la mission d’intérêt public que la Nation a confiée à l’École.
La collecte de données concernant la religion, l’origine, les opinions politiques sont interdites.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection des données sensibles.
Le traitement de données relatives à la santé des élèves est autorisé mais limité à certains cas, les données doivent être en lien avec la mise en place d’un accompagnement pédagogique (PAI, PPS, PAP ou PPRE).
Enfin, l’établissement doit demander au représentant légal de l’enfant une autorisation de prise de vue et de diffusion de l’image de l’enfant en spécifiant le contexte et l’utilisation qui en sera faite.
Cette autorisation peut être demandé en début d’année ou au cours de l’année pour des situations ponctuelles.
Les obstacles à la protection des données sensibles des mineurs : l’exemple des réseaux sociaux
L’utilisation des réseaux sociaux par les internautes mineurs constitue un exemple canonique des difficultés soulevées par la protection des données sensibles sur le web.
Une enquête menée par Génération Numérique en 2020 montre que près de 96 % des 15-18 ans détiennent au moins un compte sur une plateforme sociale, mais que cela concerne aussi 63 % des moins de 13 ans… alors même que la loi française (qui suit en cela la législation américaine) interdit l’accès à ces applications avant cet âge !
Au-delà de 13 ans et jusqu’à 15 ans, le consentement d’un ou des parent(s) est requis par le règlement européen sur la protection des données, conjointement à celui du mineur.
Mais, dans les faits, combien de parents s’impliquent dans la création des comptes sociaux de leurs enfants, et surtout, combien d’entre eux supervisent leur utilisation de ces plateformes ?
Quels leviers pour protéger les données des mineurs ?
L’exemple des réseaux sociaux invite à réfléchir sur les leviers à actionner pour protéger les données sensibles des mineurs. En voici deux, sans doute les plus importants :
Informer les mineurs au sujet de leurs droits, d’une manière adaptée à leur âge et à leur maturité, et les encourager à les exercer : nécessité pour un responsable de traitement d’obtenir leur consentement éclairé, droit à l’oubli renforcé pour les moins de 18 ans (article 40 de la loi informatique et libertés), etc.
L’enquête de Génération Numérique montre que 75 % des 11-18 ans ont déjà éprouvé des difficultés à supprimer un contenu les concernant publié par un autre internaute, et 58 % de ceux qui ont essayé d’effacer leur compte sur un réseau social n’y sont pas parvenus !
Sensibiliser les parents aux problématiques de protection des données, et leur donner les moyens pour éduquer leurs enfants au bon usage du numérique.
Les études montrent, en effet, que les parents connaissent mal les dispositifs de protection des données sensibles : 57 % d’entre eux n’utilisent pas d’outil de contrôle parental, et 60 % ne savent pas vers qui se tourner en cas d’actes de cyberviolence à l’encontre de leur enfant (source : CNIL).
La protection des données sensibles des mineurs représente donc un véritable enjeu dans un monde où le numérique est accessible à tout âge, sans supervision parentale.
Si le cadre juridique existe bel et bien, il n’a pourtant pas force exécutoire : c’est à chacun, au sein du foyer, de réfléchir aux meilleures façons de protéger les mineurs sur le web et de leur prodiguer une éducation numérique.
