Âge d'inscription sur les réseaux sociaux : faisons le point

Article publié à l'origine le 13 juin 2018

En ces temps obscures où le RGPD est sur toutes les lèvres y compris les moins compétentes, on entend continuellement des idioties qui font saigner mes oreilles sensibles de juristes. Aujourd'hui je m'attaque à l'une des pires selon moi : l'âge d'inscription sur les réseaux sociaux.

Alors, à quel âge peut-on vraiment s'inscrire sur un réseau  social ?

Le mythe des 13 ans : un complot de la CIA (presque)

Je ne le dirai qu'une fois, alors écoutez bien : il n'y a pas, il n'y a jamais eu, de règle interdisant de s'inscrire sur un réseau social, ou n'importe quel site d'ailleurs, avant 13 ans. Pourquoi tout le monde pense que c'est le cas ? Et bien c'est la faute aux américains.

En 1998, le parlement américain vote une loi appelée COPPA, pour Children Online Privacy Protection Act (Loi de protection de la vie privée des enfants en ligne). Cette loi encadre l'usage des données personnelles des enfants américains de moins de 13 ans par les sites internets. Soyons clairs, elle n'interdit pas de collecter les données des enfants ou d'en faire divers usages. Elle vient juste réglementer les conditions pour utiliser ces données.

N'ayant pas très envie de faire les efforts financiers pour se mettre en conformité avec cette loi qui tue l'innovation (comme quoi y a pas que le RGPD), la plupart des sociétés américaines ont inséré dans leurs conditions générales d'utilisation une phrase magique : "Ce site / service / réseau / ce que tu veux est interdit aux enfants de moins de 13 ans". Pas d'enfant de moins de 13 ans ça voulait dire pas besoin de se plier à la COPPA, le tour était joué.

Par la suite les sites internets américains ont répété cette interdiction partout dans le monde même si la COPPA ne s'applique qu'aux États-Unis. La nuance est importante, ce n'est pas la loi qui interdisait l'inscription avant 13 ans mais bien les sites eux-mêmes. On y reviendra.

Le RGPD entre en scène

Le RGPD j'imagine que vous en avez entendu parler. Voté en 2016, entré en application le 25 mai 2018, ce triomphe de l'Union européenne, que dis-je, ce monument, vient encadrer le traitement des données personnelles des ressortissants européens. Parmi les 99 articles de cette œuvre immortelle on en trouve pas moins de... un seul concernant les enfants ! Il s'agit de l'article 8, le voici :
1. Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

Résumons le en des termes clairs. En ce qui concerne les services en ligne, le consentement d'un enfant n'est licite qu'à partir de 16 ans. Avant cet âge, c'est au parent (ou responsable légal) de donner son consentement au nom de son enfant, ou bien d'autoriser son enfant à consentir. Le traitement de données n'est pas licite sans ce consentement parental.

Les États peuvent abaisser ce seuil de 16 ans jusqu'à 13 ans. En France par exemple, le choix a été fait de le fixer à 15 ans.

Enfin, l'article dit que les sociétés qui proposent des services en ligne doivent fournir un effort raisonnable, compte tenu des moyens technologiques disponibles pour vérifier l'âge des utilisateurs et si besoin le consentement du parent.

Les juristes s'écharperont sans doute longtemps sur cette notion d'effort raisonnable, mais on peut déjà se mettre d'accord sur le fait que cet effort doit exister matériellement. Sans aucun moyen de contrôle mis en place sur un site internet ni aucun investissement financier de la part de la société propriétaire du site on peut, je pense, estimer que le compte n'y est pas.

Or, pour le moment les réseaux sociaux ne semblent pas l'avoir bien compris. Ils se sont contentés de passer l'âge minimum d'inscription de 13 à 16 ans en Europe, ce qui leur permet d'affirmer que chez eux il n'y a point d'enfant et donc que l'article 8 du RGPD ne s'applique pas à leur cas.

Les réseaux sociaux se (nous ?) trompent

La solution des réseaux sociaux est-elle satisfaisante ? Je dis non.

Soyons clairs, ils peuvent tout à fait modifier l'âge minimum pour s'inscrire si ça leur chante. Mais penser que ça suffit à respecter le RGPD c'est se moquer de nous. Le RGPD ne dit pas que l'article 8 s'applique si le site autorise l'inscription des enfants de moins de 16 ans. L'article s'applique et c'est tout. Il n'est juste pas possible de se dédouaner de cette obligation.

Procédons à une petite comparaison pour éclaircir ce point.

Imaginez un centre commercial affichant à sa porte un magnifique panneau "Entrée interdite aux moins de 16 ans". Imaginez maintenant que dans ce centre commercial il existe un règlement disant que l'employé qui trouve un enfant de moins de 16 ans dans le centre commercial a le droit de le garder pour lui. Cette pratique est bien évidemment illicite. Pour autant, le centre commercial ne peut pas se défendre en disant : "Aucune chance qu'un de nos employés kidnappe un enfant, l'entrée est interdite aux moins de 16 ans !"

Pour les réseaux sociaux c'est pareil. Si un enfant pénètre sur un réseau social, même sans autorisation, et que ses données sont collectées et utilisées sans consentement de ses parents, c'est illicite. Le fait que l'enfant n'avait pas le droit de se trouver là et donc que sa collecte de données personnelles n'aurait pas dû se produire n'y change rien.

Le déni de Facebook

En février dernier j'ai assisté à  une conférence organisée par Facebook sur le thème : Les usages numériques des adolescents. Parmi les intervenants se trouvait la Directrice des relations publiques de Facebook France (dont je ne retrouve pas le nom) que j'ai pu interroger sur ce sujet du contrôle de l'âge des enfants.

Sa réponse a été de me dire que Facebook, Instagram et autres étaient interdits aux moins de 13 ans (16 ans depuis) pour protéger les enfants. Si des enfants s'inscrivaient tout de même ce n'était pas de sa faute mais la leur et celle des parents.

Je lui ai alors fait remarquer le RGPD n'interdisait pas aux enfants de s'inscrire et d'ailleurs ne leur créait aucune obligation ou interdiction, mais au contraire que l'obligation pesait sur les sites internets qui devaient mettre en place des mesures spécifiques. Elle est alors passée en mode full Zuckerberg à base de "mon équipe va revenir vers vous", ce qui évidemment n'a jamais été fait.

Conclusion : que faire ?

Que peuvent donc faire les parents face à cette situation ?

Déjà, se rassurer sur un point. Leurs enfants ne commettent rien d'illicite en s'inscrivant à 15, 13 ou même 8 ans sur un réseau social. Les réseaux sociaux veulent nous faire croire qu'ils font quelque chose de mal et c'est faux. La responsabilité pèse sur les réseaux sociaux, pas sur les enfants.

Ensuite, fixer l'âge d'inscription avec votre enfant, en discutant pour comprendre ses besoins, ses envies et en essayant de trouver un terrain d'entente. Pour info, 17% des enfants ont des comptes sur internet inconnus de leurs parents (Étude sur les pratiques numériques des 11-18 ans, Association Génération Numérique, 2018). Pour les protéger il vaut donc mieux faire quelques concessions que de fixer des règles trop stricts qu'il contournera.

En dernier lieu, vous pouvez saisir la CNIL de ce problème. Si votre enfant a moins de 15 ans et possède un compte sur un réseau social qui n'a pas cherché à vous contacter pour obtenir votre consentement, vous êtes en droit de demander à la CNIL de faire cesser la collecte illicite des données de votre enfant. Alternativement contactez une asso de défense des enfants ou bien des internautes qui pourra saisir la CNIL dans le cadre d'une action collective.

Mais surtout, surtout, arrêtez de penser qu'il est interdit de s'inscrire sur un réseau social avant 13/16 ans. Et frappez fortement les couilles de ceux qui l'affirment.