La CNIL rend son avis sur les décrets relatifs au contrôle parental
La CNIL a rendu un avis sur deux décrets d’application de la loi visant à renforcer le contrôle parental sur les moyens d'accès à Internet. Le contrôle parental est un outil approprié pour accompagner les mineurs sur Internet et doit être développé de manière à protéger leurs données.
- La CNIL s’est prononcée le 9 mars sur les décrets d’application de la loi (n° 2022-300 du 2 mars 2022) qui précise les différentes fonctionnalités que les dispositifs de contrôle parental devront intégrer sur les appareils connectés (smartphones, ordinateurs, consoles de jeux vidéos, etc.).
- La CNIL rappelle son soutien aux dispositifs de contrôle parental. La mise en place de ces dispositifs, constitue un moyen adapté pour protéger les mineurs face aux risques auxquels ils sont exposés en ligne (harcèlement, arnaques, accès à des contenus inadaptés, etc.).
- La CNIL souligne que ces outils doivent être développés de manière à assurer un équilibre entre le contrôle de l’accès à des contenus inappropriés et le respect de la vie privée et l’autonomisation des enfants. Ils doivent également intégrer dès leur conception et par défaut les principes de protection des données personnelles.
- La CNIL indique que la mise en œuvre des fonctionnalités minimales (le blocage du téléchargement des applications ou de contenus dont l’accès est interdit aux mineurs) ne devrait pas entrainer de remontée de données personnelles vers des serveurs ;
- Enfin la CNIL a recommandé l’ajout de deux autres fonctionnalités obligatoires reposant sur des mécanismes de listes noires et de listes blanches, mais qui n’ont pas été retenues.
Le contexte
Le contrôle parental est une fonctionnalité ou un logiciel qui permet notamment de restreindre l’accès à certains contenus en ligne. L’activation du contrôle parental doit permettre de protéger l’enfant d’une exposition à des contenus choquants, violents ou pornographiques.
Afin de mieux protéger les mineurs en ligne, la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à Internet prévoit plusieurs mesures pour faciliter l’utilisation des systèmes de contrôle parental par les parents.
Désormais, les appareils connectés à Internet vendus en France (smartphones, ordinateurs, consoles de jeux vidéos, etc.) doivent obligatoirement comporter un dispositif de contrôle parental facilement accessible et compréhensible. L’activation de ce dispositif devra être proposée gratuitement, dès la première mise en service de l’appareil.
La CNIL s’est prononcée, le 9 mars 2023, sur le décret qui précise les différentes fonctionnalités que les dispositifs de contrôle parental installés sur les appareils connectés devront intégrer.
À noter que ces nouvelles obligations s’inscrivent dans la continuité d’initiatives ayant vocation à protéger les mineurs en ligne – comme la vérification de l’âge des mineurs sur les sites à caractère pornographique - et sur lesquelles la CNIL a pu se prononcer.
L’avis de la CNIL
Le décret visant à encadrer la mise en œuvre des dispositifs de contrôle parental sur les appareils connectés à internet prévoit que ces derniers doivent obligatoirement inclure deux fonctionnalités (dites « fonctionnalités minimales ») :
- le blocage du téléchargement des applications mises à disposition dans les boutiques et dont l’accès est interdit aux mineurs ou restreint à une certaine catégorie d’âge (par exemple, certaines applications de réseaux sociaux sont interdites aux moins de 13 ans) ;
- le blocage de l’accès aux contenus installés sur les terminaux et dont l’accès est interdit aux mineurs ou restreint à une certaine catégorie d’âge (par exemple, certaines applications de réseaux sociaux peuvent être installées sur les smartphones).
Il prévoit par ailleurs que d’autres fonctionnalités optionnelles peuvent être intégrées, en option, dans les terminaux.
Un juste équilibre entre contrôle parental et respect des droits des mineurs
La mise en place de dispositifs de contrôle parental, constitue un moyen adapté pour protéger les mineurs face aux risques auxquels ils sont exposés en ligne (harcèlement, arnaques, accès à des contenus inadaptés, etc.).
Ces outils doivent être complétés par une action plus globale d’éducation au numérique et être mis en œuvre dans le respect de la vie privée des enfants et de leur autonomie, notamment en fonction de leur âge, car ces dispositifs peuvent impliquer la collecte de données personnelles et donc une forme de surveillance des mineurs.
Ils doivent également intégrer dès leur conception et par défaut les principes de protection des données personnelles.
Compléter les fonctionnalités obligatoires pour une meilleure protection des mineurs en ligne
La CNIL a recommandé l’ajout de deux autres fonctionnalités obligatoires, qui pourraient être activées selon la maturité des mineurs, pour les protéger lors de leur navigation sur le web :
- Les listes noires permettant de bloquer l’accès à des sites ou catégories de sites préalablement déterminés par les parents (par exemple, les sites à caractère pornographique) ; et
- Les listes blanches limitant la navigation aux seuls sites autorisés préalablement pour les enfants les plus jeunes.
Ces fonctionnalités permettraient une protection plus complète et efficace des mineurs en tenant compte du fait que les applications ne sont pas le seul moyen d’accéder à des contenus. En pratique, elles existent déjà sur de nombreux dispositifs de contrôle parental.
Elles peuvent être mises en œuvre localement, sur l’appareil de l’utilisateur, sans remontée de données personnelles vers des serveurs.
Si le décret ne comporte pas de précision sur ce point, de telles fonctionnalités pourront toujours être intégrées de manière volontaire par les fabricants.
Renforcer les mesures de protection des données personnelles
Le projet de décret prévoyait que les fonctionnalités obligatoires ne doivent pas entraîner de collecte de données personnelles du mineur, ni la création d’un compte utilisateur sur des serveurs.
Dans son avis, la CNIL a relevé qu’il existe actuellement sur le marché des systèmes de contrôle parental qui ne nécessitent pas la création d’un compte utilisateur ou la remontée de données vers des serveurs. Elle a rappelé que la configuration des systèmes de contrôle parental uniquement en local satisfait mieux les principes de protection de la vie privée et limite les risques de violation de données (par exemple, les fuites de données). La CNIL a demandé que les fonctionnalités minimales obligatoires soient proposées sans remontée de données vers des serveurs.
Le décret n’intègre pas en tant que telle la recommandation de la CNIL mais prévoit désormais qu’un traitement des données d’identification du mineur peut avoir lieu, tout en précisant qu’il doit être strictement nécessaire au fonctionnement du dispositif de contrôle parental.
Pour approfondir
Les textes de référence
- Délibération n° 2023-023 du 9 mars 2023 portant avis sur un projet de décret portant application de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet (demande d'avis n° 22017855) - Légifrance
- Délibération n° 2023-024 du 9 mars 2023 portant avis sur un projet de décret portant application de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (demande d'avis n° 22017855) - Légifrance
- Article L. 34-9-3 du code des postes et des communications électroniques (CPCE) – Dispositifs de contrôle parental - Légifrance
- LOI n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet - Légifrance
- Décret n°2023-588 du 11 juillet 2023 pris pour l'application de l'article 1er de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet - Légifrance
- Décret n° 2023-589 du 11 juillet 2023 portant application de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique - Légifrance