La loi « Informatique et libertés » du 6 janvier 1978 a instauré des droits pour les personnes qui figurent dans des fichiers informatisés et des obligations pour ceux qui les créent (cf. nos précédents articles). Des dispositions particulières doivent-elles être respectées dès lors que la collecte de données nominatives s’effectue auprès de mineurs ? Quelle est sur ce point, la position de la Commission Nationale de l’Informatique et des Libertés (CNIL) ?

***

La CNIL a souligné dans son rapport annuel publié le 12 juin 2001, relatif à l’internet et la collecte des données personnelles auprès des mineurs, que « les enfants sont souvent de meilleurs internautes que les adultes, mais faute de maturité et d’expérience civique, ils constituent des cibles idéales notamment pour les spécialistes du marketing commercial (…) qui peuvent à bon prix se constituer des fichiers d’informations de nature privée, sociale et économique, à caractère personnel, sur les jeunes et leurs familles, parfois même à l’insu de ces dernières ».
Conscients de ces dangers, 49% des parents ont déclaré dans un sondage IPSOS, en date du 17 novembre 2001, commandé par Libération et powow.net, souhaiter l’intervention de l’Etat dans le contrôle des sites pour enfants.
A l’issue de son rapport, et après avoir étudié la situation en Europe et dans le monde, et entendu les principaux acteurs concernés par la question de la collecte des données personnelles auprès des mineurs, la CNIL a souhaité que s’engage une large concertation autour des « bonnes pratiques » et d’une plus grande sensibilisation des pouvoirs publics aux questions de la protection des données personnelles des mineurs.
Parallèlement, la CNIL tout en rappelant qu’aucun texte ne pose de façon précise la problématique liée à la collecte de données personnelles des mineurs, propose des garanties renforcées à l’égard des mineurs. Elle a ainsi élaboré des propositions qui sont soumises à consultation publique et qui ont pour objet de rappeler que les garanties offertes par la loi doivent s’imposer avec encore plus de force lorsqu’il s’agit de mineurs.
La CNIL précise que toute collecte de données relatives aux origines raciales, ou opinions politiques, philosophiques, religieuses, syndicales ou les moeurs des personnes, doit être considérée comme interdite, sauf si le responsable du site est en mesure de prouver que les parents y ont expressément consenti.
De même, en aucun cas, la mise en œuvre d’un jeu ou d’une loterie à destination des mineurs ne doit conduire à céder à des tiers les données ainsi recueillies, si le responsable du site n’est pas en mesure de rapporter la preuve que les parents y ont expressément consenti.
Par ailleurs, la Commission estime que le principe de finalité (cf. notre précédent article) doit conduire les sites qui s’adressent à des mineurs à ne collecter que les données strictement nécessaires à la finalité. De même, toute collecte d’informations auprès de mineurs concernant l’entourage familial, le mode de vie des parents, leur statut socio-professionnel, doit être considéré comme excessive et déloyale.
Lorsqu’il s’agit d’un chat ou d’un forum dédié aux mineurs, il devrait être affiché clairement par le responsable du site à l’attention des enfants, et ce dès leur entrée sur le site, de ne pas donner leur adresse, ni celle de leurs parents ni aucune autre donnée d’identification précise.
Il convient de relever que le droit français qui s’est inspiré de la législation américaine en vigueur depuis le 21 avril 2000 se montre toutefois plus souple que cette dernière.
Les Etats-Unis qui ne sont pas dotés d’une loi générale dans ce domaine ont en effet jugé indispensable de protéger d’abord les mineurs de la collecte ou du traitement de leurs données personnelles. Tel a été l’objet du Children’s Online Privacy Protection Act (loi COPPA) qui est officiellement entré en vigueur le 21 avril 2000.
Cette loi interdit à tout détenteur de site de collecter des données personnelles auprès d’enfants de moins de 13 ans sans autorisation vérifiable.
Concrètement, le mode de consentement prévu par ce texte diffère selon la destination des informations recueillies :
– si les données sont exclusivement destinées à la société qui les collecte, un mail envoyé par les parents suffit,
– si les données personnelles doivent être cédées, le responsable du site a plusieurs solutions (adresser par courrier un document que les parents doivent signer, obtenir une signature électronique, envoyer un mail avec un mot de passe…).
Les responsables de sites doivent également afficher clairement leur politique en matière de protection de données : doivent être précisées les données personnelles recueillies auprès des enfants, l’usage qui en sera fait, les cessions envisagées.
Notons que cette législation est applicable aux sites français dès lors qu’ils collectent des données personnelles d’enfants américains de moins de treize ans.

***

La CNIL semble avoir reçu des pouvoirs publics un écho favorable à ses préoccupations. Ainsi le ministère de l’Education nationale a inscrit l’introduction des technologies de l’information et de la communication dans le cadre d’une politique pédagogique et éducative de maîtrise et de responsabilité.
Cette politique associe tous les acteurs concernés de l’école, parents d’élèves, associations et syndicats. Elle intègre la connaissance des possibilités, des enjeux mais aussi des dangers réels de l’internet ainsi que le respect de la loi en général et de chartes spécifiques d’utilisation notamment des données à caractère personnel dont la protection a été élevée au rang de droit fondamental de l’homme par l’Union européenne (Charte des droits fondamentaux adoptée au sommet de Nice le 8 décembre 2000).

Caroline PARMENTIER & Martine RICOUART-MAILLET Avocats