Recommandation 1 : encadrer la capacité d’agir des mineurs en ligne
Les mineurs s’inscrivent massivement sur les réseaux sociaux. En créant leur compte et en cochant les cases des conditions générales d’utilisation du service (CGU), ils s’engagent, de fait, dans une démarche d’ordre contractuel. Ceci met en lumière un certain décalage entre le droit et les pratiques.
On n’a pas conscience de ce qu’on accepte.
63 %
des moins de 13 ans ont au moins un compte sur un réseau social
Instagram rassemble 58 % des 11-14 ans et 89 % des 15-18 ans
Snapchat est plébiscité par 75 % des 11-14 ans et 88 % des 15-18 ans
Youtube est visité par 78 % des 11-14 ans et 75 % des 15-18 ans
Tiktok est passé de d’environ 30 % à presque 50 % d’utilisateurs chez les 11-18 ans de 2020 à 2021 ; son utilisation a plus que doublé chez les 15-18 ans
(Source : Enquête Génération numérique « les pratiques numériques des jeunes de 11 à 18 ans », mars 2021)
Ce que prévoient les textes
Le RGPD et la loi Informatique et Libertés permettent au mineur de plus de 15 ans de donner, seul, son accord à certains traitements de données personnelles qui reposent sur un « consentement » non contractuel. Le mineur de plus de 15 ans peut ainsi légalement décider seul d’accepter les cookies pour consulter un site internet, d’opter pour un profil public ou privé sur un réseau social ou d’activer une fonctionnalité optionnelle de géolocalisation sur une application. En revanche, les textes ne reconnaissent pas une « majorité numérique globale » à 15 ans. Le RGPD ne consacre donc pas la capacité du mineur à s’inscrire seul sur un réseau social. En principe, le droit commun de la minorité s’applique, et les actions du mineur relèvent de l’autorité parentale, selon des modalités qui dépendent du contexte et ont été précisées par la jurisprudence.
En outre, comme le rappelle le RGPD, le droit national des contrats reste applicable concernant, notamment, la validité d’un engagement contractuel ou de ses effets pour l’enfant. Or, en droit français, les mineurs sont en principe considérés comme juridiquement incapables de conclure un contrat.
Le mineur pourrait donc à la fois être considéré comme incapable de s’inscrire sur un réseau social (dès lors que l’inscription constitue un contrat), mais capable de consentir ou non à certaines fonctionnalités annexes plus sensibles comme la géolocalisation ou l’enregistrement de cookies.
Cependant, dans certaines situations, un contrat conclu par un enfant peut être considéré comme un « acte courant ». Il appartient, en dernier recours, aux juges d’apprécier concrètement si un acte peut être considéré comme tel en fonction de sa valeur monétaire, des habitudes du mineur et de sa famille, des risques qu’il comporte mais aussi et surtout de l’utilité de cet acte au regard de l’intérêt de l’enfant.
La CNIL a procédé à une analyse approfondie du droit national applicable (droit des contrats, régime d’incapacité des mineurs), notamment grâce à l’expertise de professeures de droit et de la Chancellerie. Il est apparu que sous certaines conditions, les mineurs de plus de 15 ans devraient pouvoir, de manière générale et sans préjudice du pouvoir souverain des juges d’en décider autrement, conclure seuls certains contrats dans le cadre de services en ligne.
Les conseils de la CNIL
La CNIL constate que les mineurs ont des pratiques numériques massives et largement autonomes. Elle relève également que le RGPD a inscrit dans le droit une forme de reconnaissance encadrée de cette autonomie en donnant aux mineurs, à partir d’un certain âge, la faculté de consentir à certains types de traitements de leurs données dans le cadre de services en ligne.
Dès lors, elle estime que, sous réserve de l’appréciation souveraine des tribunaux, il serait cohérent que les mineurs puissent être considérés, en fonction de leur niveau de maturité et en tout état de cause à partir de 15 ans, comme capables de conclure des contrats ayant pour objet le traitement de leurs données dans le cadre de services en ligne, tels que l’inscription à un réseau social ou à un site de jeux en ligne), si et seulement si :
- ces services sont adaptés aux publics mineurs qu’ils accueillent ;
- ces traitements respectent strictement les règles de protection des données personnelles telles que fixées par le RGPD et la loi Informatique et Libertés (minimisation des données collectées, pour une finalité bien déterminée, une durée limitée et de manière sécurisée…) ;
- le mineur est informé de façon claire et adaptée des conditions d’utilisation de ses données et de ses droits informatique et libertés, afin qu’il puisse comprendre le sens et la portée de son engagement ;
- les parents disposent d’une voie de recours pour demander la suppression du compte de leur enfant s’ils l’estiment nécessaire afin de protéger son intérêt supérieur.
Cette position n’est ni un laissez-passer général donné aux mineurs, ni un blanc-seing accordé aux fournisseurs de services en ligne pour contracter avec des mineurs comme ils le feraient avec des adultes. En revanche, elle a l’avantage de ne pas être aveugle à la réalité des pratiques des jeunes, tout en soulignant l’importance du cadre protecteur qui doit être mis en place pour accompagner cette autonomie.
La CNIL sera particulièrement attentive aux décisions prononcées par les juridictions en la matière.
Les textes de référence
Découvrez les 8 recommandations de la CNIL
1 - Encadrer la capacité d’agir des mineurs en ligne
2 - Encourager les mineurs à exercer leurs droits
3 - Accompagner les parents dans l’éducation au numérique
4 - Rechercher le consentement d’un parent pour les mineurs de moins de 15 ans
5 - Promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant
6 - Renforcer l’information et les droits des mineurs par le design
7 - Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée
8 - Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant