Skip to Content

Chapitre 5.5 — Les mineurs

⏱️ TL;DR — Le RGPD protège spécialement les enfants, « moins conscients des risques ». L’article 8 encadre le cas où un service en ligne repose sur le consentement de l’enfant : chaque État fixe l’âge du consentement numérique dans les limites prévues par le règlement, et la France l’a fixé à 15 ans (loi Informatique et Libertés). En dessous de 15 ans, le consentement doit être donné conjointement par l’enfant et un titulaire de l’autorité parentale, et le responsable doit fournir des efforts raisonnables pour vérifier cette autorisation. L’information doit être rédigée dans un langage clair et adapté à l’âge. Et par prudence : pas de profilage publicitaire, pas d’intérêt légitime « hasardeux » sur des enfants. Pour une EdTech scolaire, ce n’est pas un cas particulier — c’est le quotidien.

🎯 Objectifs

  • Comprendre le régime protecteur de l’article 8 et le seuil des 15 ans en France.
  • Savoir quand il faut le consentement conjoint d’un titulaire de l’autorité parentale.
  • Mettre en place un effort raisonnable de vérification de l’autorisation parentale.
  • Rédiger une information adaptée à l’âge et bannir le profilage publicitaire.

Pourquoi les enfants sont protégés à part

Le RGPD part d’un constat simple : un enfant mesure moins bien les risques, les conséquences et ses droits face à un traitement de données. Il mérite donc une protection spécifique, en particulier quand ses données servent à du marketing, à créer des profils, ou dès qu’un service en ligne s’adresse directement à lui. Cette protection irrigue tout le règlement : information plus claire, prudence sur les bases légales, et un verrou propre au consentement des plus jeunes.

L’article 8 : le consentement numérique et le seuil des 15 ans

L’article 8 vise un cas précis : lorsqu’un service en ligne (une « offre directe de services de la société de l’information » : appli, plateforme, réseau) est proposé à un enfant et que le traitement repose sur le consentement comme base légale. Dans ce cas, le consentement de l’enfant n’est valable seul qu’à partir d’un certain âge, fixé par chaque État membre dans les limites prévues par le règlement.

La France a retenu 15 ans (loi Informatique et Libertés). La règle se lit donc ainsi :

  • 15 ans ou plus : l’adolescent peut consentir seul au service numérique.
  • Moins de 15 ans : le consentement doit être conjoint — celui de l’enfant et celui d’un titulaire de l’autorité parentale ; et le responsable doit faire des efforts raisonnables pour vérifier cette autorisation.

Deux précisions importantes. D’abord, l’article 8 ne s’applique que lorsque la base légale est le consentement et que le service est offert directement à l’enfant. Quand une école confie les données de ses élèves à une plateforme dans le cadre de sa mission éducative, la base légale n’est en général pas le consentement de l’enfant (voir plus bas). Ensuite, l’article 8 règle la question du consentement au service, il ne dispense jamais des autres obligations : minimisation, sécurité, information, durées de conservation s’appliquent en plus.

⚠️ Piège — Croire qu’une simple case « J’ai plus de 15 ans » ou « Je confirme être le parent » suffit. Le texte demande des efforts raisonnables de vérification, compte tenu des moyens techniques disponibles — pas une case déclarative sans le moindre contrôle. À l’inverse, l’excès de zèle est aussi un piège : exiger une pièce d’identité de l’enfant serait disproportionné et créerait une sur-collecte. Le bon niveau est proportionné au risque du traitement : plus le service est intrusif, plus la vérification doit être sérieuse.

Vérifier l’autorisation parentale : « effort raisonnable »

Le RGPD ne fige pas une méthode : il demande un effort raisonnable et proportionné. Le curseur monte avec le risque du traitement.

Niveau de risque du serviceVérification proportionnée (exemples)
Faible (peu de données, pas de profilage)Confirmation par e-mail à un parent, case explicite datée.
MoyenValidation via l’e-mail parental plus une action de confirmation du parent.
Élevé (données sensibles, exposition)Contrôle renforcé du lien parental ; souvent, éviter de fonder le service sur le consentement de l’enfant.

L’idée : on ne demande pas l’impossible, mais on ne se contente pas non plus d’un clic anonyme. On garde surtout une trace de l’autorisation recueillie (accountability, chapitre 1.4) : qui a consenti, quand, pour quoi.

// ✅ Recueil et TRAÇABILITÉ d'un consentement conjoint pour un moins de 15 ans. type ConsentementMineur = { apprenantId: string ageDeclare: number // sert à router vers le bon régime consentementEnfant: boolean // l'enfant accepte aussi parent: { email: string // adresse du titulaire de l'autorité parentale confirmeLe: Date | null // horodatage de la confirmation effective methode: "email_double_opt_in" | "action_confirmee" } finalite: string version_information: string // version des mentions présentées, adaptées à l'âge } // Tant que parent.confirmeLe est null, on NE traite pas au-delà du strict nécessaire.

Un langage adapté à l’enfant

La transparence (chapitre 1.4 et Partie 8) prend un tour particulier avec les mineurs : l’information doit être formulée dans des termes clairs et simples qu’un enfant peut comprendre. Concrètement, pas de jargon juridique, des phrases courtes, éventuellement des pictogrammes ou une version « expliquée ». Dire à un enfant, dans ses mots, quelles données on prend, pourquoi, et quels droits il a, fait partie de l’obligation — pas d’un supplément d’âme.

💡 Réflexe — Quand ton service peut être utilisé par des enfants, conçois deux niveaux d’information : une version complète pour les adultes et une version « expliquée simplement » pour les plus jeunes, affichée au bon moment. Et code l’âge comme un aiguillage de premier plan : c’est lui qui décide du parcours de consentement, du niveau de vérification et des fonctionnalités autorisées (par exemple, désactiver toute personnalisation publicitaire pour les mineurs).

Prudence maximale : ce qu’on ne fait pas

Avec des mineurs, plusieurs pratiques deviennent franchement à proscrire :

  • Pas de profilage à des fins publicitaires. Cibler un enfant par la publicité comportementale est parmi les usages les plus critiqués et sanctionnés ; on l’exclut.
  • Pas d’« intérêt légitime » hasardeux. L’intérêt légitime (art. 6) exige une mise en balance qui penche presque toujours en faveur de l’enfant : on ne s’en sert pas comme base commode pour justifier une collecte discutable.
  • Minimisation renforcée. Sur des enfants, chaque champ superflu est un risque de plus. On collecte le strict nécessaire à la finalité pédagogique.
  • Nudges et captation. Les mécaniques de design qui poussent à partager toujours plus de données (dark patterns) sont particulièrement inacceptables face à un jeune public.

🧭 Sur FormaCampus — Le côté LMS scolaire de FormaCampus traite, par construction, des données d’élèves mineurs, parfois bien en dessous de 15 ans. Deux cas à distinguer. Un : quand une école utilise la plateforme pour sa mission éducative, la base légale n’est en général pas le consentement de l’élève — l’établissement agit dans le cadre de ses missions, et FormaCampus est souvent sous-traitant (voir la Partie 3). L’article 8 ne s’applique alors pas de la même façon, mais toute la prudence « mineurs » demeure. Deux : si FormaCampus proposait un service grand public directement à des enfants (une appli d’exercices téléchargée à la maison) sur la base du consentement, alors le régime de l’article 8 s’imposerait : consentement parental en dessous de 15 ans, vérification raisonnable, information adaptée. Dans tous les cas : aucune publicité comportementale sur les mineurs, minimisation stricte, et information « expliquée » pour les plus jeunes.

🔒 Côté personne concernée — Ici, la « personne concernée » est double : l’enfant et ses parents. L’enfant a droit à une explication qu’il comprend et à ne pas être transformé en cible marketing. Le parent, titulaire de l’autorité parentale, attend d’être informé et, quand c’est requis, de décider pour son enfant de moins de 15 ans — sans avoir à livrer des pièces disproportionnées. Une plateforme qui respecte l’enfant est une plateforme en qui les familles ont confiance ; c’est un atout, pas une contrainte.

📚 Le texte — La protection spécifique des enfants et le consentement numérique figurent à l’article 8 du RGPD ; l’âge peut être fixé par chaque État dans les limites prévues par le règlement, et la France a retenu 15 ans via la loi Informatique et Libertés. L’exigence d’une information claire et adaptée découle des principes de transparence (art. 5 et art. 12). Un traitement de données de mineurs à grande échelle peut par ailleurs justifier une AIPD (art. 35).

✏️ Exercices

Exercice 1 — Qui doit consentir ? Une appli d’entraînement au calcul, grand public, repose sur le consentement. Deux utilisateurs s’inscrivent seuls depuis chez eux : (a) Léa, 16 ans ; (b) Tom, 11 ans. Que faut-il dans chaque cas ?

✅ Solution

(a) Léa, 16 ans : au-dessus du seuil français de 15 ans, elle peut consentir seule au service. (b) Tom, 11 ans : en dessous de 15 ans, il faut le consentement conjoint — le sien et celui d’un titulaire de l’autorité parentale — assorti d’un effort raisonnable de vérification (par exemple une confirmation via l’e-mail d’un parent). Dans les deux cas, l’information doit être adaptée à l’âge et il ne peut y avoir de profilage publicitaire.

Exercice 2 — Vérification proportionnée. Pour l’appli de l’exercice 1 (données limitées, aucune publicité), un dev veut exiger la carte d’identité de l’enfant et du parent pour prouver le lien. Est-ce le bon niveau ?

✅ Solution

Non, c’est disproportionné. Exiger des pièces d’identité pour un service à faible risque est une sur-collecte — on créerait un traitement de documents sensibles pour vérifier un consentement. L’article 8 demande un effort raisonnable et proportionné au risque. Ici, une confirmation par l’e-mail d’un parent avec une action explicite (double opt-in) suffit, en gardant une trace horodatée. On réserve les vérifications lourdes aux services réellement à haut risque — et souvent, pour ces derniers, on évite carrément de fonder le service sur le consentement de l’enfant.

Exercice 3 — École ou grand public ? Un collège déploie FormaCampus pour ses classes de 5e (élèves de 12-13 ans). Faut-il recueillir le consentement parental au titre de l’article 8 ?

✅ Solution

Pas nécessairement, car la base légale n’est en général pas le consentement. Quand un établissement utilise la plateforme dans le cadre de sa mission éducative, il agit sur un autre fondement que le consentement de l’élève, et FormaCampus est le plus souvent sous-traitant de l’école (Partie 3). L’article 8, qui vise le consentement à un service offert directement à l’enfant, ne s’applique alors pas de la même manière. Mais toute la prudence « mineurs » reste de mise : information adaptée à l’âge, minimisation stricte, sécurité renforcée, aucun profilage publicitaire, et information des parents. Le régime de l’article 8 reviendrait au premier plan si le même service était proposé directement aux familles sur la base du consentement.

🧠 Quiz de révision

1. À quel âge est fixé le consentement numérique en France ?

À 15 ans, en application de la loi Informatique et Libertés. Le RGPD (art. 8) laisse chaque État fixer cet âge dans les limites qu’il prévoit ; la France a retenu 15. Au-dessus, l’adolescent consent seul au service ; en dessous, le consentement doit être conjoint avec un titulaire de l’autorité parentale.

2. Que faut-il pour un enfant de moins de 15 ans, quand le service repose sur le consentement ?

Un consentement conjoint : celui de l’enfant et celui d’un titulaire de l’autorité parentale, avec des efforts raisonnables du responsable pour vérifier cette autorisation, proportionnés au risque et aux moyens techniques disponibles.

3. Une case « Je confirme avoir plus de 15 ans » suffit-elle ?

Non. Le texte exige un effort raisonnable de vérification, pas une simple déclaration. Le niveau attendu est proportionné au risque : d’une confirmation via l’e-mail d’un parent pour un service peu risqué, à des contrôles renforcés (ou l’abandon du consentement comme base) pour un service intrusif.

4. Comment doit être rédigée l’information destinée à un enfant ?

Dans un langage clair, simple et adapté à son âge : pas de jargon, des phrases courtes, éventuellement une version « expliquée » ou des pictogrammes. L’enfant doit comprendre quelles données on prend, pourquoi et quels droits il a.

5. Peut-on faire du profilage publicitaire sur des mineurs ?

Non — à proscrire. Cibler un enfant par la publicité comportementale est parmi les pratiques les plus critiquées et sanctionnées. Plus largement, on évite l’« intérêt légitime » hasardeux sur des enfants (la balance penche pour eux) et on applique une minimisation renforcée.


Partie suivante : Partie 6 — Les droits des personnes — accès, rectification, effacement, opposition, portabilité : ce que toute personne — élève, parent, stagiaire — peut exiger, et comment y répondre dans les délais.

Last updated on