3

La pertinence du règlement quant aux libertés fondamentales : l’exemple de l’accès des mineurs aux plateformes

< Rapport d'information de la commission des affaires européennes >

En vertu d’un choix légistique d’économie, de nombreux aspects d’application directe du règlement n’apparaissent pas dans le projet de loi. Il en va ainsi de la protection des données à caractère personnel des mineurs. Les dispositions inscrites à l’article 8 du règlement relatif aux conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information sont certes d’application directe, mais les États membres étaient libres d’y déroger sur un point précis : la fixation de l’âge du consentement au traitement des données personnelles. Le règlement fixe à 16 ans l’âge en dessous duquel ce consentement doit être recueilli auprès des titulaires de la responsabilité parentale, mais prévoit que les États membres peuvent descendre jusqu’à l’âge de 13 ans. Si la France n’a pas fait un tel choix, l’Espagne ou la République tchèque ont choisi de faire usage de cette marge de manœuvre et de fixer l’âge de l’accès à certains services de l’information, tels que les plateformes digitales ou les réseaux sociaux, à 13 ans. Le G29 explicite et recommande la manière dont les responsables de traitement peuvent gérer les situations de divergence entre États membres sur l’âge de consentement, mais encourage les États membres à conserver une approche harmonisée en la matière (24).

Votre rapporteure souhaite apporter un certain nombre de précisions sur ce point. En premier lieu, du fait de la divergence des choix entre les différents États membres, les responsables de traitement et les sous-traitants devront en effet, pour cette matière comme pour d’autres, rester attentif aux différentes normes nationales et endurer le coût d’information engendré par cette situation. Par exemple, le projet de loi actuellement discuté en Estonie prévoit que l’âge du consentement soit porté à 14 ans, en vertu de l’article 33 du Code pénal estonien, selon lequel une personne peut être jugée légalement comptable de ses actes à partir de cet âge-là (25).

Il paraît d’autre part difficile de croire, malgré le recrutement de milliers de modérateurs sur des plateformes telles que Facebook pour « chasser » les comptes des enfants les plus jeunes, que la pratique numérique des mineurs de moins de seize ans, sera respectueuse de ces dispositions. Les autorités de contrôle, tout comme les prestataires techniques et les responsables de traitement, ne disposent pas de moyens, dans l’état actuel des avancées technologiques, pour vérifier que des mineurs de moins de seize ans n’usurpent pas le consentement au traitement de leurs données personnelles, auquel seules peuvent normalement consentir les personnes titulaires de l’autorité parentale, sauf à demander une photocopie de la carte d’identité ou de tout autre document susceptible de prouver l’âge de l’internaute, pratique impossible à mettre en œuvre.

En tout état de cause, votre rapporteure estime que la détermination adéquate de l’âge du consentement doit prendre en compte la réalité de la pratique des adolescents sur internet. Compte tenu des grandes difficultés techniques pour vérifier la réalité du recueillement du consentement auprès des autorités parentales et du nombre d’internautes potentiellement concerné (26), il conviendrait de mettre davantage l’accent sur l’éducation au numérique plutôt que sur une limitation difficilement applicable de la navigation des adolescents en ligne. Éviter la fragmentation doit être de surcroît un objectif prioritaire dans l’adaptation des lois nationales au règlement européen. C’est dans cet esprit que le pré-projet de loi suédois relatif à la protection des données s’appuie sur l’exemple du droit américain, l’avis du Contrôleur européen de la protection des données, les travaux de la Commission préalables aux trilogues, pour fixer l’âge du consentement à 13 ans.

Dès lors, votre rapporteure estime que, à l’instar du choix que semblent faire d’autres pays tels que la République tchèque ou l’Irlande, il conviendrait d’abaisser la limite d’âge relative au consentement à 13 ans, et appuyer cette position auprès des institutions européennes dans le cadre des échanges de bonne pratique actuellement mises en place par la Commission européenne.

Toutefois, en contrepartie de cet assouplissement, les modalités de contrôle des responsables de traitement doivent être d’autant plus renforcées et les informations à destination des utilisateurs finaux exposées clairement. Les adolescents doivent être en mesure de connaître les fins auxquelles leurs données personnelles sont traitées, ainsi que la manière dont elles le sont. À ce titre, ainsi qu’il est exposé ci-après, la mise en place d’actions de groupe en responsabilité ne peut que participer au renforcement des droits des citoyens, y compris mineurs, dans le domaine numérique.

< Rapport d'information de la commission des affaires européennes >