Article 8 du RGPD : tout traitement de données d’un mineur sans validation parentale est nul.
Ce n’est pas une formalité : la loi exige des preuves, des procédures, et un niveau de vigilance renforcé.
🔍 Âge par pays, vérification du parent, documentation : votre check-list complète.
Décryptage complet de l’article 8 du RGPD
En ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données est licite :
- Si l’enfant est âgé d’au moins 16 ans.
- S’il est âgé de moins de 16 ans, uniquement si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.
Les États membres peuvent fixer un âge inférieur pour ce consentement, à condition qu’il ne soit pas inférieur à 13 ans.
Le responsable du traitement doit s’efforcer raisonnablement de vérifier que le consentement est bien donné ou autorisé par le titulaire de la responsabilité parentale, en tenant compte des moyens technologiques disponibles.
Le présent article ne porte pas atteinte au droit général des contrats dans les États membres, notamment en ce qui concerne la validité, la formation ou les effets d’un contrat impliquant un enfant.
👨👩👧 Devez-vous recueillir le consentement parental ?
À retenir d’entrée de jeu
- En dessous de 16 ans (ou moins selon les pays), l’autorisation parentale est indispensable
- Le consentement doit être vérifié, archivé et réversible
- Certains cas sont exemptés (éducation, conseil, prévention)
- L’article 8 RGPD touche les sites, apps, jeux, plateformes éducatives ou sociales ciblant des mineurs
Êtes-vous concerné par l’article 8 RGPD ?
Dès que votre site ou app s’adresse, même partiellement, à des mineurs, l’article 8 s’applique. Les règles du RGPD ne concernent pas seulement les géants du web.
Services concernés :
- Applications mobiles, jeux en ligne, plateformes éducatives
- Réseaux sociaux, forums, sites e-commerce
- Tout service collectant des données (email, pseudo, photos…)
Le RGPD s’applique aussi aux services gratuits dès qu’ils collectent des informations personnelles auprès d’enfants.
Un détail suffit à vous faire entrer dans le cadre
Vous êtes concerné si :
- Votre contenu attire les moins de 16 ans
- Un enfant peut s’inscrire ou publier
- Vous suivez des utilisateurs via cookies ou pixels
👉 Dans tous ces cas : consentement parental obligatoire sous l’âge légal.
Quel est l’âge du consentement selon le RGPD ?
Par défaut, l’article 8 fixe l’âge à 16 ans, mais :
📉 Chaque pays de l’UE peut abaisser ce seuil, sans descendre sous 13 ans.
Extrait comparatif par pays (à connaître si vous ciblez l’Europe)
| Pays | Âge de consentement RGPD |
|---|---|
| 🇫🇷 France | 15 ans |
| 🇩🇪 Allemagne | 16 ans |
| 🇪🇸 Espagne | 14 ans |
| 🇮🇹 Italie | 14 ans |
| 🇧🇪 Belgique | 13 ans |
Si vous ne segmentez pas vos utilisateurs par pays, vous devez adopter le seuil le plus strict.
Vous êtes basé en France mais vos utilisateurs sont allemands ? Le seuil à appliquer est 16 ans.
Le rôle du parent : obligatoire, mais comment faire ?
Quand un enfant est sous l’âge requis :
- Seul un parent ou tuteur légal peut donner ou valider un consentement valable.
- C’est à vous (le responsable de traitement) de vous assurer que ce consentement est réel
Moyens recommandés pour vérifier ce consentement :
| Méthode | Avantages | Limites |
|---|---|---|
| Double opt-in par email parental | Facile à mettre en place | Facilement contournable |
| Signature numérique ou PDF signé | Légalement plus robuste | Moins fluide |
| Validation par paiement symbolique (ex. : 0,01 € CB) | Vérification d’identité | Frein à la conversion |
| API de vérification (Yoti, Veratad…) | Automatisée, scalable | Coût et dépendance externe |
Astuce : combinez deux méthodes pour maximiser la sécurité juridique.
Cas d’exception : quand le consentement parental n’est PAS requis
Pas besoin de consentement parental si vous offrez :
- un service de conseil ou de soutien directement à l’enfant (ex. : cellule d’écoute)
- un service public éducatif (ex. : école traitant les données dans sa mission)
⚠️ Exception ≠ liberté totale : ces services doivent quand même informer l’enfant et ne pas profiler sans nécessité.
Comment prouver que vous avez bien recueilli le consentement parental ?
Ce que dit le RGPD :
Le responsable du traitement doit pouvoir démontrer qu’un parent a bien donné son consentement lorsque l’enfant est sous l’âge légal.
Autrement dit : à vous de prouver que vous êtes en règle.
Ce que cela implique pour vous :
1. Archiver les preuves
- Garder une trace claire et datée du consentement (email parent, adresse IP, ID utilisateur…)
- Sauvegarder le parcours de consentement (ex. : formulaire + validation email)
2. Vérifier l’identité du parent
- Double opt-in par email
- Validation via carte bancaire (symbolique)
- API d’identité (ex. : Veratad, Yoti)
3. Permettre le retrait à tout moment
- Lien de désinscription dans les emails
- Tableau de bord parent ou formulaire RGPD
- Suppression rapide des données à la demande
4. Suivre l’âge de l’enfant
- Prévoir un rappel automatique quand l’enfant devient majeur
- Lui permettre de reconfirmer ou révoquer son consentement
💡 Astuce : Documentez tout dans votre registre de traitement. Cela montre votre bonne foi en cas de contrôle.
Exemples d’entreprises en conformité
Scratch (MIT)
Scratch, plateforme d’apprentissage de la programmation pour les enfants, applique des règles strictes dès l’inscription :
→ Le site demande l’âge dès la première étape.
→ S’il a moins de 13 ans, il limite l’accès : il supprime la messagerie, masque le profil public et ne collecte pas l’email.
→ L’équipe modère le contenu et l’adapte à un jeune public.
✅ Bonne pratique : blocage automatisé + conception “privacy by design”.
YouTube Kids
La version enfant de YouTube propose des vidéos filtrées et un espace sécurisé, mais l’accès passe par une vérification parentale rigoureuse :
→ Le parent doit valider l’accès via paiement symbolique par carte bancaire (0,01 €) pour prouver sa responsabilité légale.
→ Ensuite, il peut gérer les profils, limiter les contenus et désactiver la recherche.
✅ Bonne pratique : mécanisme simple, mais juridiquement robuste pour vérifier l’identité du parent.
Établissements scolaires (publics)
Les écoles sont souvent en contact direct avec des données d’enfants, mais elles bénéficient d’un cadre juridique spécifique :
→ Pas besoin de consentement parental pour les traitements liés à leur mission éducative (notes, emplois du temps, absences).
→ En revanche, pour toute publication de photo, vidéo, ou témoignage (site web, réseau social, brochure…), le consentement écrit du parent est indispensable.
✅ Bonne pratique : distinguer les traitements “administratifs” des usages “publics” ou promotionnels.
