La protection des données personnelles des enfants

(2023)

Les données personnelles font partie des informations les plus précieuses qui nous concernent. Elles parlent de notre identité, notre âge et notre nationalité, notre santé, nos résultats scolaires et professionnels, elles documentent nos activités, nos achats en ligne, nos musiques préférées et les traits de notre visage. Ces données sont stockées par les services de l’Etat, les administrations et les entreprises, elles circulent d’un poste de travail à un autre, les entreprises les partagent et les vendent à des fins commerciales. Parfois, elles servent à contrôler le comportement de la population.

D’un côté, effectivement, les données personnelles sont essentielles au bon fonctionnement des écoles, des services sociaux et de santé, et même pour l’accès aux services culturels et aux équipements sportifs. Et de l’autre, elles permettent de très bien, ou même trop bien nous connaître. C’est pourquoi il est largement admis qu’elles révèlent notre « vie privée » et qu’elles doivent être protégées à tout prix, ou presque.

Chaque enfant a droit à la protection contre les immixtions dans sa vie privée et familiale, ainsi que contre les atteintes à son honneur et à sa réputation, comme l’énonce l’article 16 de la Convention des Nations Unies relative aux droits de l’enfant.

la protection des données personnelles des enfants est une garantie essentielle pour leur vie privée présente et future.

Le Comité des droits de l’enfant des Nations Unies l’a confirmé en recommandant aux gouvernements de prendre des mesures suffisantes et de

« faire en sorte que la vie privée des enfants soit respectée et protégée par toutes les organisations et dans tous les environnements qui traitent les données des enfants. La législation devrait prévoir des garanties solides, la transparence, une surveillance indépendante et l’accès à des recours. »[1]

Il a ensuite réitéré sa prise de position au moment de conclure l’examen des rapports soumis par le gouvernement suisse (voir ci-après).

pour lire une version de cette chronique adaptée aux enfants :
Ton journal PARLE – n°5 – février 2023
https://aidde.org/journal-de-l-academie/

Protéger les données personnelles est une obligation

Les gouvernements sont les seuls en mesure d’adopter des lois et d’imposer des mesures efficaces pour la promotion et la protection des droits des personnes. Cette obligation est omniprésente dans le champ des droits humains : il est attendu des États qu’ils « s’engagent à respecter et à garantir à tous les individus se trouvant sur leur territoire et relevant de leur compétence les droits reconnus […], sans distinction aucune »[2]. Leur responsabilité est vaste, et elle se façonne en fonction des champs de l’activité étatique, sociale, économique, sécuritaire ou numérique.

Tant les États que leurs administrations et les acteurs privés doivent strictement se conformer au respect de la vie privée des individus. En matière de protection des données personnelles, les règles et limites imposées au « traitement des données personnelles » concernent l’information et le consentement des intéressé.e.s, la collecte, le stockage, l’utilisation et l’échange de données, ainsi que les mécanismes de sécurité et d’autocontrôle, la surveillance et les sanctions. Elles incluent aussi le droit de limiter soi-même l’usage de ses données et d’en demander l’effacement (droit à l’oubli).

Et pourquoi se préoccuper des enfants ?

L’obligation de protéger et promouvoir les droits humains n’a d’effets positifs que si elle tient compte des besoins des divers groupes de la population, dans une perspective d’égalité. En ratifiant la Convention relative aux droits de l’enfant, les gouvernements se sont engagés à adopter des lois et à définir les mesures les plus efficaces possibles, autrement dit : les paramétrer en tenant compte de la situation particulière des enfants, de leurs droits fondamentaux, de leurs capacités et de leur vulnérabilité.

Le respect de la vie privée et de l’intégrité numérique des enfants et des jeunes est impossible sans que des règles spécifiques soient prescrites. Face à la collecte et au traitement de leurs données personnelles,

  • très souvent, les enfants ne sont pas en mesure de comprendre tout seuls la question et l’enjeu,
  • les données les concernant sont rassemblées, gérées et conservées par leurs parents, l’école, les services sociaux et de santé, et
  • elles vont accompagner les enfants durant toute leur vie d’enfant et ensuite leur vie d’adulte.

C’est ce qui a motivé le Comité des droits de l’enfant des Nations Unies, au mois de septembre 2021, à demander instamment au gouvernement suisse de  :

« veiller à ce que les lois relatives à l’accès à l’information et à l’environnement numérique, y compris la loi fédérale sur la protection des données, garantissent le respect de la vie privée des enfants, protègent ces derniers contre les contenus et matériels préjudiciables et les risques en ligne, et prévoient des mécanismes permettant d’engager des poursuites en cas d’infraction ».[3]

doc. CRC/C/CHE/CO/5-6

C'est un triple mandat qui découle de la Constitution fédérale

En Suisse, la Constitution fédérale assure le respect de la vie privée et familiale[4]. Chacune et chacun doit être protégé contre l’emploi abusif de ses données personnelles (art. 13), dans le respect du principe de l’égalité, c’est-à-dire indépendamment de sa situation sociale, de son âge ou de son éventuelle situation de handicap (art. 8). Les enfants et les jeunes ont « droit à une protection particulière de leur intégrité et à l’encouragement de leur développement » (art. 11).

Il appartient aux autorités fédérales, cantonales et communales, y compris le parlement fédéral et les parlements cantonaux, de tenir compte de ce triple enjeu de protection des enfants et des jeunes. Elles ont le devoir de concevoir, puis d’adopter un ensemble de normes adaptées à la situation, à sa complexité, à la gravité de l’enjeu et aux capacités des justiciables, compte tenu de leur degré d’autonomie ou d’un risque sérieux de préjudice.

Les défaillances de la protection des données en Suisse

La loi fédérale sur la protection des données, qui a été adoptée par les Chambres fédérales en 2020 et entre en vigueur le 1 septembre 2023, énumère les « droits de la personne concernée » par la collecte et l’exploitation de ses données personnelles (chapitre 4). Mais elle ne remplit pas le triple mandat constitutionnel. Tant la nouvelle législation (https://www.fedlex.admin.ch/eli/cc/2022/491/fr) que son ordonnance d’application[5] passent complètement sous silence les aspects particuliers du respect de la vie privée et de l’intégrité numérique des enfants et des jeunes.

Malgré les interventions répétées de L’ADIDE (voir ci-dessous), le gouvernement fédéral et les Chambres fédérales ont renoncé à toute spécification à l’attention des personnes mineures. Aucunes directives précises ne sont données au sujet d’une information rédigée en termes accessibles, ni de l’âge auquel un jeune peut ou doit donner son consentement à la collecte et au traitement des données. Rien n’est dit au sujet de l’exercice du droit de consulter ses propres données et d’en demander l’effacement de manière simplifiée. En 2023, les services de l’administration fédérale et les entreprises privées sont laissés seuls face à leur devoir de respecter les droits fondamentaux d’une façon adaptée et ciblée, sans qu’il soit garanti qu’une pratique sûre et homogène voie le jour. Les justiciables mineurs et jeunes adultes devront chercher ailleurs que dans la loi des outils et des arguments propices à la protection de leurs droits et à d’éventuelles procédures contre les administrations ou les entreprises privées.  

Un constat décourageant

Le droit helvétique actuel n’aura pas porté une attention suffisante à la réalisation des objectifs constitutionnels. En s’inspirant des progrès législatifs réalisés par les institutions européennes (voir ci-dessous), il aurait été possible de formuler le principe d’une protection pertinente, ou appropriée, pour les enfants, les jeunes et d’autres personnes éventuellement vulnérables. Ce désintérêt manifesté par les Chambres fédérales et l’administration fédérale se répercutera fort probablement sur les 26 législations cantonales qui sont en cours de révision (chaque canton ayant la compétence d’adopter les règles applicables dans ses propres services administratifs).

Les articles 13, 11 et 8 de la Constitution fédérale, ainsi que l’article 16 de la Convention relative aux droits de l’enfant, lus ensemble, laissaient entrevoir des perspectives de progrès. Ils vont rester lettres mortes ou presque, face aux activités de collectes de données qui sont menées sur le territoire national.

∞∞∞∞∞∞∞∞

La loi fédérale de 2020 sur la protection des données

En résumé, la loi fédérale sur la protection des données, du 25 septembre 2020 (RS 235.1 – https://www.fedlex.admin.ch/eli/cc/2022/491/fr), s’applique aux entreprises et personnes privées qui traitent des données personnelles, ainsi qu’aux organes fédéraux. Elle énonce et définit

les principes fondamentaux et les standards actuellement applicables

les obligations et les limites de la collecte et du traitement des données, les règles de procédure pour les administrations et les entreprises privées, et des consignes de sécurité et d’autocontrôle pour le traitement, le stockage, la communication et la sécurité de ces données

les droits des personnes concernées, les conditions de leur exercice et les procédures à observer pour les exercer

le rôle du Préposé fédéral à la protection des données personnelles et à la transparence.

∞∞∞∞∞∞∞∞

Entre 2017 et 2021, les interventions insistantes de L’ADIDE

De 2017 à 2021, L’ADIDE s’est efforcée de sensibiliser les autorités fédérales au thème de la protection des données personnelles appartenant aux enfants et aux jeunes. Notre but n’était pas de revendiquer des droits « meilleurs », ou accrus. Il était d’obtenir que la législation suisse dise clairement à quelles conditions une personne mineure peut exercer son droit à la protection de sa vie privée, soit elle-même directement, soit conjointement avec son représentant légal.

Les points essentiels de la position de L’ADIDE sont les suivants :

Les enfants et les jeunes disposent du droit à l’autodétermination en matière informationnelle ; ils peuvent l’exercer dès le moment où ils sont capables de discernement.

Ils doivent donner eux-mêmes leur consentement libre et éclairé à la collecte de données personnelles.

À la majorité et/ou au terme de leur formation scolaire ou professionnelle, ils doivent pouvoir se réapproprier les données personnelles qui auront été collectées durant leur minorité et demander que certaines de celles-ci soient rectifiées ou effacées.

Une procédure simple et facilement accessible doit être mise à leur disposition afin de garantir la protection, la rectification ou l’effacement de leurs données personnelles.

En raison du désintérêt manifeste du Parlement fédéral et de l’administration fédérale, L’ADIDE a fait part de sa préoccupation au Comité des droits de l’enfant des Nations Unies. Les experts internationaux ont donné suite à ces remarques en publiant la recommandation citée plus haut.

∞∞∞∞∞∞∞∞

Lexemple concluant du droit de l’Union européenne

Le RGPD, soit le Règlement européen pour la protection des données[6], réserve une place aux besoins des enfants et des jeunes (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX2016R0679). Il repose, entre autres, sur les principes que

(38) Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils  peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.

(65) […] lorsque la personne concernée a donné son consentement à l’époque où elle était enfant [elle] n’était pas pleinement consciente des risques inhérents au traitement, et [qu’] elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

(75)  Des risques pour les droits et libertés des personnes physiques, […], peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: […] lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants.

Dans ce cadre, les Etats membres de l’Union européenne s’engagent à imposer des conditions particulières au consentement et à l’information des jeunes intéressé.e.s :

« Le traitement des données à caractère personnel relatives à un enfant est licite lorsque lorsque [et à partir du moment où] l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans » (art. 8).

« […] des mesures appropriées [doivent être] prises pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant » (art. 12).

Les codes de conduite relatifs aux modalités d’application préciseront en particulier « les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant » (art. 40.g).

°°°°°°°°°°°

[1] Comité des droits de l’enfant, Observation générale n° 25 consacrée aux droits de l’enfant dans l’environnement numérique, 2 mars 2021, doc. CRC/C/GC/25, https://www.ohchr.org/fr/documents/general-comments-and-recommendations/general-comment-no-25-2021-childrens-rights-relation (par. 70).

[2] Pacte international relatif aux droits civils et politiques (1966), https://www.ohchr.org/fr/instruments-mechanisms/instruments/international-covenant-civil-and-political-rights (art. 2).

[3] Comité des droits de l’enfant, Observations finales concernant le rapport de la Suisse valant cinquième et sixième rapports périodiques, 22 octobre 2021, doc. CRC/C/CHE/CO/5-6, https://www.ohchr.org/en/documents/concluding-observations/crcccheco5-6-concluding-observations-combined-fifth-and-sixth (par. 24.b).

[4] RS 101 – https://www.fedlex.admin.ch/eli/cc/1999/404/fr.

[5] L’Ordonnance sur la protection des données (OPDo) du 31  août 2022, entrera en vigueur le même jour (RS 235.11 – https://www.fedlex.admin.ch/eli/cc/2022/568/fr,

[6] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX2016R0679 (préambule et art. 8, 12 et 40, entre autres). Voir aussi les Lignes directrices relatives au respect, à la protection et à la réalisation des droits de l’enfant dans l’environnement numérique, adoptées par le Comité des Ministres du Conseil de l’Europe en 2018 (CM/Rec(2018)7 – https://edoc.coe.int/fr/les-enfants-et-l-internet/7920-lignes-directrices-relatives-au-respect-a-la-protection-et-a-la-realisation-des-droits-de-lenfant-dans-lenvironnement-numerique-recommandation-cmrec20187-du-comite-des-ministres.html (ligne 3.4).

© adide 2023