Je dois mettre mon organisation luxembourgeoise en conformité au considérant 38 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 38 cible trois usages a haut risque sur les mineurs : marketing, profilage de personnalite et collecte via services en ligne directs. La CNIL et la CNPD considèrent que toute plateforme accessible aux mineurs (jeu mobile, réseau social, application éducative, e-commerce avec compte) doit démontrer une vigilance renforcee, même si le service n'est pas exclusivement destine aux enfants. Le piège : croire qu'il suffit d'ecrire 'réservé aux 16 ans et plus' dans les CGU pour s'exonerer, alors que l'absence de mécanisme reel de vérification d'age est sanctionnable au titre de l'article 25 (privacy by design).Les quatre obligations concretes deduites du considérant 38Interdiction de facto du profilage publicitaire sur les mineurs : même avec consentement parental, l'EDPB considéré dans ses lignes directrices 8/2020 que la balance d'intérêts penche systématiquement contre le profilage marketing.Vérification d'age proportionnée : un simple champ 'date de naissance' libre n'est pas suffisant si votre service attire visiblement des mineurs (univers graphique, influenceurs cibles, partenariats ecoles).Information adaptee a l'age : la politique de confidentialité doit être redigee en langage clair et visuel (article 12), avec une version spécifique pour mineurs si le service les visé.Exception services de prévention : aide psychologique, lignes d'écoute, conseil en santé sexuelle, prévention des addictions ne necessitent pas de consentement parental, ce qui evite de bloquer l'accès a des dispositifs vitaux.Comment Luxgap automatise ce risqueNotre Luxgap Minor Shield rend impossible la collecte non-conforme de données de mineurs en interceptant chaque inscription en temps reel et en bloquant les flux marketing avant qu'ils n'atteignent vos prestataires publicitaires. L'outil s'installe via un snippet JS leger sur vos sites et applications, et se connecte a votre CRM (Salesforce, HubSpot, Odoo), votre CMP (OneTrust, Didomi, Axeptio) et vos plateformes ad-tech (Meta Pixel, Google Ads, TikTok) pour bloquer les transmissions des qu'un compte mineur est detecte.Detecte les inscriptions suspectes de mineurs via croisement comportemental (vocabulaire, horaires de connexion, terminal, sources de trafic) au-dela de la simple déclaration d'age.Bloque automatiquement l'envoi de signaux aux pixels publicitaires et plateformes de retargeting des qu'un utilisateur est qualifié comme probablement mineur.Genere une politique de confidentialité version 'enfant' illustree, conforme aux recommandations CNIL sur l'information adaptee a l'age.Vérifié la presence du mécanisme de consentement parental vérifiable pour les moins de 16 ans (Luxembourg) ou 15 ans (France) selon la juridiction de l'utilisateur detectee par géolocalisation IP.Identifié automatiquement les services qualifiables de 'prévention ou conseil' au sens du considérant 38 pour appliquer l'exception et ne pas bloquer l'accès aux mineurs en détresse.Produit un rapport PDF horodate ...

Considérant 38 RGPD — Considérant 38

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 38

Règlement général sur la protection des données · UE 2016/679

(38)

Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s'appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, l'age du consentement numerique du mineur est fixe a 16 ans par la loi du 1er aout 2018 portant organisation de la CNPD, contrairement a la France qui l'a abaisse a 15 ans. En-dessous de 16 ans, le consentement doit être donne ou autorise par le titulaire de la responsabilité parentale, et la CNPD attend un mécanisme de vérification reel (envoi d'un mail au parent avec lien de validation, paiement symbolique par carte bancaire parentale, piece d'identité parentale).

Pratique Luxgap : si vous operez un service grand public depuis Luxembourg et accueillez des utilisateurs FR, BE, DE simultanement, configurez Luxgap Minor Shield pour appliquer le seuil le plus eleve detecte par géolocalisation (16 ans LU/DE, 15 ans FR, 13 ans BE) afin d'eviter une mosaique d'interfaces et de garantir la conformité multi-juridictionnelle en une seule règle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 38 cible trois usages a haut risque sur les mineurs : marketing, profilage de personnalite et collecte via services en ligne directs. La CNIL et la CNPD considèrent que toute plateforme accessible aux mineurs (jeu mobile, réseau social, application éducative, e-commerce avec compte) doit démontrer une vigilance renforcee, même si le service n'est pas exclusivement destine aux enfants. Le piège : croire qu'il suffit d'ecrire 'réservé aux 16 ans et plus' dans les CGU pour s'exonerer, alors que l'absence de mécanisme reel de vérification d'age est sanctionnable au titre de l'article 25 (privacy by design).

Les quatre obligations concretes deduites du considérant 38

Interdiction de facto du profilage publicitaire sur les mineurs : même avec consentement parental, l'EDPB considéré dans ses lignes directrices 8/2020 que la balance d'intérêts penche systématiquement contre le profilage marketing.
Vérification d'age proportionnée : un simple champ 'date de naissance' libre n'est pas suffisant si votre service attire visiblement des mineurs (univers graphique, influenceurs cibles, partenariats ecoles).
Information adaptee a l'age : la politique de confidentialité doit être redigee en langage clair et visuel (article 12), avec une version spécifique pour mineurs si le service les visé.
Exception services de prévention : aide psychologique, lignes d'écoute, conseil en santé sexuelle, prévention des addictions ne necessitent pas de consentement parental, ce qui evite de bloquer l'accès a des dispositifs vitaux.

Comment Luxgap automatise ce risque

Notre Luxgap Minor Shield rend impossible la collecte non-conforme de données de mineurs en interceptant chaque inscription en temps reel et en bloquant les flux marketing avant qu'ils n'atteignent vos prestataires publicitaires. L'outil s'installe via un snippet JS leger sur vos sites et applications, et se connecte a votre CRM (Salesforce, HubSpot, Odoo), votre CMP (OneTrust, Didomi, Axeptio) et vos plateformes ad-tech (Meta Pixel, Google Ads, TikTok) pour bloquer les transmissions des qu'un compte mineur est detecte.

Detecte les inscriptions suspectes de mineurs via croisement comportemental (vocabulaire, horaires de connexion, terminal, sources de trafic) au-dela de la simple déclaration d'age.
Bloque automatiquement l'envoi de signaux aux pixels publicitaires et plateformes de retargeting des qu'un utilisateur est qualifié comme probablement mineur.
Genere une politique de confidentialité version 'enfant' illustree, conforme aux recommandations CNIL sur l'information adaptee a l'age.
Vérifié la presence du mécanisme de consentement parental vérifiable pour les moins de 16 ans (Luxembourg) ou 15 ans (France) selon la juridiction de l'utilisateur detectee par géolocalisation IP.
Identifié automatiquement les services qualifiables de 'prévention ou conseil' au sens du considérant 38 pour appliquer l'exception et ne pas bloquer l'accès aux mineurs en détresse.
Produit un rapport PDF horodate opposable a la CNPD demontrant la conformité article 8 et considérant 38, avec historique des blocages effectues.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition mineurs avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 38

Ils nous font confiance

Avant de discuter