Imprimer: Comment les organisations peuvent-elles protéger les enfants dans le monde numérique au Royaume-Uni ? Par Charlotte Gerrish, Avocat et Mel Hzeg, Etudiante.

Village de la Justice www.village-justice.com

Comment les organisations peuvent-elles protéger les enfants dans le monde numérique au Royaume-Uni ? Par Charlotte Gerrish, Avocat et Mel Hzeg, Etudiante.

Parution : mercredi 5 juillet 2023

Adresse de l'article original :
https://www.village-justice.com/articles/comment-les-organisations-peuvent-elles-proteger-les-enfants-dans-monde,46679.html
Reproduction interdite sans autorisation de l'auteur.

Après que l’ICO, l’autorité de protection des données britannique, a infligé à TikTok une amende de £12,7 millions pour avoir utilisé à mauvais escient les données d’enfants en permettant à plus d’un million d’enfants de moins de 13 ans de créer un compte et d’accéder au contenu, un "Code des enfants" (le "Code") a été publié.
Ce Code a été créé pour aider les entreprises à comprendre leurs responsabilités en matière de protection des enfants en ligne. Dans cet article, nous examinons comment les entreprises peuvent protéger les enfants dans un contexte en ligne.

I. Introduction.

Selon l’ICO, un utilisateur en ligne sur cinq est un enfant et, à ce titre, les mesures de protection en ligne devraient être une priorité pour protéger les enfants dans le monde numérique. Les lois visant à protéger les enfants sont tout aussi importantes en ligne que hors ligne.

Le Code des enfants comporte 15 points essentiels, dont les suivants :

1. L’intérêt supérieur de l’enfant,
2. L’analyse d’impact de la protection des données,
3. Application adaptée à l’âge de l’enfant,
4. La transparence,
5. Utilisation préjudiciable des données,
6. Politiques et standards communautaires,
7. Paramètres par défaut,
8. Minimisation des données,
9. Partage des données,
10. Géolocalisation,
11. Contrôle parental,
12. Profilage,
13. Techniques relevant du nudge (ou du paternalisme libéral),
14. Jouets et appareils connectés,
15. Outils en ligne.

Le Code n’est pas une nouvelle loi, mais il permet de définir clairement comment le Règlement Général sur la Protection des Données (RGPD) s’applique aux enfants et aux entreprises ayant des enfants parmi leurs utilisateurs.

L’objectif du Code est d’obliger les services numériques, qu’il s’agisse d’applications, de jeux ou de sites web, à intégrer automatiquement un niveau de base de protection des données pour les enfants utilisateurs. Dans cette optique, les paramètres de confidentialité doivent être élevés et les organisations ne doivent pas utiliser de techniques relevant du nudge pour amener les enfants à abaisser leurs paramètres. En outre, les paramètres tels que les paramètres de localisation permettant de savoir où se trouve un enfant et les paramètres de profil permettant de cibler le contenu doivent être désactivés.

II. Points clés à prendre en compte lors du traitement des données des enfants.

Le Code contient un certain nombre de points importants que les entreprises doivent prendre en compte lorsqu’elles traitent des données relatives aux enfants :

Analyses d’impact sur la protection des données (DPIA).

Une DPIA est une analyse des risques qui aide les organisations à déterminer si les données des enfants sont en danger en raison de la manière dont elles sont traitées. Le RGPD exige qu’une DPIA soit réalisée avant le début de tout traitement susceptible de présenter un risque élevé pour les droits et libertés des personnes. Les facteurs de risque élevé peuvent inclure le traitement d’informations génétiques, le traitement invisible lorsque les données n’ont pas été obtenues directement auprès de la personne concernée ou lorsque vous fournissez un service spécifiquement destiné aux enfants. L’ICO indique plus en détail quand une DPIA peut être nécessaire.

L’AIPD d’une organisation doit préciser la nature et la finalité du traitement des données, évaluer la nécessité de ce traitement pour l’organisation et justifier t la base légale de ce traitement. Ensuite, le risque doit être évalué, notamment le risque pour la santé mentale et physique et le bien-être de l’enfant, le risque d’être exposé à des informations erronées ou à un temps d’écran prolongé et à des habitudes de sommeil interrompues. L’analyse des risques doit également porter sur les moyens d’atténuer les risques, par exemple en mettant en place des mesures de protection supplémentaires ou en fournissant des informations supplémentaires aux parents sur les risques potentiels.

La transparence.

Selon l’ICO, la transparence consiste à être "clair, ouvert et honnête avec vos utilisateurs" quant à la manière dont leurs données sont traitées. Nous avons constaté que TikTok avait violé l’article 5 du RGPD en n’expliquant pas clairement comment les données des enfants utilisateurs seraient utilisées.

Les entreprises peuvent se conformer à l’exigence de transparence en fournissant des informations sur la vie privée facilement accessibles aux enfants et aux parents. L’ICO précise qu’il convient de fournir des informations concises afin clarifier les termes importants relatifs à la protection de la vie privée. Les entreprises peuvent également recourir à la sécurité des accès “Just in Time” (“JIT”) au moment où les données à caractère personnel seront utilisées en invitant l’enfant à parler à un adulte s’il n’est pas sûr de vouloir continuer. Si les entreprises savent que des enfants utiliseront leurs services, elles doivent rendre l’information aussi conviviale que possible pour les enfants au moyen d’images ou de vidéos.

Le profilage.

Le profilage peut être utilisé pour cibler les utilisateurs en adaptant certains contenus et en décidant du moment et de la fréquence de diffusion de ces contenus. En particulier, le contenu présenté aux enfants ne doit pas être susceptible d’affecter leur bien-être mental et physique. Le profilage fait l’objet de règles spécifiques. L’article 22, paragraphe 1, dispose que " La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire".

Les inquiétudes portent sur le fait que les enfants peuvent être confrontés à des contenus totalement inappropriés susceptibles de les affecter négativement, tels que des images graphiques. Les enfants sont particulièrement vulnérables et peuvent être exploités par le biais du contenu potentiellement dangereux qui leur est présenté.

Les entreprises qui utilisent le profilage pour recommander certains contenus aux enfants utilisateurs seront en fin de compte responsables, plus que si l’enfant allait chercher le contenu lui-même. En effet, l’enfant est profilé en fonction de la manière dont ses données ont été traitées. Il est donc important d’identifier les enfants utilisateurs afin qu’ils ne soient pas profilés de cette manière et qu’ils soient protégés.

III. Conclusion.

Au fur et à mesure que les technologies évoluent, il est important que les entreprises appliquent les règles et principes du GDPR à ces nouvelles technologies. Le GDPR ayant déjà cinq ans, il est vrai que la législation ne peut pas s’adapter aussi rapidement que la technologie et les pratiques pour lesquelles elle a été initialement conçue. L’importance de prendre en compte les codes et autres bonnes pratiques ne peut être ignorée. Comme nous pouvons le voir, le code discuté dans cet article - bien qu’applicable au Royaume-Uni - a également une forte utilité pour les entreprises en France - les plateformes de médias sociaux et les entreprises Internet ne connaissant pas de frontières physiques.

Charlotte Gerrish, Associée Fondatrice du Cabinet Gerrish Legal Avocat au Barreau de Paris et Mel Hzeg, Stagiaire juridique chez Gerrish Legal Paris - Londres - Stockholm