Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

Règlement général sur la protection des données · UE 2016/679

1. Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 8 piège toutes les plateformes qui acceptent un public mineur sans vérification serieuse : réseaux sociaux, jeux en ligne, applications educatives, plateformes de streaming, sites e-commerce avec inscription. La CNPD au Luxembourg fixe le seuil a 16 ans, la CNIL en France a 15 ans, l'APD belge a 13 ans : un même service européen doit donc gerer une mosaique d'ages. Les autorités sanctionnent durement le simple case a cocher 'je certifie avoir plus de 16 ans', juge non conforme a l'obligation d'efforts raisonnables du paragraphe 2, et l'EDPB a clarifie dans ses lignes directrices 05/2020 que la vérification doit être proportionnee au risque du traitement.

Les pièges concrets qui déclenchent une sanction

Case a cocher unique 'j'ai plus de 16 ans' sans aucun mécanisme de vérification reel, alors que vos analytics montrent un trafic massif d'adolescents.
Application d'un seuil unique (16 ans) sur tout le marche européen, en ignorant les seuils nationaux : 13 ans en Belgique, 14 ans en Italie, 15 ans en France, 16 ans au Luxembourg et en Allemagne.
Recueil du consentement parental par simple email envoye a une adresse 'parent@' declaree par l'enfant lui-meme, sans vérification de la realite du lien de filiation.
Profilage publicitaire, recommandation algorithmique et retargeting actives par defaut sur les comptes mineurs, en violation directe du considérant 38.
Absence de mention spécifique enfant dans l'information article 13 : langage juridique inaccessible a un mineur de 13 ans.
Conservation indefinie des données collectees avant la majorite, sans purge automatique ni droit a l'oubli renforce article 17(1)(f).

Le test 'efforts raisonnables' : la clé d'argumentation devant la CNPD

Le paragraphe 2 ne demande pas une vérification parfaite, mais des efforts raisonnables compte tenu des moyens technologiques disponibles. La CNPD et la CNIL evaluent cette proportionnalite a la lumiere du risque du traitement : un forum de discussion exige moins qu'une plateforme de géolocalisation temps reel. Plus le risque est eleve (profilage, géolocalisation, contenu sensible, monetisation), plus la vérification doit être robuste : double opt-in parental, vérification d'identité croisee, transaction bancaire symbolique, ou recours a un tiers verificateur certifie.

Comment Luxgap automatise ce risque

Notre Luxgap Minor Consent Gateway rend impossible la collecte de données d'un mineur sans consentement parental vérifié et opposable, et adapte automatiquement le seuil d'age au pays de residence detecte. L'outil s'intégré via un snippet JS leger a votre tunnel d'inscription (Drupal, WordPress, Magento, Shopify, applications React Native iOS et Android) et orchestre en temps reel l'estimation d'age, la vérification parentale et la journalisation de preuve, sans toucher au code metier.

Estime l'age probable du visiteur a partir d'un faisceau d'indices comportementaux (vitesse de frappe, vocabulaire saisi, device fingerprint, heure de connexion) et déclenche le parcours de vérification quand le score depasse le seuil de doute.
Applique automatiquement le seuil d'age national correct selon la géolocalisation IP et la langue du navigateur : 13 ans en Belgique, 15 ans en France, 16 ans au Luxembourg, et ajuste a la mise a jour de chaque loi nationale.
Orchestre la vérification parentale via plusieurs canaux gradues selon le risque du traitement : double email avec délai de reflexion, micro-transaction bancaire de 0,01 euro remboursee, vérification d'identité LuxTrust ou itsme.
Desactive automatiquement le profilage publicitaire, le retargeting et la géolocalisation précisé sur tout compte identifié comme mineur, et bloque la transmission vers vos pixels Meta, Google Ads et TikTok.
Genere une notice d'information enfant-compatible (langage simplifie, pictogrammes, vidéo de 90 secondes) conforme aux lignes directrices EDPB 05/2020 sur le consentement.
Produit un journal cryptographiquement scelle de chaque consentement parental recueilli, horodate et opposable a la CNPD lors d'un contrôle, avec purge automatique programmee a la majorite de l'enfant.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre tunnel d'inscription reel, avec un audit blanc gratuit sous 48h pour mesurer combien de mineurs ont deja contourne vos garde-fous actuels.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

Ils nous font confiance

Avant de discuter