Vous êtes ici  :   Accueil > RGPD - Informatique et li...

RGPD - Informatique et libertés

Publié le Sep 7, 2020

Écrire à l'auteur

Le  Monday, September 7, 2020

COPPA versus RGPD

La COPPA est souvent présentée comme une loi protectrice des données des enfants, quand est il de cette protection ? quand s'applique t-elle ? est-elle équivalente au RGPD ?

  • Les sociétés sous juridiction des états unis sont soumises à la COPPA (Loi sur la protection de la vie privée des enfants en ligne) pour la collecte des données des mineurs de moins de 13 ans. Cette conformité à la COPPA est souvent avancée par ces sociétés pour la protection de nos mineurs. Que couvre cette conformité ? Se suffit-elle à la conformité au RGPD et à la protection des mineurs ? Concerne-t-elle les traitements mis en œuvre dans les établissements scolaires ?

     

    La Children's Online Privacy Protection Act ("COPPA")* du 21 octobre 1998, entré en vigueur dès le 21 avril 2000 est une loi fédérale américaine qui impose certaines exigences aux opérateurs de sites Web ou de services en ligne destinés aux enfants de moins de 13 ans ainsi qu’aux opérateurs d'autres sites Web ou services en ligne dés lors qu’ils ont connaissance qu'ils collectent des informations personnelles en ligne auprès d'un enfant de moins de 13 ans.

     

    L’analyse des deux législations met en évidence qu’elles n’ont pas le même périmètre et que la COPPA n’apporte pas de protection dans le cadre des traitements mis en œuvre dans les établissements scolaires. Les deux champs de ces législations sont exposés dans le tableau ci-après.

     

    Périmètre    COPPA RGPD
    Personnes concernées Individus de moins de 13 ans Sont exclus du champ - Les Lycéens - La moitié des collégiens Ne couvre pas la population des élèves en EPLE Toute personne Les mineurs de 13 à 18 ans sont concernés Le consentement est recueillis pour les services de la société de l’information aupres des parents pour les mineurs de moins de 15 ans
    Source information Uniquement données collectées en ligne auprès du mineur Toutes sources de collectes directes et indirectes
    Données personnelles  nom et prénom;  domicile ou adresse physique  Coordonnées en ligne;  nom d'utilisateur fonctionnant comme info de contact en ligne;  Un numéro de téléphone;  Un numéro de sécurité sociale;  Un identifiant persistant  photo/vidéo/ audio avec image ou une voix d'un enfant;  Informations de géolocalisation précises  Informations concernant l'enfant ou les parents de cet enfant que l'opérateur recueille en ligne auprès de l'enfant et combine avec un identifiant décrit ci-dessus. Peu de DCP concernées et hors périmètre des traitements en établissement Exemple : Les notes d’un élève renseignées par un enseignant ne sont pas concernées « toute information se rapportant à une personne physique identifiée ou identifiable » Notion beaucoup plus large
    Champ d’ Application territorial La COPPA s’applique aux enfants de nationalité étatsunienne Elle a conduit les opérateurs du monde ayant du contenu s’adressant à cette population à devoir respecter la loi. ne s’applique pas directement à nos mineurs Aux RT ou ST en EU (ou où s’applique droit EU) Aux RT ou ST hors EU traitant donnés de personnes en UE si traitement lié à l'offre de biens ou de services (payant ou non) ou au suivi du comportement de ces personnes, si comportement a lieu dans l’UE
    Acteurs concernés Opérateurs de sites Web commerciaux et de services en ligne (y compris les applications mobiles)  Destinés aux enfants de moins de 13 ans,  ou destinés au grand public si ils savent qu'ils collectent, utilisent ou divulguent des informations personnelles auprès d'enfants de moins de 13 ans Uniquement les services en ligne                 Tout RT  équivalent pour consentement : les service de la société de l’information
    Droits Consentement parental préalable à la collecte de données Information claire Droit d’accès aux données par les parents ; Principe de proportionnalité entre les données collectées et le service rendu Mesures de sécurité raisonnables pour protéger lesdites données. Absence d’un droit d’action pour les particuliers ayant subi un préjudice à la suite de la violation par un fournisseur de service Droits beaucoup plus étendus :  Exigences étendues pour le recueil du consentement  Droits d’information, droits d’accès droits de rectification, droit à la portabilité ….  Interdiction de traiter les données pour d’autres finalités  Possibilité de plainte auprès de la CNIL  Recours juridictionnel