La détermination et la vérification de la minorité numérique

– Quel(s) âge(s) en général ? – Première condition de licéité d'un traitement de données personnelles évoquée dans le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 6, 1, a). : le consentement de la personne concernée.

C'est sur cette notion de consentement que le droit, notamment des contrats, prévoit dans chaque État des âges de capacité juridique. Des âges, car la capacité juridique ne survient pas brutalement à la majorité, dix-huit ans en France. Pour ne prendre que quelques exemples, un enfant de plus de treize ans doit consentir à son adoption plénière C. civ., art. 345, al. 3. . Un mineur, quel que soit son âge, peut ouvrir un livret A et retirer seul les fonds déposés à partir de seize ans C. monét. fin., art. L. 221-3, al. 2. . En fait, les mineurs ne sont pas absolument incapables : la loi et les usages les autorisent à agir eux-mêmes C. civ., art. 389-3. .

– Quel âge dans le monde numérique ? – Dans le monde numérique, la situation des mineurs fait l'objet de dispositions spéciales. Ainsi le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 1. prévoit-il qu'est licite un traitement de données à caractère personnel auquel un mineur d'au moins seize ans a consenti.

La vérification de l'identité ou de l'âge d'un internaute étant délicate, aucun moyen n'a été prescrit pour l'opérer s'agissant des mineurs, ni dans le RGPD, ni dans la loi informatique et libertés, ni dans le décret de 2019. Le RGPD n'évoque de vérification que pour l'intervention du responsable parental, et encore, par de simples démarches raisonnables, compte tenu des moyens disponibles PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 2. . Malgré les intentions et tentatives, l'effectivité de ces contrôles se heurte encore, et probablement pour longtemps, à des obstacles techniques et matériels. Le Comité européen de la protection des données (réunion des représentants des autorités de contrôle), sous sa dénomination de « G29 », antérieure au RGPD, avait proposé des vérifications mesurées au regard des enjeux, pour que cette vérification ne conduise pas à une collecte de données personnelles plus problématique que l'intervention d'un mineur sans l'autorisation parentale nécessaire.

– Quinze ans. – Le RGPD a réservé la faculté pour les États membres d'abaisser l'âge de consentement licite au traitement de données jusqu'à treize ans. La France a usé de cette possibilité, en retenant l'âge de quinze ans, dans la version de la loi informatique et libertés issue de la loi de 2018 L. n^o 78-17, 6 janv. 1978, art. 7-1, issu L. n^o 2018-493, 20 juin 2018, art. 20. , sous l'article 45 issu de l'ordonnance de réécriture.

Outre l'expression du consentement à un traitement de données, ce même âge de quinze ans a été retenu par la loi informatique et libertés L. n^o 78-17, 6 janv. 1978, art. 70. pour l'exercice par un mineur du droit personnel à recevoir les informations liées à sa santé et s'opposer à leur communication au titulaire de l'autorité parentale, en cohérence avec les dispositions du Code de la santé publique C. santé publ., art. L. 1111-5 et L. 1111-5-1. . Il est aussi celui de la majorité sexuelle, c'est-à-dire, « l'âge à partir duquel un mineur peut valablement consentir à des relations sexuelles avec une personne majeure » Cons. const., 17 févr. 2012, n^o 2011-222 QPC, commentaires ; C. pén., art. 227-25. . Plus généralement, en droit pénal, l'âge de quinze ans est celui en dessous duquel les sanctions des infractions à l'encontre des mineurs sont renforcées C. pén., art. 227-15 et s. . Le choix de l'âge de quinze ans pour le consentement licite au traitement de données personnelles avait donc en France un certain ancrage législatif.