📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 8 du RGPD : Conditions applicables au consentement des enfants en ce qui concerne le service de la société de l’information

Sommaire

Introduction 

L’article 8 du Règlement Général sur la Protection des Données (RGPD) constitue une innovation majeure dans la protection des données personnelles des enfants. Cet article établit un cadre protecteur renforcé pour les enfants dans le contexte des services numériques.

Explication de l’article 

L’article 8 du RGPD encadre les conditions de validité du consentement lorsqu’il s’agit de données personnelles d’enfants reconnaissant leur vulnérabilité particulière face aux risques numériques. 

Les exigences principales de l’article 8 : 

1.Un seuil d’âge pour le consentement autonome : L’article 8 établit le principe qu’un enfant âgé d’au moins 16 ans peut valablement consentir seul au traitement de ses données personnelles dans le cadre des services de la société de l’information. Ce seuil de 16 ans constitue l’âge de la « majorité numérique » européenne par défaut.

2. Une marge de manœuvre pour les États membres : Les États membres peuvent abaisser cet âge plancher, mais jamais en dessous de 13 ans. Cette flexibilité permet aux pays de l’Union européenne d’adapter le seuil à leurs traditions juridiques et culturelles. En France, l’âge a été fixé à 15 ans, considérant qu’un mineur entrant au lycée dispose du discernement nécessaire pour appréhender l’univers numérique.

3. Le consentement parental pour les plus jeunes : Pour les enfants en dessous du seuil national (15 ans en France), le traitement n’est licite que si le consentement est donné conjointement par l’enfant et le ou les titulaires de l’autorité parentale. Cette exigence de « double consentement » vise à protéger l’enfant tout en respectant son droit à l’expression.

4. L’obligation de vérification raisonnable : Le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement parental a bien été obtenu, en tenant compte des moyens technologiques disponibles. Cette obligation de moyen, et non de résultat, reconnaît les difficultés pratiques de la vérification d’identité en ligne.

5. La préservation du droit des contrats : L’article 8 précise qu’il ne porte pas atteinte au droit général des contrats des États membres, notamment concernant la validité, la formation ou les effets d’un contrat avec un enfant. Les règles contractuelles nationales continuent donc de s’appliquer.

6. Un champ d’application limité : L’article 8 ne s’applique que lorsque deux conditions cumulatives sont remplies : le traitement doit être fondé sur le consentement (article 6.1.a du RGPD) et concerner l’offre directe de services de la société de l’information aux enfants.

Déchargez vous de votre conformité RGPD
Faites vous accompagner par un DPO externe dédié, et protégez votre entreprise et ses données.
Demandez votre démo

Texte original du RGPD

Article 8

  1. Lorsque l’article 6,, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.
  2. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.
  3. Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
  4. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

La Directive ne contient pas de disposition spécifique  au traitement de données relative aux enfants.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 45

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application du 1 de l’article 8 du règlement (UE) 2016/679 du 27 avril 2016, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.

Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

 Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.

Analyse des 3 textes qui précèdent 

L’évolution du cadre juridique entre la directive 95/46/CE, l’article 8 du RGPD et la transposition française révèle une prise de conscience progressive de la vulnérabilité spécifique des enfants dans l’environnement numérique.

La directive 95/46/CE ne contenait aucune disposition spécifique aux mineurs, les traitant juridiquement comme des adultes pour le consentement aux traitements de données personnelles. Cette absence était problématique car elle ne tenait pas compte des spécificités développementales des enfants et de leur moindre capacité à comprendre les implications du traitement de leurs données.

L’article 8 du RGPD comble cette lacune en introduisant un régime protecteur spécifique aux enfants, mais uniquement dans le cadre limité des services de la société de l’information. Cette limitation de champ d’application peut surprendre, car elle ne couvre pas tous les traitements de données d’enfants, mais seulement ceux liés aux services numériques où le consentement est la base légale choisie. Le RGPD établit un équilibre entre protection et autonomie progressive de l’enfant en fixant un seuil d’âge (16 ans par défaut) tout en permettant aux États membres de l’adapter.

La loi Informatique et Libertés va plus loin que le RGPD sur certains points. En abaissant l’âge du consentement autonome à 15 ans, la France reconnaît une maturité numérique plus précoce. Mais surtout, en exigeant un consentement « conjoint » de l’enfant et du parent pour les moins de 15 ans (là où le RGPD permet un consentement « donné ou autorisé » par le parent seul), le droit français affirme le principe de participation de l’enfant aux décisions qui le concernent, conformément à la Convention internationale des droits de l’enfant.

Cette évolution illustre le passage d’une approche fondée sur une question de capacité (l’enfant ne peut pas consentir). Elle témoigne également de l’adaptation nécessaire du droit à l’évolution technologique et à la présence massive des enfants dans l’environnement numérique.

En pratique, ces textes imposent aux responsables de traitement de repenser leurs processus de collecte de consentement pour les services s’adressant aux enfants. Ils doivent notamment mettre en place des mécanismes de vérification d’âge proportionnés aux risques, des procédures de recueil du consentement parental respectueuses de la vie privée, et des interfaces adaptées à la compréhension des enfants.

Cette protection spécifique des enfants s’inscrit dans une tendance plus large de reconnaissance des droits numériques spécifiques aux mineurs, qui devrait se renforcer avec les futures réglementations européennes comme le Digital Services Act qui impose des obligations particulières aux plateformes concernant les utilisateurs mineurs. 

Jurisprudences 

À ce jour, il n’existe pas de jurisprudence spécifique de la Cour de Justice de l’Union Européenne (CJUE) concernant directement l’article 8 du RGPD. Cette situation s’explique par la relative nouveauté de cette disposition, l’article 8 étant une innovation du RGPD par rapport à la directive 95/46/CE qui ne contenait pas de règles particulières pour les enfants.

Françaises 

Les sources confirment également l’absence de jurisprudence spécifique : « Pas de jurisprudence française pour cet article ! ».

Cependant, une décision importante du Conseil constitutionnel français existe :

Conseil constitutionnel, Décision n° 2018-765 DC du 12 juin 2018 : Cette décision a validé la transposition française de l’article 8 du RGPD. Les requérants contestaient l’exigence française d’un « double consentement » (mineur + parent) pour les moins de 15 ans, arguant que le RGPD n’exigerait que le consentement parental.

Le Conseil constitutionnel a considéré que l’expression « donné ou autorisé » dans l’article 8 du RGPD permet aux États membres de prévoir soit : 

  • Que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale
  • Que le mineur est autorisé à consentir par le titulaire de l’autorité parentale (ce qui suppose le double consentement français)

Le Conseil conclut que « les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne ».

Bien qu’il n’y ait pas de jurisprudence directe sur l’article 8, plusieurs décisions touchent à la protection des données des mineurs :

CA Paris, 9 février 2017, n° 15/13956 : Un père ne peut publier des photos de son fils sur Facebook sans l’accord de la mère, la diffusion de l’image d’un mineur constituant un acte important relevant de l’exercice conjoint de l’autorité parentale

Européennes 

Tribunal de La Haye (Pays-Bas), 1er octobre 2018 : Une influenceuse a été contrainte de retirer toutes les photos de ses enfants (2 et 4 ans) de ses réseaux sociaux, le tribunal estimant que l’exposition publique violait leur droit fondamental à la vie privée

Sanctions administratives liées à l’article 8

En l’absence de jurisprudence judiciaire, les principales applications de l’article 8 se trouvent dans les sanctions administratives des autorités de protection des données :

TikTok – 345 millions d’euros (septembre 2023)
La Commission irlandaise pour la protection des données (DPC) a sanctionné TikTok pour avoir configuré les comptes des enfants comme publics par défaut entre juillet et décembre 2020, violation directe de l’article 8 du RGPD.

Instagram – 405 millions d’euros (septembre 2022)

L’autorité irlandaise a sanctionné Instagram pour défaut de protection des données des mineurs, notamment pour avoir rendu publiques par défaut les données de contact des comptes d’enfants.

Recommandations 

CEPD 

Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679

Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès

Déclaration 1/2025 sur le contrôle de l’âge (Age Assurance)

 

CNIL

Recommandations pour renforcer la protection des mineurs en ligne

Recommandation  : Encadrer la capacité d’agir des mineurs en ligne

Recommandation : Encourager les mineurs à exercer leurs droits

Recommandation  : Rechercher le consentement d’un parent pour les mineurs de moins de 15 ans

Recommandation  : Promouvoir des outils de contrôle parental respectueux de la vie privée et de l’intérêt de l’enfant

Recommandation  : Renforcer l’information et les droits des mineurs par le design

Recommandation  : Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée

Recommandation  : Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre dans le cadre de la protection de l’enfance et des jeunes majeurs de moins de vingt-et-un ans (20 janvier 2022)

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.