Cette condamnation est pourtant symptomatique de la préoccupation grandissante des autorités de régulation vis-à-vis de la collecte de données personnelles, susceptible de porter atteinte à la vie privée des mineurs.

En France, la CNIL vient d’ailleurs d’annoncer le 22 janvier dernier, la conclusion d’un partenariat avec la Défenseur des enfants, « afin d'unir leurs efforts en vue d'améliorer la connaissance de la loi "Informatique et Libertés" tant par les jeunes que par ceux qui en ont la responsabilité (parents, enseignants, éducateurs…) ».

S’il n’existe pas pour le moment en France de mesures spécifiques à la collecte de données personnelles auprès de personnes mineures, la CNIL a par le passé eu l’occasion de faire un certain nombre de recommandations.

Une rapide étude des sites Internet proposant des Jeux vidéo, pourtant souvent orientés vers un public mineur, démontre que ces recommandations bien que peu contraignantes, sont rarement mises en œuvre.

Trois Principales Recommandations

Ces recommandations, établies dans un rapport en date du 12 juin 2001, prônent essentiellement trois points :

1. Certaines informations ne doivent pas être demandées à une personne mineure.

Au nom d’un principe de précaution bien compréhensible, la CNIL recommande de ne pas recueillir auprès des enfants leur adresse, celle de leurs parents ou, de manière plus générale, toute donnée permettant leur identification précise.

La CNIL va d’ailleurs plus loin puisqu’elle recommande aux éditeurs de site d’avertir les mineurs qu’ils ne doivent pas donner ce type de renseignement, même si on le leur demande.

A notre connaissance, la quasi-intégralité des MMROPG en ligne demande pourtant à tout nouveau membre de fournir son adresse physique.

Afin de respecter les recommandations CNIL, les éditeurs de jeux devraient par conséquent proposer au moment de l’inscription, la possibilité de sélectionner deux formulaires. Le premier formulaire étant réservé aux personnes majeures alors que le second, plus limité en terme de renseignements demandés, concernerait exclusivement les mineurs.

2. Les données personnelles récoltées auprès de personnes mineures, ne peuvent être cédées sans l’accord du responsable légal

La CNIL vise essentiellement le cas où le site collecteur de données, procéderait à leur cession en vue de l’organisation d’un jeu ou d’une loterie.

Dans ce cas, la CNIL est d’avis que la cession ne peut intervenir si le site n’est pas en mesure de prouver que les parents du mineur ont donné leur accord préalable à une telle cession.

Cette recommandation apparaît comme relativement logique, dès lors que l’éditeur ne peut en théorie transmettre de données à un tiers sans l’autorisation préalable de la personne (représentée ici par un de ses parents) auprès de qui ces données ont été collectées.

En outre, elle évoque les dispositions du Children’s Online Privacy Protection Act américain du 19 octobre 1999 (COPPA), qui interdisent à tout détenteur d’un site de collecter des données personnelles auprès d’enfants de moins de treize ans sans autorisation parentale vérifiable.

Dans le cas du COPPA, ce n’est pas la minorité qui est pris comme critère, mais l’âge de 13 ans, considéré comme un seuil sous lequel il convient d’être particulièrement vigilant.

Cette limite de 13 ans ne semble pas – pour l’instant – avoir son équivalent dans la législation française applicable aux données personnelles. Au demeurant, la législation française ne connaît pas de sanction spécifique en matière de cession de données concernant des personnes mineures. Ce qui n’est pas le cas des Etats-Unis avec le COPPA, comme l’a rappelé la condamnation de Sony BMG.

3. Les informations de contact doivent être limitées

Selon la CNIL, si l’éditeur du site souhaite pouvoir entrer en contact avec ses abonnés mineurs, il ne doit pouvoir le faire que par l’intermédiaire de leur adresse électronique.

Une fois encore, la communication de l’adresse physique ou du numéro de téléphone, constituent des données dont la connaissance n’est pas indispensable à l’éditeur du jeu, et dont la collecte apparaîtrait comme parfaitement excessive.

En conclusion, la collecte de données à caractère personnel auprès de personnes mineures, n’est pas un acte anodin. Du point de vue de la protection de l’enfance, on pense bien sûr à tous les dérapages que pourraient entraîner la communication de ces données à une personne malintentionnée. Du point de vue économique, il est également nécessaire de rappeler que la publicité à destination des mineurs est particulièrement encadrée. Les données personnelles récoltées auprès d’enfants ne doivent donc pas déboucher sur une prospection commerciale à outrance. A défaut de violer la loi, une telle prospection violerait à tout le moins son esprit.

On ne peut par conséquent, encore une fois, que recommander de réserver aux mineurs un formulaire d’inscription spécifique, permettant de se conformer aux recommandations de la CNIL.

Les éditeurs de jeux vidéo pourraient éventuellement compenser la perte de ces données en développant des méthodes de ciblage comportemental basées sur des données anonymisées…mais il s’agit d’un autre débat.

Henri Leben
Cabinet d’Avocats