Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans. Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.
Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.
Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?
Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.
Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?
Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.
Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.
En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.
Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.
Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].
Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].
Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.
La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.
L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.
Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.
Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.
Pascal Alix, avocat à la Cour et DPO externe
Séverine Lair, avocat à la Cour
[1] Considérant 75.
[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».
[3] Article 8 du RGPD.
[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL
[5] Article 7-1 de la LIL modifiée.
[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD
[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).
[8] Article 4.1 du RGPD.
[9] Le Considérant 58 reprend cette même idée.
[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.
[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.
[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)
[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;
3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »
[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.