Vie privée des enfants : une protection insuffisante sur les sites Internet
RSS CNIL - , 2/09/2015
29 autorités dans le monde ont mené un audit pour vérifier le respect des règles de protection de la vie privée par les sites internet consultés par les enfants. Cette opération montre que leurs données personnelles sont insuffisamment protégées.
Que ce soit pour jouer, apprendre, s’informer, bénéficier d’un soutien scolaire ou suivre les aventures de son personnage préféré, les enfants et adolescents passent beaucoup de temps sur Internet (en moyenne, par semaine, 3h40 de 1 à 6 ans, 5h30 de 7 à 12 ans, 13h30 de 13 à 19 ans en 2015) et le temps consacré à cette navigation augmente (plus d’une heure par tranche d’âge entre 2012 et 2015).
En mai dernier, 29 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne sur 1 494 sites et applications : l’Internet Sweep Day. La CNIL y a participé.
L’objectif était de vérifier si les sites et applications Internet consultés par les enfants et adolescents respectaient bien les règles de protection de la vie privée.
Les vérifications effectuées ont porté principalement sur :
La CNIL a examiné 54 sites internet consultés par les enfants et adolescents (la moitié des sites s’adressaient aux 7-12 ans, un quart aux moins de 7 ans, un quart aux plus de 12 ans). Ces sites couvraient différentes thématiques qui correspondent aux habitudes des jeunes publics : jeux, offres éducatives, réseau social, mais aussi accès à des chaînes tv, actualité web ou encore soutien scolaire. Ces vérifications font apparaître :
Les vérifications effectuées montrent également que :
La CNIL publie deux fiches pratiques :
- le type de données collectées,
- le niveau d'information et l’adaptation de l’information aux utilisateurs (un mineur ou un adolescent peut-il comprendre ?)
- la présence de mesures de vigilance ou de contrôle liées au jeune âge du public visé (quelles précautions particulières sont prises ?).
Tendances observées par la CNIL et ses homologues
La CNIL a examiné 54 sites internet consultés par les enfants et adolescents (la moitié des sites s’adressaient aux 7-12 ans, un quart aux moins de 7 ans, un quart aux plus de 12 ans). Ces sites couvraient différentes thématiques qui correspondent aux habitudes des jeunes publics : jeux, offres éducatives, réseau social, mais aussi accès à des chaînes tv, actualité web ou encore soutien scolaire. Ces vérifications font apparaître :
- Une large collecte de données personnelles et peu de marge de manœuvre sur la suppression de comptes : 87 % (67% en moyenne pour les homologues) des sites examinés par la CNIL collectent des données personnelles (adresse IP, identifiant du terminal mobile, localisation), notamment à partir de la création obligatoire d’un compte utilisateur (nom, prénom, email). Si pour certaines de ces données, la collecte est justifiée par le service proposé par le site, pour d'autres, cette collecte n’est pas nécessaire. Seuls 39% de ces sites offrent à leurs utilisateurs une manière simple de supprimer leur compte ;
- Un défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données : 71% des sites examinés comportent une mention d’information relative à la collecte de données à caractère personnel et notamment aux droits « informatique et libertés » des utilisateurs, mais seulement 33% adaptent l’information au jeune public visé et l’indiquent sur le formulaire rempli par l’enfant (ou son parent) ;
- Une redirection courante vers des sites tiers, dont des sites marchands : sur 63 % des sites, les enfants peuvent être redirigés vers un autre site, y compris de type marchand, par un simple clic ;
- Le dépôt de cookies sans bandeau d’information, une pratique encore très courante : tous les sites examinés déposent des cookies sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil sans recueillir son consentement préalable et la plupart (63 %) sans l’apposition du bandeau d’information obligatoire.
Un point d’attention particulier : les mesures de vigilance et de contrôle parental liées au jeune public
Les vérifications effectuées montrent également que :
- Trop de sites n’ont aucune mesure de vigilance : 62% de ces sites ne proposent aucune mesure de vigilance ou de contrôle parental à destination du jeune public (comme un message de sensibilisation ou l’envoi d’un email aux parents pour les informer de la collecte des données de leur enfant et leur demander leur accord).
- La case de recueil de l’accord parental est la mesure la plus courante, mais est loin d’être généralisée : 18% des sites observés recueillent l’accord parental au moyen d’une case, 15 % introduisent une mesure de vérification de l’âge, 13 % incitent à la vigilance, 11% mettent en place un tableau de contrôle parental lors de la création du compte.
Les conseils de la CNIL à destination des gestionnaires de sites pour enfants et des parents
La CNIL publie deux fiches pratiques :
- pour accompagner les éditeurs dans la mise en conformité de leur site, avec conseils et mentions-types ;
- pour aider les parents à accompagner leurs enfants pour une navigation respectueuse de leur vie privée.
- envoi d’un courrier aux éditeurs des sites pour enfants leur rappelant leurs obligations et les droits de leurs jeunes utilisateurs ; faute d’une mise en conformité de leur part, la CNIL se réserve la possibilité d’effectuer de nouvelles vérifications et, le cas échéant, d’engager des procédures de sanction ;
- envoi d’un courrier aux associations de parents afin de les alerter sur les constats du Sweep day et construire avec eux une démarche de vigilance.