L'identification des personnes mineures concernées

La détermination et la vérification de la minorité numérique

– Quel(s) âge(s) en général ? – Première condition de licéité d'un traitement de données personnelles évoquée dans le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 6, 1, a). : le consentement de la personne concernée.

C'est sur cette notion de consentement que le droit, notamment des contrats, prévoit dans chaque État des âges de capacité juridique. Des âges, car la capacité juridique ne survient pas brutalement à la majorité, dix-huit ans en France. Pour ne prendre que quelques exemples, un enfant de plus de treize ans doit consentir à son adoption plénière C. civ., art. 345, al. 3. . Un mineur, quel que soit son âge, peut ouvrir un livret A et retirer seul les fonds déposés à partir de seize ans C. monét. fin., art. L. 221-3, al. 2. . En fait, les mineurs ne sont pas absolument incapables : la loi et les usages les autorisent à agir eux-mêmes C. civ., art. 389-3. .

– Quel âge dans le monde numérique ? – Dans le monde numérique, la situation des mineurs fait l'objet de dispositions spéciales. Ainsi le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 1. prévoit-il qu'est licite un traitement de données à caractère personnel auquel un mineur d'au moins seize ans a consenti.

La vérification de l'identité ou de l'âge d'un internaute étant délicate, aucun moyen n'a été prescrit pour l'opérer s'agissant des mineurs, ni dans le RGPD, ni dans la loi informatique et libertés, ni dans le décret de 2019. Le RGPD n'évoque de vérification que pour l'intervention du responsable parental, et encore, par de simples démarches raisonnables, compte tenu des moyens disponibles PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 2. . Malgré les intentions et tentatives, l'effectivité de ces contrôles se heurte encore, et probablement pour longtemps, à des obstacles techniques et matériels. Le Comité européen de la protection des données (réunion des représentants des autorités de contrôle), sous sa dénomination de « G29 », antérieure au RGPD, avait proposé des vérifications mesurées au regard des enjeux, pour que cette vérification ne conduise pas à une collecte de données personnelles plus problématique que l'intervention d'un mineur sans l'autorisation parentale nécessaire.

– Quinze ans. – Le RGPD a réservé la faculté pour les États membres d'abaisser l'âge de consentement licite au traitement de données jusqu'à treize ans. La France a usé de cette possibilité, en retenant l'âge de quinze ans, dans la version de la loi informatique et libertés issue de la loi de 2018 L. n^o 78-17, 6 janv. 1978, art. 7-1, issu L. n^o 2018-493, 20 juin 2018, art. 20. , sous l'article 45 issu de l'ordonnance de réécriture.

Outre l'expression du consentement à un traitement de données, ce même âge de quinze ans a été retenu par la loi informatique et libertés L. n^o 78-17, 6 janv. 1978, art. 70. pour l'exercice par un mineur du droit personnel à recevoir les informations liées à sa santé et s'opposer à leur communication au titulaire de l'autorité parentale, en cohérence avec les dispositions du Code de la santé publique C. santé publ., art. L. 1111-5 et L. 1111-5-1. . Il est aussi celui de la majorité sexuelle, c'est-à-dire, « l'âge à partir duquel un mineur peut valablement consentir à des relations sexuelles avec une personne majeure » Cons. const., 17 févr. 2012, n^o 2011-222 QPC, commentaires ; C. pén., art. 227-25. . Plus généralement, en droit pénal, l'âge de quinze ans est celui en dessous duquel les sanctions des infractions à l'encontre des mineurs sont renforcées C. pén., art. 227-15 et s. . Le choix de l'âge de quinze ans pour le consentement licite au traitement de données personnelles avait donc en France un certain ancrage législatif.

a1-458-fig001

Le rôle des titulaires de l'autorité parentale

– Et en dessous de cet âge ? – En deçà de quinze ans, un traitement de données n'est licite que « si le consentement est donné ou autorisé par le titulaire de l'autorité parentale », selon le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 1. . Pour la France, la loi informatique et libertés le prévoit « si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale » L. n^o 78-17, 6 janv. 1978, art. 45. . Ainsi, dans l'Union, le titulaire de l'autorité parentale peut donner seul le consentement au traitement des données d'un mineur de moins de seize ans, alors qu'en France il est insuffisant à cet effet. Le consentement du mineur lui-même est imposé par la rédaction du texte français, quel que soit l'âge du mineur de moins de quinze ans Il ne peut s'agir d'une erreur ou maladresse de rédaction, l'adverbe « conjointement » venant appuyer le choix de la conjonction « et ». ; une capacité singulière d'un mineur de quinze ans reconnue en droit français.

Ce point avait d'ailleurs été l'un des motifs de saisine du Conseil constitutionnel sur la loi informatique et libertés dans sa rédaction issue de l'ordonnance du 12 décembre 2018, que le Conseil avait balayé en considérant que la rédaction du RGPD le permettait Cons. const., 12 juin 2018, n^o 2018-765, consid. 63 : « Il résulte de l'emploi des termes « donné ou autorisé » que le règlement permet aux États membres de prévoir soit que le consentement doit être donné pour le mineur par le titulaire de l'autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l'autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Les dispositions contestées ne sont donc pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne. Il en résulte que le grief tiré de la méconnaissance de l'article 88-1 de la Constitution doit être écarté ». . Il n'est pas certain, en cas de saisine, que la Cour de justice de l'Union européenne partage le même avis.

Ce n'est pas le seul cas, loin s'en faut, où le législateur français a pris des libertés avec la marge de manœuvre que lui avait laissée le RGPD L'alinéa 2 de l'article 48 de la loi informatique et liberté prévoit des dispositions inutiles, puisque déjà satisfaites par l'article 12 du RGPD, auquel renvoie l'alinéa 1^er, avec une paraphrase approximative pouvant faire penser à l'institution d'un régime particulier dont la création n'avait pas été offerte au législateur national par le RGPD… .

– Un ou deux parents ? – Le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 3. rappelle toutefois que ces dispositions particulières de capacité s'appliquent sous réserve du droit national des contrats dans chaque État membre, concernant la formation, la validité, et les effets d'un contrat à l'égard d'un enfant.

En droit français, on pourra s'interroger sur le concours d'un seul ou des deux parents de l'enfant mineur.

La conception patrimoniale des données personnelles n'étant pas celle adoptée par le législateur V. supra, n^o . , il s'agit d'une question d'autorité parentale sur la personne du mineur et non d'administration légale de ses biens. D'ailleurs, le RGPD parle du « titulaire de la responsabilité parentale » et la loi informatique et libertés vise « le ou les titulaires de l'autorité parentale » et non l'administrateur de ses biens.

Le consentement attendu doit-il provenir des deux parents, dans le périmètre général de l'autorité parentale ? Ou est-il un acte usuel, permis à un parent seul (au motif d'une présomption d'accord de l'autre parent) C. civ., art. 372 vs art. 372-2. ?

À diverses occasions, plusieurs juridictions ont considéré que le consentement des deux parents était requis pour l'exercice des droits personnels d'un mineur. La Cour de cassation l'a également considéré en matière de presse et de droit à l'image d'un enfant mineur Cass. 1^re civ., 27 févr. 2007, n^o 06-14.273. .

– Et en cas de dissension ? – Puisqu'un mineur de quinze se voit reconnaître une capacité numérique partielle, devant participer selon la loi française au consentement au traitement de ses données, qu'interviendra-t-il en cas de dissension entre ce mineur et les titulaires de l'autorité parentale, tant pour consentir à un traitement que le refuser, ou encore pour prendre des dispositions post mortem ?

Bien que les exemples semblent encore manquer, le recours à l'administrateur ad hoc de l'article 388-2 du Code civil (C. civ., art. 388-2">Lien) semble inévitable.

– Quel champ ? – Le champ de la capacité numérique des mineurs est imprécis puisqu'il est question d'un « consentement » donné dans le cadre d'une « offre directe de services de la société de l'information » PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 8, 1. .

Bien que premier, le consentement n'étant pas la principale justification de la licéité d'un traitement, le périmètre de l'intervention des deux parents pour consentir au traitement des données d'un mineur de quinze ans ne sera pas systématique.

Pourquoi la référence à une « offre directe de services de la société de l'information » n'est-elle présente, dans le RGPD comme dans la loi informatique et libertés, que lorsqu'il est question de mineurs ?

Quel est le périmètre exact des « services de la société de l'information » ?

Faut-il y voir une référence à la définition de la directive 2015/1535 PE et Cons. UE, règl. (UE) n^o 2015/1535, 9 sept. 2015, prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, art. 1^er, 1, b). (« Tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ») ? Ce qui réduirait singulièrement le périmètre de la capacité spécifique des mineurs !

Et qu'est-ce qu'une offre directe ?

Dans le silence du règlement et de la loi, ce sont les juridictions qui nous l'apprendront, lorsqu'elles seront saisies de cette question très spécifique qui ne doit cependant pas constituer un contentieux abondant nous permettant d'espérer une réponse rapide et précise.

Les personnes concernées mineures ainsi définies, quels droits particuliers leur sont-ils consentis ?