Comment les organisations peuvent-elles protéger les enfants dans le monde numérique ? 

conseil aux entreprisesprotection des donnéesprotection des enfants en ligne
Written By Nathalie Pouderoux

Après que l'ICO, l’autorité de protection des données britannique, a infligé à TikTok une amende de £12,7 millions pour avoir utilisé à mauvais escient les données d'enfants en permettant à plus d'un million d'enfants de moins de 13 ans de créer un compte et d'accéder au contenu, un Code des enfants a été publié. Ce Code a été créé pour aider les entreprises à comprendre leurs responsabilités en matière de protection des enfants en ligne.  

Selon l'ICO, un utilisateur en ligne sur cinq est un enfant et, à ce titre, les mesures de protection en ligne devraient être une priorité pour protéger les enfants dans le monde numérique. Les lois visant à protéger les enfants sont tout aussi importantes en ligne que hors ligne.  

Le Code des enfants comporte 15 points essentiels, dont les suivants 1. L'intérêt supérieur de l'enfant 2. L’analyse d'impact de la protection des données 3. Application adaptée à l'âge de l'enfant 4. La transparence 5. Utilisation préjudiciable des données 6. Politiques et standards communautaires 7. Paramètres par défaut 8. Minimisation des données 9. Partage des données 10. Géolocalisation 11. Contrôle parental 12. Profilage 13. Techniques relevant du nudge (ou du paternalisme libéral) 14. Jouets et appareils connectés 15. Outils en ligne.  

Le Code n'est pas une nouvelle loi, mais il permet de définir clairement comment le Règlement Général sur la Protection des Données (RGPD) s'applique aux enfants et aux entreprises ayant des enfants parmi leurs utilisateurs. L'objectif du Code est d'obliger les services numériques, qu'il s'agisse d'applications, de jeux ou de sites web, à intégrer automatiquement un niveau de base de protection des données pour les enfants utilisateurs. Dans cette optique, les paramètres de confidentialité doivent être élevés et les organisations ne doivent pas utiliser de techniques relevant du nudge pour amener les enfants à abaisser leurs paramètres. En outre, les paramètres tels que les paramètres de localisation permettant de savoir où se trouve un enfant et les paramètres de profil permettant de cibler le contenu doivent être désactivés. 

 

Points clés à prendre en compte lors du traitement des données des enfants  

 Le Code contient un certain nombre de points importants que les entreprises doivent prendre en compte lorsqu'elles traitent des données relatives aux enfants : 

 

Analyses d'impact sur la protection des données (DPIA) 

Une DPIA est une analyse des risques qui aide les organisations à déterminer si les données des enfants sont en danger en raison de la manière dont elles sont traitées. Le RGPD exige qu'une DPIA soit réalisée avant le début de tout traitement susceptible de présenter un risque élevé pour les droits et libertés des personnes. Les facteurs de risque élevé peuvent inclure le traitement d'informations génétiques, le traitement invisible lorsque les données n'ont pas été obtenues directement auprès de la personne concernée ou lorsque vous fournissez un service spécifiquement destiné aux enfants. L'ICO indique plus en détail quand une DPIA peut être nécessaire. 

L'AIPD d'une organisation doit préciser la nature et la finalité du traitement des données, évaluer la nécessité de ce traitement pour l'organisation et justifier t la base légale de ce traitement. Ensuite, le risque doit être évalué, notamment le risque pour la santé mentale et physique et le bien-être de l'enfant, le risque d'être exposé à des informations erronées ou à un temps d'écran prolongé et à des habitudes de sommeil interrompues. L’analyse des risques doit également porter sur les moyens d'atténuer les risques, par exemple en mettant en place des mesures de protection supplémentaires ou en fournissant des informations supplémentaires aux parents sur les risques potentiels.  

 

La transparence 

Selon l'ICO, la transparence consiste à être "clair, ouvert et honnête avec vos utilisateurs" quant à la manière dont leurs données sont traitées. Nous avons constaté que TikTok avait violé l'article 5 du RGPD en n'expliquant pas clairement comment les données des enfants utilisateurs seraient utilisées.  

Les entreprises peuvent se conformer à l'exigence de transparence en fournissant des informations sur la vie privée facilement accessibles aux enfants et aux parents. L'ICO précise qu'il convient de fournir des informations concises afin clarifier les termes importants relatifs à la protection de la vie privée. Les entreprises peuvent également recourir à la sécurité des accès “Just in Time” (“JIT”) au moment où les données à caractère personnel seront utilisées en invitant l'enfant à parler à un adulte s'il n'est pas sûr de vouloir continuer. Si les entreprises savent que des enfants utiliseront leurs services, elles doivent rendre l'information aussi conviviale que possible pour les enfants au moyen d'images ou de vidéos.   

 

Le profilage 

Le profilage peut être utilisé pour cibler les utilisateurs en adaptant certains contenus et en décidant du moment et de la fréquence de diffusion de ces contenus. En particulier, le contenu présenté aux enfants ne doit pas être susceptible d'affecter leur bien-être mental et physique. Le profilage fait l'objet de règles spécifiques. L'article 22, paragraphe 1, dispose que " La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire".  

Les inquiétudes portent sur le fait que les enfants peuvent être confrontés à des contenus totalement inappropriés susceptibles de les affecter négativement, tels que des images graphiques. Les enfants sont particulièrement vulnérables et peuvent être exploités par le biais du contenu potentiellement dangereux qui leur est présenté.  

Les entreprises qui utilisent le profilage pour recommander certains contenus aux enfants utilisateurs seront en fin de compte responsables, plus que si l'enfant allait chercher le contenu lui-même. En effet, l'enfant est profilé en fonction de la manière dont ses données ont été traitées. Il est donc important d'identifier les enfants utilisateurs afin qu'ils ne soient pas profilés de cette manière et qu'ils soient protégés. 

 

Comment Gerrish Legal peut vous aider ? 

Gerrish Legal est un cabinet juridique numérique dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit des affaires et la propriété intellectuelle.  

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer avec succès et en toute confiance leurs activités tout en se conformant aux réglementations légales sans le fardeau de se tenir au courant des exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd'hui pour plus d'informations. 

 

Article de Mel Hzeg, Stagiaire juridique pour Gerrish Legal 

Nathalie Pouderoux
Previous

La CNIL propose un plan de régulation de l'IA
Next

Meta condamné à une amende record par la DPC irlandaise pour violation de données