Checklist conformite des donnees d'enfants pour fondateurs et responsables compliance

La conformite des donnees d'enfants est prete pour une revue lorsqu'une equipe SaaS peut montrer ou ces donnees peuvent entrer, pourquoi le traitement est licite, quelles protections s'appliquent, qui possede chaque decision et ou se trouve la preuve. Le but n'est pas d'alourdir chaque release, mais de rendre la question visible avant qu'elle ne bloque un lancement, un client ou un audit.

Le RGPD donne une protection particuliere aux enfants car ils peuvent moins bien comprendre les risques, consequences, garanties et droits. L'article 8 ajoute des conditions lorsque le consentement est utilise pour des services de la societe de l'information offerts directement a un enfant, avec un age national possible entre 13 et 16 ans.

Checklist

1. Confirmez si des enfants sont dans le perimetre: comptes directs, usage scolaire ou familial, donnees client sur des mineurs, pieces jointes support, imports, analytics, IA, geolocalisation, profilage ou questions commerciales.

2. Identifiez le role de l'entreprise pour chaque workflow: responsable du traitement, sous-traitant ou les deux. Documentez finalite, instructions, demandes de droits, notices, fournisseurs et preuves.

3. Cartographiez les donnees et systemes: compte, age, ecole, parent, tuteur, foyer, image, audio, localisation, messages, tickets, logs, prompts IA, outputs, entrepots, sauvegardes et exports.

4. Decidez comment l'age est evalue. Une declaration peut suffire pour un faible risque; un risque plus eleve peut demander plus d'assurance ou des protections appliquees par defaut a tous.

5. Confirmez base legale et consentement. Si le consentement est utilise, version, langue, horodatage, portee, retrait et autorisation parentale doivent fonctionner en pratique.

6. Realisez une DPIA ou revue privacy produit specifique aux enfants: necessite, proportionnalite, profilage, recommandations, publicite, geolocalisation, nudges, partage, defaults, notices et fournisseurs.

7. Mettez en place des defaults protecteurs: visibilite limitee, exports restreints, acces par role, fonctions optionnelles desactivees ou cadrees, retention definie et explications claires.

8. Revoyez fournisseurs et sous-traitants: DPA, transferts, sous-traitants ulterieurs, securite, retention, suppression, sauvegardes, entrainement IA et usages secondaires.

9. Testez les droits, le support et la suppression. Parents, ecoles, clients, enfants et equipes internes ont besoin de regles de routage, d'authentification et d'escalade.

10. Conservez la preuve d'audit: decision de scope, role, base legale, consentement, inventaire, DPIA, defaults, acces, retention, suppression, revue fournisseur, risques acceptes et suivis.

FAQ

Quand cela s'applique-t-il aux equipes SaaS?

Lorsque des enfants sont utilisateurs, utilisateurs probables, presents dans des donnees client ou indirectement presents dans support, uploads, analytics, IA, integrations, deploiements scolaires ou workflows familiaux.

Que documenter en premier?

Le scope, le role, l'inventaire des donnees, l'approche d'age assurance, la base legale, le consentement ou l'autorisation parentale, la DPIA, les defaults, les fournisseurs, la retention, la suppression et l'owner de la preuve.

Quelle est l'erreur principale?

Traiter le sujet comme une interpretation juridique ponctuelle au lieu d'en faire un workflow repetable avec owners, triggers, preuves et escalades.

Sources

Cette checklist s'appuie sur le RGPD, les lignes directrices EDPB sur le consentement et la liceite, et les guidance ICO Children's Code sur le perimetre, les DPIA et l'application adaptee a l'age.