05 oct
2015

Les résultats inquiétants de l'enquête sur des sites Internet et des applications destinés aux enfants

Un projet international au cours duquel des sites Internet et des applications destinés aux enfants ont été passés au crible a révélé des inquiétudes sur les données à caractère personnel collectées par les sites Internet et les applications.

Le projet a mis en avant des préoccupations pour 41 % des 1.494 sites Internet et applications examinés, en particulier concernant la quantité de données à caractère personnel collectées et la manière dont celles-ci sont échangées avec des tiers.

Le GPEN (Global Privacy Enforcement Network) vise une meilleure collaboration dans le cadre de l'application des lois sur la protection de la vie privée. Avec ce troisième ratissage ("sweep") annuel sur la vie privée, le GPEN voulait vérifier le niveau de transparence des pratiques en matière de protection de la vie privée des sites Internet et des applications sur les appareils mobiles.

Pour ce ratissage vie privée, le GPEN a réuni 29 autorités de par le monde afin d'examiner des sites Internet et des applications destinés aux enfants – ou simplement populaires auprès d'eux.

Voici les résultats :

  • 67 % des sites Internet/applications examinés collectent des données à caractère personnel d'enfants ;
  • Seuls 31 % de ces sites Internet ont adopté des mesures efficaces visant à limiter la collecte de données à caractère personnel d'enfants. Il est particulièrement inquiétant de constater que de nombreuses organisations dont les sites Internet et/ou les applications sont très populaires auprès des enfants mentionnent uniquement dans leur déclaration de confidentialité que ceux-ci ne sont pas destinés aux enfants, sans prendre d'autres mesures pour protéger les enfants contre la collecte de leurs données à caractère personnel, et ce alors que ces derniers utilisent inévitablement les applications ou consultent les sites Internet ;
  • La moitié des sites Internet/applications partage des données à caractère personnel avec des tiers ;
  • 22 % des sites Internet/applications prévoient une possibilité pour les enfants de transmettre leur numéro de téléphone et 23 % d'entre eux leur permettent de charger des photos et des vidéos. La sensibilité potentielle de ces données constitue clairement un sujet d'inquiétude pour les autorités ;
  • 58 % des sites Internet/applications offrent aux enfants la possibilité d'être redirigés vers un autre site Internet ;
  • Seuls 24 % des sites Internet/applications encouragent l'implication des parents ;
  • 71 % des sites Internet/applications ne proposent pas de moyen simple et clair de supprimer les informations des comptes.

Le projet a pu trouver des exemples de bonnes pratiques avec des sites Internet et des applications qui offrent des mesures de protection efficaces telles qu'un tableau de bord parental ("parental dashboard") et des profils et/ou des noms d'utilisateurs prédéfinis afin d'éviter que des enfants ne communiquent sans le vouloir leurs propres données à caractère personnel. D'autres bons exemples sont l'intégration de fonctions de chat qui permettent aux enfants de ne choisir que des mots et des phrases dans des listes préalablement approuvées et l'utilisation d'avertissements "just in-time" afin de dissuader les enfants de communiquer leurs données à caractère personnel lorsque ce n'est pas nécessaire.

Bien que le projet ait initialement été axé sur les pratiques en matière de protection de la vie privée, les autorités ont également formulé des inquiétudes concernant le caractère inapproprié de certaines publicités sur des sites Internet et des applications destinés aux enfants.

Les autorités vont à présent déterminer si d'autres actions doivent être entreprises contre certains sites Internet et applications spécifiques qu'elles ont examinés chacune dans leur pays et s'il y a des cas qui doivent faire l'objet d'une coordination internationale.

Les résultats pour la Belgique

En Belgique, l'Autorité s'est concentrée sur des sites Internet et des applications d'origine belge. Au total, 39 sites Internet/applications ont été examinés.

Nous constatons les tendances suivantes :

  • 22 des 39 sites Internet/applications réclament au moins une donnée à caractère personnel de l'utilisateur. La majorité de ces 22 sites Internet/applications ne réclame que des données minimales (suffisantes pour créer un compte) ;
  • Seuls 30 % de ces mêmes 22 sites Internet/applications offrent une forme d'implication parentale, par exemple :
    • ‘parental gating’ – protéger certaines fonctions au moyen d'une équation ;
    • demander le consentement des parents par e-mail ;
    • mentionner sur le site Internet/l'application que le consentement des parents est nécessaire.
  • 41 % de ces mêmes 22 sites Internet/applications offrent aux enfants la possibilité d'envoyer des photos et des vidéos ;
  • Aucun site Internet ne propose aux parents un tableau de bord ("dashboard") pour surveiller les activités de leur enfant ; 
  • L'Autorité a consacré une attention supplémentaire à la sécurisation de la collecte de données, plus particulièrement à l'utilisation de "https". Bien qu'il s'agisse d'une technique de sécurisation courante, nous constatons que 41 % des sites Internet ne l'utilisent pas. La Loi vie privée exige pourtant que des mesures techniques adéquates soient prises, compte tenu, d'une part, de l'état de la technique en la matière et des frais y afférents et, d'autre part, de la nature des données à protéger et des risques potentiels que cette collecte implique (art. 16, § 4).

Quelles initiatives l'Autorité va-t-elle entreprendre après le ratissage vie privée ("privacy-sweep") ?

Les autorités ayant participé au ratissage vie privée peuvent entreprendre d'autres initiatives sur la base des résultats et des compétences de ces commissions dans chaque pays. En Belgique, l'Autorité prendra contact avec plusieurs concepteurs d'applications et de sites Internet concernant ses constats du ratissage vie privée afin d'organiser une campagne de sensibilisation. En cas de violation manifeste de la Loi vie privée, l'Autorité adressera une mise en demeure aux parties concernées. Au besoin, elle transmettra le dossier aux autorités compétentes (la Federal Computer Crime Unit, le parquet et le SPF Économie).

Vous avez des questions ? Contactez Sarah Boulerhcha, responsable communication.

+32 (0)2 274 48 08 ou +32(0)473 85 15 97

sarah.boulerhcha@apd-gba.be