19 Mai 2021 – Rapport du 117e congrès – Commission 1 – Chapitre II – Les règles d’effacement propres aux mineurs
PARTIE III – La mort dans le monde numérique
Titre 1 – La disparition numérique de son vivant
Sous-titre 2 – La suppression des données numériques
Chapitre II – Les règles d’effacement propres aux mineurs
1454 – Des personnes concernées très exposées. – Les mineurs sont de grands utilisateurs de tous les outils numériques. Nés avec eux, ils sont instinctivement plus à l’aise que leurs aînés dans leur usage. Mais leur conscience des risques induits par ceux-ci est spontanément inexistante. Ainsi, dès la généralisation du numérique grand public, ce paradoxe a rendu évidente la nécessité d’une protection particulière des mineurs au regard de l’usage du numérique et de l’utilisation faite de leurs données.
1455 – Des personnes concernées mineures très protégées. – Le RGPD ne permet un traitement de données personnelles qu’à condition de licéité.
À ce titre, en plus des conditions générales de licéité, le RGPD impose la nécessité du traitement au regard d’intérêts légitimes poursuivis, à moins que ne prévalent des intérêts, libertés ou droits fondamentaux de la personne concernée, « notamment lorsque la personne concernée est un enfant »735. Le texte invite ainsi à renforcer la prise en compte des intérêts, libertés et droits des enfants dans leur mise en balance avec les intérêts du responsable de traitement ; au-delà de la même appréciation qui serait faite pour des personnes majeures.
Il faut noter que, dès l’alinéa suivant, il est indiqué que cette réserve ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
Les mineurs font l’objet d’un traitement particulier tant dans le RGPD que dans la loi informatique et libertés. Ce traitement est singulier au regard des règles qui leur sont appliquées (Section I) et des droits qui leur sont octroyés (Section II).
Section I – L’identification des personnes mineures concernées
Sous-section I – La détermination et la vérification de la minorité numérique
1456 – Quel(s) âge(s) en général ? – Première condition de licéité d’un traitement de données personnelles évoquée dans le RGPD736 : le consentement de la personne concernée.
C’est sur cette notion de consentement que le droit, notamment des contrats, prévoit dans chaque État des âges de capacité juridique. Des âges, car la capacité juridique ne survient pas brutalement à la majorité, dix-huit ans en France. Pour ne prendre que quelques exemples, un enfant de plus de treize ans doit consentir à son adoption plénière737. Un mineur, quel que soit son âge, peut ouvrir un livret A et retirer seul les fonds déposés à partir de seize ans738. En fait, les mineurs ne sont pas absolument incapables : la loi et les usages les autorisent à agir eux-mêmes739.
1457 – Quel âge dans le monde numérique ? – Dans le monde numérique, la situation des mineurs fait l’objet de dispositions spéciales. Ainsi le RGPD740 prévoit-il qu’est licite un traitement de données à caractère personnel auquel un mineur d’au moins seize ans a consenti.
La vérification de l’identité ou de l’âge d’un internaute étant délicate, aucun moyen n’a été prescrit pour l’opérer s’agissant des mineurs, ni dans le RGPD, ni dans la loi informatique et libertés, ni dans le décret de 2019. Le RGPD n’évoque de vérification que pour l’intervention du responsable parental, et encore, par de simples démarches raisonnables, compte tenu des moyens disponibles741. Malgré les intentions et tentatives, l’effectivité de ces contrôles se heurte encore, et probablement pour longtemps, à des obstacles techniques et matériels. Le Comité européen de la protection des données (réunion des représentants des autorités de contrôle), sous sa dénomination de « G29 », antérieure au RGPD, avait proposé des vérifications mesurées au regard des enjeux, pour que cette vérification ne conduise pas à une collecte de données personnelles plus problématique que l’intervention d’un mineur sans l’autorisation parentale nécessaire.
1458 – Quinze ans. – Le RGPD a réservé la faculté pour les États membres d’abaisser l’âge de consentement licite au traitement de données jusqu’à treize ans. La France a usé de cette possibilité, en retenant l’âge de quinze ans, dans la version de la loi informatique et libertés issue de la loi de 2018742, sous l’article 45 issu de l’ordonnance de réécriture.
Outre l’expression du consentement à un traitement de données, ce même âge de quinze ans a été retenu par la loi informatique et libertés743 pour l’exercice par un mineur du droit personnel à recevoir les informations liées à sa santé et s’opposer à leur communication au titulaire de l’autorité parentale, en cohérence avec les dispositions du Code de la santé publique744. Il est aussi celui de la majorité sexuelle, c’est-à-dire, « l’âge à partir duquel un mineur peut valablement consentir à des relations sexuelles avec une personne majeure »745. Plus généralement, en droit pénal, l’âge de quinze ans est celui en dessous duquel les sanctions des infractions à l’encontre des mineurs sont renforcées746. Le choix de l’âge de quinze ans pour le consentement licite au traitement de données personnelles avait donc en France un certain ancrage législatif.
Sous-section II – Le rôle des titulaires de l’autorité parentale
1459 – Et en dessous de cet âge ? – En deçà de quinze ans, un traitement de données n’est licite que « si le consentement est donné ou autorisé par le titulaire de l’autorité parentale », selon le RGPD747. Pour la France, la loi informatique et libertés le prévoit « si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale »748. Ainsi, dans l’Union, le titulaire de l’autorité parentale peut donner seul le consentement au traitement des données d’un mineur de moins de seize ans, alors qu’en France il est insuffisant à cet effet. Le consentement du mineur lui-même est imposé par la rédaction du texte français, quel que soit l’âge du mineur de moins de quinze ans749 ; une capacité singulière d’un mineur de quinze ans reconnue en droit français.
Ce point avait d’ailleurs été l’un des motifs de saisine du Conseil constitutionnel sur la loi informatique et libertés dans sa rédaction issue de l’ordonnance du 12 décembre 2018, que le Conseil avait balayé en considérant que la rédaction du RGPD le permettait750. Il n’est pas certain, en cas de saisine, que la Cour de justice de l’Union européenne partage le même avis.
Ce n’est pas le seul cas, loin s’en faut, où le législateur français a pris des libertés avec la marge de manœuvre que lui avait laissée le RGPD751.
1460 – Un ou deux parents ? – Le RGPD752 rappelle toutefois que ces dispositions particulières de capacité s’appliquent sous réserve du droit national des contrats dans chaque État membre, concernant la formation, la validité, et les effets d’un contrat à l’égard d’un enfant.
En droit français, on pourra s’interroger sur le concours d’un seul ou des deux parents de l’enfant mineur.
La conception patrimoniale des données personnelles n’étant pas celle adoptée par le législateur753, il s’agit d’une question d’autorité parentale sur la personne du mineur et non d’administration légale de ses biens. D’ailleurs, le RGPD parle du « titulaire de la responsabilité parentale » et la loi informatique et libertés vise « le ou les titulaires de l’autorité parentale » et non l’administrateur de ses biens.
Le consentement attendu doit-il provenir des deux parents, dans le périmètre général de l’autorité parentale ? Ou est-il un acte usuel, permis à un parent seul (au motif d’une présomption d’accord de l’autre parent)754 ?
À diverses occasions, plusieurs juridictions ont considéré que le consentement des deux parents était requis pour l’exercice des droits personnels d’un mineur. La Cour de cassation l’a également considéré en matière de presse et de droit à l’image d’un enfant mineur755.
1461 – Et en cas de dissension ? – Puisqu’un mineur de quinze se voit reconnaître une capacité numérique partielle, devant participer selon la loi française au consentement au traitement de ses données, qu’interviendra-t-il en cas de dissension entre ce mineur et les titulaires de l’autorité parentale, tant pour consentir à un traitement que le refuser, ou encore pour prendre des dispositions post mortem ?
Bien que les exemples semblent encore manquer, le recours à l’administrateur ad hoc de l’article 388-2 du Code civil (C. civ., art. 388-2) semble inévitable.
1462 – Quel champ ? – Le champ de la capacité numérique des mineurs est imprécis puisqu’il est question d’un « consentement » donné dans le cadre d’une « offre directe de services de la société de l’information »756.
Bien que premier, le consentement n’étant pas la principale justification de la licéité d’un traitement, le périmètre de l’intervention des deux parents pour consentir au traitement des données d’un mineur de quinze ans ne sera pas systématique.
Pourquoi la référence à une « offre directe de services de la société de l’information » n’est-elle présente, dans le RGPD comme dans la loi informatique et libertés, que lorsqu’il est question de mineurs ?
Quel est le périmètre exact des « services de la société de l’information » ?
Faut-il y voir une référence à la définition de la directive 2015/1535757 (« Tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ») ? Ce qui réduirait singulièrement le périmètre de la capacité spécifique des mineurs !
Et qu’est-ce qu’une offre directe ?
Dans le silence du règlement et de la loi, ce sont les juridictions qui nous l’apprendront, lorsqu’elles seront saisies de cette question très spécifique qui ne doit cependant pas constituer un contentieux abondant nous permettant d’espérer une réponse rapide et précise.
Les personnes concernées mineures ainsi définies, quels droits particuliers leur sont-ils consentis ?
Section II – Les droits des mineurs
1463 Les spécificités des droits des mineurs tiennent à la fois au droit d’effacement particulier qui leur est accordé (Sous-section I) et aux modalités de sa mise en œuvre (Sous-section II).
Sous-section I – Les spécificités substantielles
1464 – Un motif spécifique prévu par le RGPD. – Le régime du droit à l’effacement des données des mineurs s’appuie tout d’abord sur le régime général, issu de l’article 17 du RGPD758.
C’est en effet l’article 17, 1, f) qui énonce sans le dire le régime des mineurs, par renvoi à l’article 8, 1, lequel vise précisément la situation de minorité légale, dans les conditions de l’article 6, 1, a), ce dernier article considérant la licéité d’un traitement fondé sur le consentement759.
Cet alinéa ajoute ainsi un motif spécifique pour obtenir l’effacement de données : la minorité de la personne concernée au moment de la collecte de données personnelles fondée sur le consentement dans le cadre d’une « offre directe de services de la société de l’information ».
C’est ce qu’explicite la loi informatique et libertés en visant littéralement les mineurs760.
1465 – La minorité légale au moment de la collecte. – Par ce renvoi, c’est bien la minorité légale qui est prise en compte, selon sa définition dans chaque État membre, sans distinction selon que l’âge de consentement « numérique » personnel du mineur était atteint ou non au moment de la collecte des données, là encore dans chaque législation nationale. Il s’agit donc bien de l’effacement de données datant de la minorité de la personne concernée, que le consentement à leur traitement ait été donné par ses parents avant sa « majorité numérique » ou par la personne concernée elle-même entre l’âge de son consentement numérique et sa majorité légale.
Ainsi une personne concernée, quel que soit son âge au moment de sa demande, n’a qu’à arguer de sa minorité au moment de la collecte de ses données pour en demander l’effacement, sans devoir caractériser qu’elle entre dans les autres circonstances ouvrant à toute personne majeure le droit à l’effacement.
1466 – Des exceptions au droit commun, ou pas. – L’article 51 de la loi informatique et libertés traite du droit à l’effacement. Dans son I, il renvoie purement et simplement à l’article 17 du RGPD, toutes parties confondues. Dans son II, alinéa 1er, il évoque « en particulier » le régime des mineurs, se contentant de paraphraser le RGPD. Puis dans le second alinéa de ce II visant les mineurs, il institue des délais de traitement de la demande d’effacement761. Dans ce II relatif aux personnes mineures, il n’est pas question des exceptions au droit à l’effacement de l’article 17, 3 du RGPD. Dans ces dispositions « en particulier », faudrait-il considérer que la loi informatique et libertés, en ne les rappelant pas, a voulu écarter ces exceptions ? La question s’est posée, mais outre que ce serait vouloir faire dire au législateur français plus qu’il n’a réellement dit, le RGPD lui-même ne lui avait pas ouvert cette possibilité. Il faut donc considérer que les exceptions de droit commun au droit à l’effacement sont également opposables aux mineurs.
Non seulement les droits des mineurs sont singuliers, mais ils sont singulièrement mis en œuvre.
Sous-section II – Les spécificités procédurales
1467 – Un délai fixé par la loi informatique et libertés ! – La loi informatique et libertés réalise régulièrement des renvois purs et simples au RGPD, sans rien lui ajouter. C’est ce qu’elle fait pour le droit à l’effacement en général762.
Mais s’agissant des mineurs, la loi pour une République numérique a au contraire prétendu spécifiquement modifier le règlement. Pour bien mesurer les spécificités du régime des mineurs, il faut se souvenir que, dans le régime général, une demande d’effacement doit être traitée dans le mois de sa demande, prolongeable à trois mois sur motivation spécifique.
S’agissant des mineurs, la loi informatique et libertés763 apporte la particularité prévue pour les mineurs : à défaut d’effacement ou de réponse dans le mois de la demande, la personne concernée peut saisir la Cnil.
Faut-il considérer que cet article de la loi, ne prévoyant qu’un mois de délai, apporte une dérogation à celui du RGPD, écartant la possibilité d’un report de trois mois qu’il prévoit ? La réponse ne peut être que négative ; la loi, d’ailleurs simplement silencieuse sur la possibilité d’un report, n’avait pas le pouvoir d’écarter ou de modifier les dispositions du règlement. Tout simplement car le RGPD n’a pas laissé au législateur national cette possibilité.
Un doute demeure toutefois, en attente d’un hypothétique contentieux sur ce point précis, et d’une décision juridictionnelle éclairante.
1468 – L’intervention de la Cnil. – Ce doute est également permis s’agissant de l’intervention de l’autorité de contrôle, la Cnil en France.
À défaut de réalisation de l’effacement sollicité dans un délai d’un mois, la loi prévoit que la personne concernée peut saisir la Cnil, qui ne dispose alors elle-même que d’un délai de trois semaines à compter de sa propre saisine pour se prononcer sur la réclamation qui lui est présentée.
La loi pouvait-elle réduire à trois semaines le délai de trois mois accordé à l’autorité de contrôle par le RGPD764, sans invitation de celui-ci à cette modification ? On peut en douter.
1469 – Un régime confus dans ses détails. – Avec la nécessité de l’intervention d’un seul ou des deux parents, pour l’accès à tout internet ou certains services seulement, avec des délais de recours également incertains…, la situation des mineurs manque singulièrement de clarté, en particulier à cause de la législation nationale française.
Mais avant de prétendre appliquer le droit, incertain en l’occurrence, la difficulté s’agissant des mineurs est tout d’abord beaucoup plus basique : aucune expérimentation n’a jusqu’ici permis de vérifier avec certitude l’âge d’un internaute, sauf à organiser pour cela une collecte de données encore plus problématique… où le remède pourrait être pire que le mal !
La Cnil, consciente de la nécessité d’améliorer le régime des mineurs, a lancé le 21 avril 2020 une consultation publique sur les droits des mineurs dans l’environnement numérique, visant à recueillir des contributions notamment sur :
la capacité juridique d’un mineur à effectuer seul certains actes sur internet ;
la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement ;
l’exercice par les mineurs de leurs droits sur leurs données.
Nul doute qu’il en ressortira des pistes intéressantes, mais probablement difficiles à mettre en œuvre au niveau européen sur une initiative simplement nationale. Or le droit des mineurs résulte plus du RGPD que de la loi informatique et libertés.
À l’inverse des personnes défuntes, dont le régime n’est issu que de la loi française.
733) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 12, consid. 58 ; L. no 78-17, 6 janv. 1978, art. 45, al. 3 et 48, al. 2.
734) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, consid. 38 ; art. 40, 2, g) ; L. no 78-17, 6 janv. 1978, art. 8, I, 2o, b).
735) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 6, 1, f).
736) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 6, 1, a).
737) C. civ., art. 345, al. 3.
738) C. monét. fin., art. L. 221-3, al. 2.
739) C. civ., art. 389-3.
740) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, 1.
741) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, 2.
742) L. no 78-17, 6 janv. 1978, art. 7-1, issu L. no 2018-493, 20 juin 2018, art. 20.
743) L. no 78-17, 6 janv. 1978, art. 70.
744) C. santé publ., art. L. 1111-5 et L. 1111-5-1.
745) Cons. const., 17 févr. 2012, no 2011-222 QPC, commentaires ; C. pén., art. 227-25.
746) C. pén., art. 227-15 et s.
747) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, 1.
748) L. no 78-17, 6 janv. 1978, art. 45.
749) Il ne peut s’agir d’une erreur ou maladresse de rédaction, l’adverbe « conjointement » venant appuyer le choix de la conjonction « et ».
750) Cons. const., 12 juin 2018, no 2018-765, consid. 63 : « Il résulte de l’emploi des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Il en résulte que le grief tiré de la méconnaissance de l’article 88-1 de la Constitution doit être écarté ».
751) L’alinéa 2 de l’article 48 de la loi informatique et liberté prévoit des dispositions inutiles, puisque déjà satisfaites par l’article 12 du RGPD, auquel renvoie l’alinéa 1er, avec une paraphrase approximative pouvant faire penser à l’institution d’un régime particulier dont la création n’avait pas été offerte au législateur national par le RGPD…
752) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, 3.
753) V. supra, no 1364.
754) C. civ., art. 372 vs art. 372-2.
755) Cass. 1re civ., 27 févr. 2007, no 06-14.273.
756) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 8, 1.
757) PE et Cons. UE, règl. (UE) no 2015/1535, 9 sept. 2015, prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information, art. 1er, 1, b).
758) V. supra, no 1430.
759) N’y a-t-il pas un principe de lisibilité et d’intelligibilité du droit ?
760) L. no 78-17, 6 janv. 1978, art. 51, II.
761) V. supra, no 1467.
762) L. no 78-17, 6 janv. 1978, art. 51, I.
763) L. no 78-17, 6 janv. 1978, art. 51, II, al. 2.
764) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 78, 2.