Article 8

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

Règlement général sur la protection des données · UE 2016/679

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

1.   Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2.   Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

3.   Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

Spécificité Luxembourg
loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees et du regime general sur la protection des donnees

Au Luxembourg, le seuil de consentement de l'enfant est fixe a 16 ans, la loi du 1er aout 2018 portant organisation de la CNPD et du regime general sur la protection des données n'ayant pas exerce l'option d'abaissement prévue a l'article 8(1). Un service luxembourgeois doit donc recueillir l'autorisation parentale pour tout mineur de moins de 16 ans, alors que la France, la Belgique ou d'autres états appliquent 13, 14 ou 15 ans. La CNPD est l'unique autorité competente (jamais l'APDL).

Pratique Luxgap : si votre service visé aussi des utilisateurs français ou belges, ne figez jamais un seuil unique a 16 ans dans le code, configurez la détection par juridiction pour appliquer le bon age et eviter une non-conformite dans les pays a seuil abaisse.