Déposé le 19 avril 2018 par : M. Malhuret, Mme Deromedi, M. Bonhomme, les membres du groupe Les Indépendants - République, Territoires.
Compléter cet article par un paragraphe ainsi rédigé :
… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :
« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.
« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.
« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »
Amendement de repli.
Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant").
Cette rédaction prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.
En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".
Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ?
La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental.
Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).
NB:La présente rectification porte sur la liste des signataires.
Aucun commentaire n'a encore été formulé sur cet amendement.