Où dans le monde les données de votre enfant sont-elles en sécurité ? 50 pays classés selon leur législation sur la protection des données des enfants
Une grande partie de nos données personnelles sont en ligne ou conservées dans des systèmes électroniques, et la protection de ces données n'a jamais été aussi importante. Lorsqu’il s’agit des données de nos enfants, les enjeux sont encore plus importants.
Quels pays garantissent la sécurité des données de nos enfants en limitant leur collecte ? Où dans le monde le consentement parental est-il requis avant qu’une entreprise puisse collecter les données d’un enfant ? Et quels pays ne parviennent pas à protéger les données des enfants en les laissant indéfinies et donc traitées de la même manière que les adultes ?
Pour le savoir, nos chercheurs ont étudié la législation de 50 pays. Nous explorons également l’importance de mettre en place des garanties supplémentaires pour les données des enfants, la question de savoir si les gouvernements sont liés aux mêmes principes de protection des données que les entreprises, et les restrictions d’âge empiétant sur la vie privée que de nombreux pays introduisent sous prétexte de « protéger » les données des enfants.
Principales conclusions:
- 18 pays sur 50 n’ont pas de législation spécifique pour traiter la collecte et le traitement des données des enfants en ligne, tandis que 32 ont une législation spécifique ou des articles clairs dans leurs lois sur la protection des données.
- Chaque pays doté d’une législation spécifique présente des lacunes dans le traitement gouvernemental des données des enfants (par exemple pour la sécurité nationale et la sécurité publique). Cinq pays exemptent entièrement les gouvernements de ces principes de protection des données
- Aucun pays n’empêche la surveillance gouvernementale en ligne des enfants
- Seuls trois pays ont mis en place des règles strictes qui exigent des évaluations de sécurité de la part de tiers lors du partage de données d'enfants (d'autres n'ont que des lois générales et des évaluations possibles de l'impact des données) et un seul pays (la Chine) a des règles strictes sur qui doit accéder aux données d'enfants en interne.
- 19 des 33 pays ont des restrictions en matière de profilage des mineurs – un seul (l’Irlande) l’interdit totalement
- La plupart des pays imposent des restrictions sur les publicités ciblant les enfants. Un seul, le Brésil, l'interdit totalement
- Un seul pays, la France, garantit que les enfants sont également inclus dans le processus de consentement aux côtés de leur parent/tuteur.
Quels pays offrent la meilleure protection pour les données en ligne des enfants ?
Sur la base des 32 pays qui disposent d’une législation spécifique concernant l’utilisation des données des enfants en ligne, les pays suivants arrivent en tête. Il convient toutefois de noter qu’aucun pays n’est parfait. Chaque pays met les données des enfants en danger en raison des lacunes mises en place par les gouvernements et du manque de politiques rigoureuses et de procédures claires concernant la sauvegarde et le traitement des données des enfants. C’est ce qu’indique le score de 34,5 sur 44 du pays ayant obtenu le score le plus élevé (la France). Bien qu’il soit élevé, il peut encore être amélioré.
France
Note : 34,5 sur 44
La France arrive en tête de cette étude, battant ses voisins de l'UE de deux points grâce à son exigence supplémentaire selon laquelle les enfants doivent, dans certains cas, être impliqués dans le processus de consentement aux côtés de leur parent/tuteur. Selon la Commission nationale de l’informatique et des libertés (CNIL) :
« L'article 45 de la loi Informatique et Libertés précise que, dans le cadre des services en ligne et pour les traitements de données fondés sur le consentement non contractuel de l'utilisateur, le ou les titulaires des droits parentaux doivent donner leur consentement conjointement avec celui de leur enfant si celui-ci a moins de 15 ans. Cela signifie que le consentement pour des fonctionnalités supplémentaires telles que la définition du statut public/privé d'un profil de réseau social ou l'activation facultative de la géolocalisation dans une application, devrait en théorie reposer sur un accord conjoint entre l'enfant et le(s) titulaire(s) des droits parentaux. . En d’autres termes, les parents ne peuvent pas aller à l’encontre de la volonté de leur enfant concernant ce type de traitement et l’enfant ne peut pas outrepasser l’objection des parents.
Donner aux enfants l’autorité sur leurs données tout en renforçant la surveillance parentale est, à l’ère du numérique, un énorme avantage. Non seulement cela garantit que les enfants sont conscients de la protection des données et de leurs choix dès le départ, mais cela leur donne également de l'autonomie dans la confidentialité de leurs données.
Pays de l’UE et Royaume-Uni
Note : 32,5 sur 44
Tous les pays de l’UE couverts (à l’exception de la Suisse, que nous explorons ci-dessous) bénéficient des avantages de la protection des données du RGPD. Étant donné que les données des enfants sont clairement définies, cela garantit que le consentement parental est requis et que diverses protections sont en place, notamment le droit d'accès, de suppression et de modification des données, les restrictions sur le profilage et les publicités ciblées, les politiques de confidentialité claires et compréhensibles, et que les données parentales sont clairement définies. le consentement est vérifié. Ces protections s'appliquent également à tous les types d'entités, y compris les courtiers en données, les établissements d'enseignement et les organisations à but non lucratif. Les entités gouvernementales bénéficient toutefois des exemptions habituelles.
Là où le RGPD pourrait paraître quelque peu insuffisant, c'est dans le fait que le profilage des mineurs n'est pas strictement interdit (même si certaines protections sont offertes), qu'il n'y a pas d'exigences spécifiques pour le cryptage des données des enfants (ou des données en général), et pas de durées de conservation précises pour les données des enfants (elles ne doivent être conservées que « aussi longtemps que nécessaire »).
Même si les données des enfants, leur collecte et leur traitement sont clairement définis dans le RGPD, de nombreux domaines relèvent du droit général et manquent de procédures claires et précises.
La Suisse fait ici exception à la règle car, bien que régie par le RGPD (qui assure la protection des données des enfants), elle estime que les enfants sont capables de jugement et leur donne ainsi un pouvoir sur leurs données. Même si cela est louable dans une certaine mesure, cela laisse les enfants vulnérables à l'exploitation de leurs données, en particulier dans les cas où ils ne comprennent pas ce qui est demandé à leurs données. C’est pourquoi la Suisse a été classée comme n’ayant pas de législation spécifique concernant la protection des données des enfants.
Arabie Saoudite
Note : 31,5 sur 44
Des procédures claires et précises contribuent à améliorer le score de l’Arabie Saoudite. Même si ce n’est pas souvent un pays qui se démarque par sa protection des données (c’est l’un des pays les moins bien notés en notre étude biométrique , par exemple), l’Arabie Saoudite Politique de protection de la vie privée des enfants et des incompétents(PDF) offre aux données des enfants une excellente protection avec des exigences claires et précises pour tous les collecteurs et processeurs de données.
Bien que cette politique soit en deçà du RGPD en n'offrant aucune restriction concernant le profilage des mineurs et en ne prévoyant que des restrictions générales sur la publicité ciblée destinée aux enfants (par exemple sur les produits soumis à une limite d'âge), elle dépasse le RGPD dans un domaine. La politique de l’Arabie Saoudite exige clairement que les tiers soient évalués et engagés sous contrat sur la base du même niveau élevé de sécurité que le collecteur de données. Il ne s’agit que d’une exigence générale (pour toutes les données) du RGPD.
Chaque pays peut s’améliorer en matière de protection des données des enfants
Comme nous l’avons déjà mentionné, chaque pays peut améliorer ses politiques en matière de protection des données des enfants. Même si les pays mentionnés ci-dessus sont « les meilleurs de leur catégorie », ils ne sont pas à la hauteur dans un certain nombre de domaines. Cela dit, tous les autres pays que nous avons couverts pourraient considérer le RGPD comme un bon point de départ pour améliorer leurs politiques existantes. Par exemple:
États-Unis – Loi sur la protection de la vie privée en ligne des enfants (COPPA)
Note : 29,5 sur 44
L’absence de protection complète des données aux États-Unis est une source d’inquiétude, mais l’introduction de la COPPA en 1998 a contribué à ouvrir la voie à la vie privée des enfants en ligne et garantit certaines protections générales aux enfants.
La COPPA stipule que le consentement parental est requis lors du traitement des données d'enfants de moins de 13 ans. Elle s'applique aux sites Web commerciaux et aux sites Web généraux susceptibles d'intéresser les enfants, tout en offrant également certaines protections dans les établissements d'enseignement. Toutefois, cela ne s’applique pas aux organisations à but non lucratif, au gouvernement ou aux courtiers en données. C’est là que le score des États-Unis est inférieur à celui de ses homologues européens. Il impose également moins de restrictions sur les publicités ciblées que le RGPD.
Là où la COPPA va un peu plus loin que le RGPD, c'est dans ses exigences en matière d'évaluations de sécurité des fournisseurs tiers.
Néanmoins, notre récente étude portant sur 500 applications pour enfants sur Google Play a révélé que 1 personne sur 5 enfreint les règles de la COPPA .
Chine – Règlement sur la protection des informations personnelles des enfants en ligne
Note : 28,5 sur 44
La Chine est un autre pays qui porte souvent gravement atteinte à la vie privée de ses citoyens, mais qui se distingue par sa politique claire en matière de protection des données en ligne des enfants. Grâce aux réglementations susmentionnées, introduites en 2019, la Chine a créé des principes solides en matière de protection des données sur les enfants.
Les domaines à améliorer dans la réglementation comprennent l'extension de la réglementation au-delà des sites Web commerciaux et généraux, l'interdiction du profilage des mineurs, des restrictions plus strictes sur les publicités ciblées et la vérification des parents/tuteurs lors de l'obtention du consentement.
Mais là où la Chine excelle, c’est dans ses procédures claires pour les collecteurs et les processeurs de données. Par exemple, il stipule : « Lorsque le personnel accède aux informations personnelles des enfants, il doit être approuvé par la personne en charge de la protection des informations personnelles des enfants ou par ses responsables autorisés, enregistrer l'accès et prendre des mesures techniques pour éviter la copie et le téléchargement illégaux de informations personnelles des enfants. Cela nécessite également des mesures telles que le cryptage pour garantir la sécurité des données des enfants.
Les pays ont besoin de réglementations claires et complètes concernant l’utilisation des données en ligne des enfants
Ce qui précède nous montre que des politiques claires et complètes sont essentielles lorsqu’il s’agit de protéger les données des enfants, ne laissant aucune place à l’interprétation ou aux abus. Bien que les réglementations chinoises, la COPPA et même le RGPD nécessitent des améliorations supplémentaires, elles offrent beaucoup de clarté sur la manière dont les données d’un enfant doivent être collectées et traitées.
Les pays qui ne parviennent pas à définir les données des enfants, comme l’Australie, le Canada, l’Inde, le Mexique et l’Argentine, traitent les données des enfants de la même manière que les adultes. Même si l’inclusion des enfants dans le processus de consentement fait partie intégrante du respect à tout moment de la confidentialité de leurs données, la surveillance parentale est cruciale pour les protéger des pratiques et des contenus de traitement de données préjudiciables.
Les systèmes de vérification de l’âge sont-ils la voie à suivre ?
Non, ils ne sont pas.
Les problèmes de confidentialité liés aux systèmes de vérification de l’âge
Un nombre inquiétant de pays cherchent à imposer (ou ont déjà imposé) des systèmes de vérification de l’âge qui empiètent sur la confidentialité des données des utilisateurs sous couvert de protéger les données des enfants.
Par exemple, le Royaume-Uni a proposé unProjet de loi sur la sécurité en lignequi obligerait, entre autres, les utilisateurs de sites Internet destinés aux plus de 18 ans à vérifier leur identité. Des propositions similaires sont en cours aux États-Unis avec la Kids Online Safety Act (KOSA) et dans le projet de loi canadien S-210.
Dans certains pays, ces mesures sont déjà mises en place. Par exemple, en Allemagne, les sites pornographiques doivent vérifier l’âge des visiteurs. Une décision de justice récente a suggéré que demander une pièce d'identité avec photo était inadéquat, car les enfants pouvaient souvent s'en procurer, et a donc suggéré des vérifications uniques en personne (par exemple PostIdent) ou une identification via des webcams/fonctions biométriques. Et au Japon, Utilisateurs de Tinder sont tenus de fournir un document prouvant leur âge.
L’exigence de ce niveau de vérification de l’âge pose un certain nombre de problèmes, notamment la collecte accrue de données personnelles. Ces données risquent d'être violées et lorsqu'elles sont liées à l'utilisation de sites Web « pour adultes », elles sont de plus en plus sensibles. utilisateurs de CAM4 je ne le sais que trop bien. Ces préoccupations se reflètent également dans un certain nombre d’enquêtes récentes. Une étude a trouvé 80 % des personnes souhaitent des contrôles de vérification de l'âge pour la pornographie en ligne , mais 78 pour cent des personnes je ne serais pas disposé à télécharger leur identifiant pour accéder à ce type de contenu.
On craint également que la mise en œuvre de telles mesures ne fasse que pousser les utilisateurs vers le dark web, les contenus illégaux et les plateformes de partage qui n’ont pas les mêmes principes de modération de contenu que de nombreux sites Web pour adultes de premier plan.
Quelle est la solution ?
À l’heure actuelle, il n’existe pas de solution miracle et il n’y en a certainement pas une qui garantisse la protection des enfants.etla vie privée de tous les internautes. Cependant, l’éducation (des enfants et des parents) est essentielle, tout comme la nécessité de veiller à ce que les parents soient conscients des contrôles de sécurité parentale qu’ils peuvent mettre en œuvre sur les appareils et les connexions Internet de leurs enfants.
Notation
- Existe-t-il une loi spécifique (ou une section spécifique dans les lois standards sur la protection des données) qui traite de la confidentialité des données en ligne des enfants ?
- Oui = 5
- Certaines lignes directrices (qui sont exécutoires, par exemple des résolutions) émises mais la loi manque de clarté = 2
- Pas = 0
- Exigences relatives aux politiques de confidentialité (par exemple claires, compréhensibles et facilement accessibles) ?
- Exigences spécifiques pour que les politiques de confidentialité des données des enfants soient faciles à lire, faciles d'accès et incluent toutes les informations nécessaires concernant la collecte, le traitement et le stockage des données = 3
- Les lois générales sur la protection des données appliquent les exigences ci-dessus (pour tous les utilisateurs de données) = 2
- Pas = 0
- À qui s’applique la législation ?
- Sites Web commerciaux
- Sites Web généraux
- Courtiers en données
- Organismes à but non lucratif
- Gouvernement
- Écoles
- Oui (1)
- Quelques exceptions (0,5)
- Pas (0)
- Consentement et autorité parentale
- Consentement parental requis pour collecter les données des enfants = 3 (dans certains cas = 1)
- Ce consentement doit être vérifié = 2
- Le droit général prévoit certaines dispositions (par exemple, consentement « explicite » ou « éclairé », mais rien de spécifique sur la vérification de l'identité des parents) = 1
- Le consentement parental doit être donné conjointement avec l'enfant/les enfants ont une certaine autorité sur leurs données = 2
- L'autorité parentale est requise pour partager des données avec des tiers = 1 (dans certains cas = 0,5)
- Les parents ont le pouvoir de se désinscrire de la collecte de données = 1 (dans certains cas = 0,5)
- Les parents ont le pouvoir de modifier/corriger les données existantes = 1 (dans certains cas = 0,5)
- Les parents ont le pouvoir de demander la suppression des données de leurs enfants = 1 (dans certains cas = 0,5)
- Consentement parental requis pour collecter les données des enfants = 3 (dans certains cas = 1)
- Restrictions sur qui a accès aux données en interne
- L'approbation du responsable du traitement est requise avant d'accéder = 2
- Dans certains cas, une approbation/supervision est requise = 1
- Aucune restriction = 0
- Étapes supplémentaires pour la sécurité des données
- Les données des enfants doivent être cryptées à tout moment = 3
- Certaines protections mais basées sur des évaluations d’impact/données sensibles et aucune exigence spécifique pour les données des enfants = 2
- Quelques recommandations mais pas entièrement réglementées et/ou obligatoires = 1
- Pas = 0
- Responsabilité de mener des évaluations de sécurité sur les fournisseurs tiers
- Oui (et spécifique aux données des enfants) = 2
- Exigence générale de la législation sur la protection des données = 1
- Pas = 0
- Responsabilité d’informer les enfants/parents des violations de données
- Oui – y compris les exigences générales qui s'appliquent àtousviolations = 2
- Certaines exigences (certains types de violations, par exemple données sensibles) ou recommandations générales = 1
- Pas = 0
- Restrictions sur les publicités ciblées
- Les publicités ciblées sont essentiellement interdites = 3
- Oui = 2
- Certaines restrictions (par exemple concernant la malbouffe et les boissons alcoolisées, mais pas dans leur ensemble/non strictement réglementées ou interdites) = 1
- Pas = 0
- Le profilage des mineurs est-il interdit ?
- Oui = 2
- Quelques dispositions = 1
- Pas = 0
- Durées de conservation des données
- Périodes précises et claires mentionnées concernant les données des enfants = 2
- Exigences générales, par ex. « seulement aussi longtemps que nécessaire » = 1
- Aucun = 0
- Les protections de la vie privée s’étendent-elles à la surveillance gouvernementale en ligne ?
- Oui = 3
- Pas = 0
Méthodologie
Nos chercheurs ont examiné Top 50 des pays par PIB pour voir si une législation spécifique était en place ou non pour les données en ligne des enfants. De nombreux pays couverts peuvent avoir des lois sur la protection des données, mais sans section spécifique ou législation distincte pour les données des enfants, cela signifie que les enfants sont traités comme des adultes en ce qui concerne leurs données. Dans ces cas, les pays n’ont pas été inclus dans notre analyse globale des politiques relatives aux données en ligne des enfants. Bien qu’ils puissent permettre aux utilisateurs de données de demander l’accès, de supprimer et de modifier leurs données, par exemple, cela ne s’adresse pas spécifiquement aux enfants et/ou à leurs parents/tuteurs.
Nous avons exploré 23 aspects différents de ces politiques (détaillés dans la notation) et attribué une note à chacun. Plus le score est élevé, meilleures sont les protections. Les pays ont ensuite été classés en fonction de leurs scores.
Pour une liste complète des sources, veuillez demander l'accès ici .
Chercheur de données :Rebecca Moody