Le Règlement (UE) 2016/679 portant Protection des Données à caractère personnel entré en vigueur le 25 Mai 2018 a permis une application territoriale étendue dudit règlement, une harmonisation renforcée entre États-Membres mais aussi créé une responsabilité accrue des opérateurs (nouvelle pour les sous-traitants). De plus, nous sommes passés d’une logique de déclaration à une logique de conformité. De nouveaux outils et procédures pour les opérateurs ont vu le jour, des droits nouveaux ont fait leur apparition et ont été renforcés aussi bien pour les sujets que pour les autorités avec une obligation de signaler les violations pour toute personne en charge du traitement de données à caractère personnel.
Pour ce qui concerne le champ d’application du RGPD, il faut signaler que le celui-ci est applicable lorsque :
- Le prestataire de traitement est situé sur le territoire de l’UE, et ce, même si les données concernent des personnes situées en dehors de l’UE ;
- Le prestataire de traitement collecte des données relatives à des personnes localisées sur le territoire de l’UE, même si ces dernières se trouvent hors de l’UE ;
- Le prestataire met en oeuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.
En outre, le RGPD est venu renforcer les droits des personnes concernées en leur consacrant plusieurs droits dont le droit d’accès [1], le droit de rectification [2], le droit à l’effacement [3] le droit à la limitation du traitement [4] le droit d’opposition [5], le droit à la portabilité [6].
La mise en œuvre de ces droits s’effectue par ailleurs par une saisine du responsable du traitement (R.T) ou son sous-traitant (S.T).
Quant au droit à l’information de la personne concernée, il faut dire que « chaque personne a le droit d’être informée avant que les données ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir offrir le droit de s’opposer, gratuitement, à ladite communication ». [7].
De plus, l’information doit être transparente, compréhensible et aisément accessible. Cependant, si l’information est indéniablement un vecteur de transparence, et un outil d’autodétermination des personnes dont les données ont été collectées, il n’en demeure pas moins que certaines collectes, traitements ou conservations de données restent opaques.
Ainsi, l'Autoriteit Persoonsgegevens (L'AP) a estimé que TikTok violait le Règlement général sur la protection des données (RGDP) car il ne proposait que des informations en anglais lors de l'installation et de l'utilisation de l'application. Ce qui les rendaient de facto inaccessibles pour de jeunes enfants qui ne parlent pas cette langue. "Les personnes doivent toujours avoir une idée claire de ce qui est fait avec leurs données personnelles". [8].
La CNIL avait estimé sous réserve de l’appréciation souveraine des tribunaux, dans le cadre de services en ligne, tels que l’inscription à un réseau social ou à un site de jeux en ligne), si et seulement si :
- Ces services sont adaptés aux publics mineurs qu’ils accueillent ;
- Ces traitements respectent strictement les règles de protection des données personnelles telles que fixées par le RGPD et la loi Informatique et Libertés (minimisation des données collectées, pour une finalité bien déterminée, une durée limitée et de manière sécurisée…) ;
- Le mineur est informé de façon claire et adaptée des conditions d’utilisation de ses données et de ses droits informatique et libertés, afin qu’il puisse comprendre le sens et la portée de son engagement ;
- Les parents disposent d’une voie de recours pour demander la suppression du compte de leur enfant s’ils l’estiment nécessaire afin de protéger son intérêt supérieur. [9]
I) Protection spécifique des mineurs
Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union européenne. [10]
Concernant les conditions applicables au consentement des enfants portant sur les services de la société de l'information abordées à l’article 8 du RGPD, il est prévu que :
1° Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. 4.5.2016 L 119/37 Journal officiel de l'Union européenne FR.
2° Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.
3° Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. [11]
Selon le Règlement 2016/679, dit RGPD, en son considérant 38, les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.
Cette protection spécifique devrait, notamment, s'appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». [12]
C’est la consécration de la protection spécifique des données à caractère personnel des mineurs pour lesquels le responsable de traitement doit obtenir auprès du titulaire de l’autorité parentale le consentement au traitement.
En outre, le considérant 58 relatif au RGPD prévoit que le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre. [13]
Ainsi, le responsable de traitement a l’obligation de communiquer les informations relatives au traitement sous une forme intelligible et en des termes clairs lorsqu’une information est adressée spécifiquement à un enfant. [14]
Si les informations communiquées ne sont pas compréhensibles, clairs et précises, l’autorité de contrôle pourrait en vertu de ses pouvoirs sanctionner l’organe, la société ou même le responsable chargé de la mise en œuvre du traitement des données à caractère personnel de la personne concernée.
A titre d’illustration, L'Autoriteit Persoonsgegevens (AP), l'équivalent de la Commission nationale de l'informatique et des libertés aux Pays-Bas, a rendu une décision dans laquelle elle condamne TikTok au paiement d'une amende de 750 000 euros pour atteinte à la vie privée des enfants utilisateurs de son réseau social.
Comme le note l'autorité néerlandaise, « les enfants sont considérés comme un groupe particulièrement vulnérable dans la législation. C'est pourquoi ils bénéficient d'une protection supplémentaire. Compte tenu du nombre important d'enfants utilisant TikTok quotidiennement, l'AP souhaitait s'assurer qu'ils avaient accès aux informations concernant le sort de leurs données personnelles sur l'application ».
Cela montre bien que les plateformes numériques ou plus précisément les applications des réseaux sociaux devront adapter leurs conditions d’utilisation à la langue du pays dans lequel ils seront téléchargés dans la mesure où ces applications sont ouvertes toutes les couches de la population tels que les mineurs.
II) Modalités de communication des informations
Les modalités de communication des informations aux personnes concernées par les traitements de données ont été modifiées par le RGPD.
Selon le RGPD portant transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée :
1° Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.
Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens. 4.5.2016 L 119/39 Journal officiel de l'Union européenne FR.
2° Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.
3° Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.
4° Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel.
5° Aucun paiement n'est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l'article 34. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ;
b) refuser de donner suite à ces demandes. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
6° Sans préjudice de l'article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.
7° Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
8° La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de déterminer les informations à présenter sous la forme d'icônes ainsi que les procédures régissant la fourniture d'icônes normalisées ». [15]
Sources :
1- Droit d’accès, Article15 du RGPD
2- Droit de rectification Article16 RGPD
3- Droit à l’effacement Article 17 RGPD
4- Droit à la limitation du traitement Article 18 RGPD
5- Droit d’opposition Article 20 RGPD
6- Droit à la portabilité Article 21 RGPD
7- Dir. 95/46/CE, Parlement et Conseil, 24 Oct. 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, 23 nov., P.31, Article 14, b ; abrog. Par le règl. (UE) 2016/679, Parlement et Conseil, 27 avr.2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46CE, JOUE L 119/1, 4 mai, p. 1
8- TikTok écope d'une amende de 750 000 euros pour avoir porté atteinte aux données personnelles des enfants : https://www.usine-digitale.fr/article/tiktok-ecope-d-une-amende-de-750-000-euros-pour-avoir-porte-atteinte-aux-donnees-personnelles-des-enfants.N1128149
9- Recommandation 1 : encadrer la capacité d’agir des mineurs en ligne du 9 juin 2021 : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne
10- Droit à l’information : https://www.cnil.fr/fr/definition/droit-linformation
11- Article 8 du RGPD
12- Règlement 2016/679, dit RGPD, considérant 38
13- Règlement 2016/679, dit RGPD, considérant 58
14- RGPD, Article11.
15- RGPD, Article 12
