Quand la conformité des données des enfants s'applique et quoi faire ensuite

La conformité des données des enfants s'applique lorsqu'un produit SaaS, un flux de support, un fournisseur, une fonctionnalité d'IA, l'analytique ou un déploiement client collecte ou utilise des données personnelles concernant des enfants. La réponse pratique consiste à identifier où ces données peuvent entrer, décider si les enfants sont des utilisateurs visés, probables ou présents dans les données client, puis traduire cette décision en responsables, contrôles et preuves.

Le GDPR accorde une protection particulière aux enfants. L'article 8 prévoit des conditions spécifiques lorsque le consentement est utilisé pour des services de la société de l'information offerts directement à un enfant. L'âge général est 16 ans, mais les États membres peuvent le baisser jusqu'à 13 ans. En dessous de l'âge applicable, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale.

Règle rapide

Le sujet est dans le périmètre lorsque des enfants sont des utilisateurs prévus, des utilisateurs probables, des personnes présentes dans les données client ou des personnes pouvant raisonnablement apparaître dans un flux.

Cela couvre l'éducation, la santé, la famille, les communautés, les jeux, la messagerie, les tickets de support, les imports, les enregistrements, les champs libres, les événements analytiques, les prompts d'IA et les intégrations. Le B2B n'exclut pas le sujet.

Que faire ensuite

Créez un inventaire des points d'entrée, catégories de données, finalités, bases légales, signaux d'âge, fournisseurs, durées de conservation, accès et preuves. Décidez ensuite comment l'âge est traité. Dans certains cas, appliquer des paramètres plus protecteurs à tous les utilisateurs est plus propre que collecter davantage de données pour vérifier l'âge.

Vérifiez la base légale et le modèle de consentement. Le consentement n'est pas toujours la bonne base. S'il est utilisé, l'information, le périmètre, le retrait, l'autorisation parentale et la preuve doivent fonctionner.

Erreurs fréquentes

Les erreurs classiques consistent à supposer que le B2B exclut les enfants, à réduire l'âge à une seule question, à oublier les données non structurées et à utiliser le consentement sans retrait opérationnel. Les preuves doivent montrer la décision de périmètre, les contrôles changés et les propriétaires.

FAQ

Quand cela s'applique-t-il à un SaaS?

Lorsque des enfants sont utilisateurs visés ou probables, présents dans les données client, ou réalistes dans les flux produit, support, analytique, IA ou fournisseurs.

Que documenter en premier?

L'inventaire, l'approche d'âge, la base légale, le consentement ou l'autorisation parentale, la décision de DPIA, les paramètres par défaut, les fournisseurs, la conservation et le responsable des preuves.

Sources

Cet article s'appuie sur le GDPR, les lignes directrices de l'EDPB sur le consentement et les orientations de l'ICO sur le Children's Code.