Codiv-19 et le transfert massif des données personnelles des enfants vers les serveurs américains : que dit le RGPD ?

Codiv-19 et le transfert massif des données personnelles des enfants vers les serveurs américains : que dit le RGPD ?

Auteur : Gustave Noukagué
Publié le : 06/04/2020 06 avril avr. 04 2020

Massivement sollicitées par les collégiens et lycéens dès le 17 mars 2020 suite à la fermeture des établissements imposée par les mesures de confinement visant à limiter la propagation du coronavirus, certaines plateformes d’e-éducation ont mal supporté la multiplicité des connexions simultanées, subissant des dysfonctionnements dont les médias se sont fait l’écho.

De nombreux enseignants ont donc dû se tourner vers les plateformes américaines grand public (les Drives et autres Box) pour stocker et échanger leurs supports de cours avec leurs élèves, et poursuivre ainsi leurs enseignements au titre de la continuité pédagogique.

Au-delà des difficultés de leurs enfants à appréhender les outils numériques sur lesquels les enseignements jusque-là présentiels ont ainsi basculé du jour au lendemain, les parents ont pu légitimement s’interroger sur les traitements auxquels les données personnelles de leurs enfants se sont ainsi trouvées subitement exposées. Qu’en dit la Loi ?   

1. État des lieux 

Le Règlement européen du 27 avril 2016 sur la protection des données à caractère personnel entré en application le 25 mai 2018 (ci-après « RGPD ») nous enseigne qu’en matière de services en ligne, seul un enfant âgé d'au moins 16 ans peut valablement consentir au traitement de ses données à caractère personnel, et ce pour une ou plusieurs finalités spécifiques.

Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de l’autorité parentale à l'égard de l'enfant, étant précisé que chaque État membre peut prévoir un âge inférieur, sans toutefois passer en-dessous de 13 ans (art. 8-1 du RGPD). 

Le responsable du traitement doit s'efforcer raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de l’autorité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles (art. 8-2 du RGPD).

La Loi Informatique et Libertés du 6 janvier 1978 modifiée conséquemment, et entrée en vigueur le 1er juin 2019 (ci-après « Loi I&L ») se veut plus restrictive, puisqu’elle abaisse de 16 à 15 ans la majorité numérique de l’enfant agissant seul, précisant que lorsque le mineur est âgé de moins de 15 ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur (art. 45 de la Loi I&L modifiée).

Par ailleurs, si les données à caractère personnel peuvent circuler librement entre les pays de l’Union européenne (UE) et de l’Espace Economique Européen (EEE), elles ne peuvent être transférées vers les pays tiers qu’à certaines conditions, notamment :
  • soit lorsque le pays tiers assure un niveau de protection jugé adéquat par une décision d’adéquation de la Commission européenne (ex. Andorre, Suisse, Jersey, Israël…) ;
  • soit en se référant au « Privacy shield », s’il s’agit d’un transfert des données personnelles vers les USA, et à condition que l’entreprise destinataire des données se soit préalablement inscrite sur le registre tenu par l’administration américaine ;
  • soit en encadrant ces transferts par des instruments juridiques adéquats tels que les Clauses Contractuelles Types, modèles de contrats de transfert de données personnelles adoptés par la Commission européenne ; les Règles d'Entreprise Contraignantes ou « Binding Corporate Rules » (BCR), Code de conduite définissant la politique d'une entreprise en matière de transferts de données personnelles, etc. (art. 44 à 49 du RGPD).  

2. Les problématiques principales

S’agissant tout d’abord de la création du compte de messagerie nécessaire aux échanges avec les enseignants, si on peut supposer que certains enfants ont pu se fait aider ou accompagner par leurs parents et donner un consentement licite à cette occasion, gageons que d’autres ont dû s’y coller tous seuls.

Pour ces derniers, et en les considérant âgés de moins de 15 ans, comment s’assurer de la licéité de leur consentement au sens des dispositions précitées du RGPD et de la Loi I&L ?

On sait en effet qu’il suffit, généralement, de cliquer sur un bouton pour confirmer sa majorité, puisqu’aucun dispositif de vérification de la majorité numérique n’a réussi, pour le moment, à être mis en place de façon efficace (que ce soit du fait des limites techniques ou des considérations juridiques). La problématique est la même pour tous les sites requérant la majorité, qu’elle soit numérique ou non…

Certes, la Commission Nationale de l'Informatique et des Libertés (CNIL) a publié des Fiches pratiques (actuellement en cours de mise à jour) pour accompagner les éditeurs dans la mise en conformité de leurs sites, avec conseils et mentions-types. Mais de l’aveu même de la CNIL, ces conseils pratiques sont peu implémentés par les éditeurs des sites concernés.

S’agissant ensuite des éléments numériques échangés avec les enseignants, ils contiennent (entre autres) des données permettant d’identifier précisément chaque enfant et qui bénéficient, comme telles, d’une protection spécifique : nom, prénom, pseudo (le cas échéant) adresse email et parfois le téléphone…  

Ces données se trouvent donc stockées sur des plateformes de partage et/ou sur des serveurs de messagerie où elles peuvent faire l’objet de nombreux « traitements » au sens du RGPD, à savoir notamment : l'organisation, la consultation, l'utilisation, la diffusion ou toute autre forme de mise à disposition, l'effacement ou la destruction.

La conformité au RGPD de ces traitements questionne moins lorsque les plateformes de partage de données et/ou les serveurs de messagerie impliqués sont localisés au sein de l’UE.

En revanche, lorsque ces plateformes et serveurs sont localisés dans des pays tiers, en l’occurrence aux USA, comment s’assurer de la conformité au RGPD des transferts sous-jacents ?

Ce dernier point interroge d’autant plus que, pour les praticiens du droit de la protection des données personnelles, le simple fait d’accéder à de telles données équivaut à un transfert au sens du RGPD : il y a donc transfert de données personnelles vers un pays tiers non seulement lorsque celles-ci sont effectivement transmises vers un tel pays, mais également lorsque de telles données sont simplement accessibles depuis un pays tiers, sans aucun transfert à proprement parler, c’est-à-dire sans déplacement des données.

Dès lors, et quelle que soit leur localisation, peut-on sérieusement considérer que les plateformes et les serveurs des sociétés américaines ne sont pas accessibles depuis les USA ?

Quoi qu’il en soit, seule une analyse au cas par cas pourrait permettre de savoir avec certitude si les transferts sous-jacents ont été opérés en conformité avec le RGPD (validité du consentement de l’enfant, périmètre et étendue des traitements, mise en œuvre des instruments juridiques d’encadrement des transferts hors UE, etc.). 

Enfin, pour revenir à l’autorisation parentale nécessaire pour les enfants de moins de 16 ans, le Considérant n° 38 du RGPD donne à penser que « dans le cadre de services de prévention ou de conseil proposés directement à un enfant », celui-ci peut donner seul son consentement, sans autorisation parentale.

Mais cette dérogation n’est pas applicable en l’espèce :
  • d’une part, parce qu’elle n’a été formalisée en dur dans aucun article du RGPD.
  • d’autre part, parce que la Loi I&L modifiée n’envisage une telle dérogation que pour le mineur âgé de 15 ans ou plus, et seulement dans le cadre des traitements intervenant dans le domaine de la santé (art. 70 al. 3), ce qui n’est pas le cas de l’e-education dont il est ici question.

Le Ministre de l’Education nationale ayant annoncé le 05 avril 2020 l’organisation prochaine des « Etats généraux du numérique éducatif » afin de tirer les leçons de ce qui a fonctionné ou non pendant le confinement, ce sera sans doute l’occasion d’intégrer ces problématiques dans une politique globale de relocalisation des données personnelles des enfants, comme cela est désormais d’actualité pour certaines industries dont on découvre aujourd’hui le caractère stratégique en cas de crise, notamment sanitaire. 

En conclusion, les interrogations sont nombreuses et le débat reste ouvert sur la question du consentement numérique des enfants et des traitements dont leurs données personnelles peuvent être l’objet.

En attendant les nouvelles recommandations de la CNIL et/ou l’élaboration d’un Code de conduite en la matière, c’est aux praticiens du droit de la protection des données de concilier les projets des éditeurs des sites et plateformes pour enfants avec les impératifs de protection de leurs données personnelles, afin que force reste à la Loi.  

Gustave Noukagué
Docteur en droit
Avocat associé – Paris
www.nova-juris.com 

Historique

<< < ... 13 14 15 16 17 18 19 ... > >>