L'article 8 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), encadre spécifiquement les conditions de licéité du traitement des données à caractère personnel des mineurs dans le cadre des services de la société de l'information.
Il constitue une disposition particulière du régime du consentement prévu aux articles 6 et 7 du RGPD, en tenant compte de la vulnérabilité accrue des enfants et de la nécessité de leur assurer une protection renforcée dans l'environnement numérique.
Cet article s'applique aux traitements fondés sur le consentement lorsqu'ils concernent l'offre directe de services en ligne à des enfants, tels que les réseaux sociaux, plateformes de jeux, applications mobiles ou services numériques accessibles au public.
Texte officiel de l'article 8 du RGPD
L'article 8, paragraphe 1, du RGPD prévoit que, lorsque le traitement est fondé sur le consentement et concerne l'offre directe de services de la société de l'information à un enfant, le traitement n'est licite que si l'enfant est âgé d'au moins 16 ans.
Il autorise toutefois les États membres à prévoir par la loi un âge inférieur, sans que celui-ci puisse être inférieur à 13 ans.
Lorsque l'enfant est âgé de moins de l'âge fixé par le droit national, le traitement n'est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.
L'article 8, paragraphe 2, impose au responsable du traitement de faire des efforts raisonnables pour vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale, compte tenu des technologies disponibles.
L'article 8, paragraphe 3, précise que le paragraphe 1 ne s'applique pas aux services de prévention ou de conseil directement offerts à un enfant.
Champ d'application matériel et personnel
L'article 8 ne s'applique qu'aux traitements reposant sur le consentement en tant que base juridique, au sens de l'article 6, paragraphe 1, point a), du RGPD.
Il vise exclusivement l'offre directe de services de la société de l'information, notion issue de la directive (UE) 2015/1535 et recouvrant notamment les services fournis normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services.
Les traitements fondés sur une autre base juridique, telle que l'exécution d'un contrat ou le respect d'une obligation légale, ne relèvent pas directement du champ d'application de l'article 8, même lorsqu'ils concernent des mineurs.
Âge du consentement numérique
Le RGPD fixe par défaut l'âge du consentement numérique à 16 ans, tout en laissant aux États membres la faculté d'abaisser ce seuil jusqu'à 13 ans par voie législative.
En droit français, l'article 45 de la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, fixe cet âge à 15 ans.
En conséquence, en France, le traitement fondé sur le consentement d'un mineur dans le cadre d'un service de la société de l'information n'est licite que si le mineur est âgé d'au moins 15 ans, ou si le consentement est donné conjointement avec celui du titulaire de l'autorité parentale.
Consentement parental et vérification
Lorsque l'enfant est âgé de moins de l'âge requis par le droit national, le traitement n'est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.
Le responsable du traitement doit mettre en œuvre des moyens raisonnables permettant de vérifier l'authenticité de ce consentement, en tenant compte de l'état des techniques disponibles et du niveau de risque présenté par le traitement.
Cette obligation ne suppose pas nécessairement une vérification systématique de l'identité, mais impose une démarche proportionnée, adaptée à la nature du service, au public visé et à la sensibilité des données traitées.
Lien avec les exigences générales du consentement
Le consentement recueilli dans le cadre de l'article 8 doit satisfaire aux conditions générales posées par l'article 7 du RGPD et à la définition du consentement donnée à l'article 4, point 11.
Il doit être libre, spécifique, éclairé et univoque, et résulter d'un acte positif clair.
L'information fournie à l'enfant et à ses représentants légaux doit être formulée en des termes clairs, simples et adaptés à l'âge du public concerné, conformément au principe de transparence prévu à l'article 5, paragraphe 1, point a), et aux articles 12 à 14 du RGPD.
Exception relative aux services de prévention ou de conseil
L'article 8, paragraphe 3, exclut du champ d'application de la règle d'âge les services de prévention ou de conseil directement offerts à un enfant.
Cette exception vise notamment certains services d'assistance psychologique, sociale ou éducative, lorsque l'exigence d'un consentement parental pourrait faire obstacle à l'accès effectif à ces services.
Elle ne dispense toutefois pas le responsable du traitement de respecter l'ensemble des autres obligations prévues par le RGPD, notamment celles relatives à la sécurité des données et à la protection des droits de l'enfant.
Portée juridique et articulation avec les autres articles
L'article 8 s'inscrit dans la logique de protection renforcée des mineurs consacrée par le RGPD, en articulation avec l'article 6 relatif aux bases juridiques, l'article 7 relatif aux conditions du consentement et l'article 12 relatif à l'obligation d'information.
Il contribue également à la mise en œuvre du principe de protection des données dès la conception et par défaut prévu à l'article 25 du RGPD, en incitant les responsables de traitement à adapter leurs services aux spécificités du public mineur.
Le non-respect des exigences de l'article 8 entraîne l'illicéité du traitement fondé sur le consentement et expose le responsable du traitement à des mesures correctrices et à des sanctions administratives prononcées par l'autorité de contrôle compétente.
Implications pratiques pour les responsables de traitement
Les organisations proposant des services numériques susceptibles d'être utilisés par des mineurs doivent déterminer si leur traitement repose sur le consentement et, le cas échéant, identifier l'âge applicable en vertu du droit national.
Elles doivent mettre en place des mécanismes permettant de recueillir un consentement valable, d'en assurer la traçabilité et, lorsque nécessaire, de vérifier l'intervention du titulaire de l'autorité parentale.
Les politiques de confidentialité, les interfaces de recueil du consentement et les supports d'information doivent être adaptés à un public mineur, tant sur le fond que sur la forme.
Jurisprudence et pratique des autorités de contrôle
L'article 8 du RGPD fait l'objet d'une attention particulière de la part des autorités de contrôle, notamment dans le contexte des réseaux sociaux et des plateformes numériques destinées aux jeunes publics. La CNIL a prononcé plusieurs sanctions à l'encontre de services ne mettant pas en œuvre de dispositifs suffisants pour vérifier l'âge des utilisateurs ou pour obtenir le consentement parental lorsque requis.
Les autorités de contrôle européennes considèrent que l'obligation de « faire des efforts raisonnables » pour vérifier le consentement parental, prévue à l'article 8, paragraphe 2, doit être interprétée de manière proportionnée mais effective. La simple déclaration sur l'honneur ou l'absence totale de vérification ne sont pas considérées comme des efforts raisonnables au sens du règlement, notamment pour les services présentant des risques élevés pour les mineurs.
La pratique des autorités de contrôle montre également que l'article 8 doit être lu en articulation avec l'article 25 du RGPD relatif à la protection des données dès la conception et par défaut. Les services destinés à un public mineur doivent intégrer des paramètres de confidentialité renforcés et limiter par défaut la collecte de données au strict nécessaire.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) a publié des lignes directrices spécifiques relatives à la protection des mineurs en ligne. Elle recommande aux responsables de traitement de mettre en place des mécanismes de vérification de l'âge proportionnés au risque présenté par le service, tels que la double saisie de la date de naissance, la vérification documentaire pour les services sensibles ou le recours à des tiers de confiance.
Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le ciblage des utilisateurs des réseaux sociaux, soulignant que les mineurs constituent une catégorie vulnérable nécessitant une protection renforcée. Le CEPD recommande que les informations destinées aux enfants soient adaptées à leur âge, tant dans le fond que dans la forme, en privilégiant un langage simple, des illustrations claires et des formats adaptés.
La CNIL et le CEPD insistent sur la nécessité d'informer les titulaires de l'autorité parentale de manière claire et complète sur les finalités du traitement, les données collectées et les mesures de protection mises en place. Ils recommandent également aux responsables de traitement de documenter les mécanismes de vérification de l'âge et du consentement parental dans leur registre de traitement et, le cas échéant, de réaliser une analyse d'impact relative à la protection des données.
L'article 8 du RGPD constitue ainsi une garantie essentielle de la protection des données personnelles des enfants dans l'environnement numérique. Il impose un cadre juridique spécifique aux responsables de traitement et participe à la reconnaissance du mineur comme sujet de droit numérique, tout en assurant un équilibre entre protection et accès aux services en ligne.