En 2022, plus de 60 pays – dont tous les pays membres de l’Union Européenne (« UE »), les Etats-Unis, le Royaume-Uni, le Canada et le Japon – ont signé la Déclaration pour le futur d’internet (Declaration for the Future of the Internet) et se sont notamment engagé à promouvoir la sécurité en ligne pour faire d’internet un espace sûr et sécurisé pour tous, en particulier pour les enfants.

Cette Déclaration fait directement écho au règlement européen sur les services numériques (« Digital Services Act » ou « DSA ») – adopté le 19 octobre 2022 – qui précise en son considérant 71 que « La protection des mineurs est un objectif stratégique important de l’Union » et interdit aux plateformes en ligne de présenter des publicités ciblées à des mineurs sur la base de l’utilisation de leurs données personnelles.

L’interdiction prévue par le DSA n’est cependant pas nouvelle et existait déjà ; plusieurs autorités européennes de protection des données ont émis leurs recommandations sur le sujet. En outre, la mise en œuvre de l’interdiction à venir et/ou existante est tout sauf simple et pose de nombreuses questions : comment s’applique-t-elle aux différents acteurs ? Comment sera-t-il possible de savoir avec certitude que les utilisateurs ont bien plus de 18 ans pour pouvoir leur proposer des publicités ciblées ? Lesdits acteurs devront-ils avoir recours à des systèmes de vérification d’âge ?

1 - Le DSA : pièce maîtresse d'une interdiction à venir

Lorsque le fournisseur de la plateforme en ligne sait qu’un mineur utilise sa plateforme, il ne doit pas lui proposer des publicités ciblées ou utiliser ses données personnelles à ces fins.

L’article 28.2 précise en effet que « Les fournisseurs de plateformes en ligne ne présentent pas sur leur interface de publicité qui repose sur du profilage, tel qu’il est défini à l’article 4, point 4), du règlement (UE) 2016/679 en utilisant des données à caractère personnel concernant le destinataire du service dès lors qu’ils ont connaissance avec une certitude raisonnable que le destinataire du service est un mineur. »

L’article 24 du projet du DSA daté du 20 janvier 2022 prévoyait plus fermement que « Les techniques de ciblage ou d’amplification qui traitent, révèlent ou déduisent des données à caractère personnel concernant des mineurs […] aux fins de l’affichage de la publicité sont interdites. »

Le texte définitif laisse ainsi aux fournisseurs de plateformes en ligne une certaine liberté de par l’utilisation des termes « avec une certitude raisonnable ». Cependant, le degré de certitude requis est inconnu à ce stade et il faudra sans doute attendre l’entrée en vigueur du DSA pour le savoir.

Si l’entrée en vigueur du DSA parait lointaine (17 février 2024), il ne faut pas pour autant en conclure que le fait de proposer des publicités ciblées à des mineurs est exempt de toutes règles et/ou garanties.

2 - L'existence d'une interdication qui ne dit pas son nom

L’introduction de l’interdiction dans le DSA a fait beaucoup de bruit. En effet, la négociation de ce point particulier du texte a été très houleuse : certains souhaitaient l’interdiction pure et simple de toute forme de publicité ciblée, tandis que d’autres avaient une approche plus mesurée qui se concentrait sur l’interdiction de certaines formes de publicité ciblée.

Beaucoup de bruit pour rien ! L’interdiction d’utiliser les données personnelles de mineurs à des fins publicitaires existe déjà en pratique.

Plusieurs autorités européennes de protection des données personnelles ont pris position sur cette épineuse question. C’est notamment le cas des autorités française (« CNIL »), irlandaise (« DPC ») et britannique (« ICO »).

La CNIL, dans sa recommandation n°8 pour renforcer la protection des mineurs en ligne, affirme qu’il faut éviter le profilage des mineurs et surtout la réutilisation et la transmission à des tiers de leur données personnelles à des fins commerciales ou publicitaires.

La DPC, quant à elle, érige en principe fondamental1 le fait de ne pas utiliser les données personnelles des mineurs à des fins de marketing ou de publicité en raison de leur vulnérabilité et de leur sensibilité à la publicité comportementale, à moins que les fournisseurs des plateformes en ligne ne démontrent comment et pourquoi il est dans l'intérêt supérieur de l'enfant de mettre en place de tels traitements.

Enfin, l’ICO dans son Age Appropriate Design Code affirme qu’il faut toujours prévoir un paramètre de confidentialité spécifique pour la publicité comportementale utilisée pour financer un service, mais qui ne fait pas partie du service auquel l’enfant souhaite accéder. L’ICO souligne que dans la plupart des cas la publicité comportementale sera distincte du service offert aux enfants et devra donc être désactivée par défaut.

En définitive, il est impossible d’affirmer que l’utilisation des données personnelles de mineurs pour leur offrir des publicités ciblées peut se faire librement sans aucun garde-fou. Le DSA n’a donc qu’entériné une interdiction qui existe déjà en pratique. Que l’on s’accorde que l’interdiction existe ou est à venir, sa mise en œuvre n’en reste pas moins complexe.

3 - Une mise en oeuvre complexe : quels acteurs concernés ?

L’interdiction introduite par le DSA ne devrait s’appliquer qu’aux plateformes en ligne définies comme « un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ». Une telle définition englobe de manière très large les places de marché, les réseaux sociaux, les plateformes de partage de contenus, les sites d’e-commerce ou encore les boutiques d’applications.

L’article 19 du DSA exclut expressément les microentreprises et petites entreprises de l’application des règles posées aux articles 19 à 28, ce qui inclut la prohibition des publicités ciblées envers des mineurs. Selon la définition donnée par la recommandation 2003/361/CE de la Commission européenne, une microentreprise est définie comme une entreprise qui occupe moins de 10 personnes et dont le chiffre d'affaires n'excède pas 2 millions d'euros et une petite entreprise comme une entreprise qui occupe moins de 50 personnes et dont le chiffre d'affaires n'excède pas 10 millions d'euros.

Ainsi, et excepté les microentreprises et petites entreprises, l’interdiction s’applique à tous les acteurs répondant à la définition ci-dessus et ayant recours à la publicité ciblée indépendamment de leur taille ou forme (moyennes entreprises, grandes entreprises, plateformes, GAFAM, etc.).

La mise en œuvre de l’interdiction entre les différents acteurs demeure une question ouverte. Il n’existe pas – à ce stade – de réponse tranchée sur le degré de conformité qui sera exigé en pratique. En outre, si le DSA exclut expressément les microentreprises et les petites entreprises, ce n’est pas le cas des autorités de protection des données. Il est donc possible que ces dernières continuent d’appliquer leur doctrine à tous les acteurs indépendamment de leur taille.

4 - Une mise en oeuvre complexe : quid de la vérification de l'âge ?

Ne pas proposer de publicités ciblées à des mineurs implique nécessairement d’avoir un moyen de vérifier l’âge des utilisateurs ou a minima de l’estimer. Or, il est tout sauf aisé – notamment pour les plus petits acteurs – de connaitre l’âge de tous leurs utilisateurs avec une précision leur permettant de les exclure de toute campagne de publicité ciblée.

En outre, il n’existe pas d’obligation généralisée de vérifier l’âge des utilisateurs sur tous les sites internet et pour tous les utilisateurs, cette vérification n’est imposée par la loi que dans certains scénarios (sites pornographiques, sites de pari en ligne, etc.). En outre, l’article 28.3 du DSA précise que « Le respect des obligations […] n’impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur. »

Le considérant 71 du DSA indique par ailleurs que le fournisseur de la plateforme en ligne ne doit ni « conserver, acquérir ou traiter davantage de données à caractère personnel qu’il n’en détient déjà afin d’évaluer si le destinataire du service est un mineur » ni « recueillir l’âge du destinataire du service avant l’utilisation de la plateforme ».

Le DSA oblige d’un côté, les plateformes en ligne à arrêter de proposer des publicités ciblées aux mineurs et leur retire de l’autre, la possibilité de collecter des informations supplémentaires qui pourraient leur permettre d’évaluer l’âge de leurs utilisateurs. Les plateformes ont donc une épée de Damoclès au-dessus de leurs têtes sans avoir de véritable solution si ce n’est d’arrêter de proposer des publicités ciblées à tous leurs utilisateurs ou d’avoir recours à un tiers de confiance.

En effet, et en l’absence d’un véritable système de vérification de l’âge, comment sera-t-il possible pour certains acteurs d’avoir la certitude que les personnes qui consultent leurs sites ou applications mobiles ont plus de 18 ans et qu’ils peuvent donc leur proposer des publicités ciblées ?

Certains affirment que les grandes plateformes ont déjà accès à cette information et connaissent l’âge de leurs utilisateurs avec une précision déconcertante. Si nous pouvons accueillir cet argument, l’interdiction ne concerne pas uniquement ces très grandes plateformes, mais bien tout acteur du web au sens large : développeur de jeux vidéo, entreprise de vente de vêtements, place de marché en ligne, etc.

Contrevenir à cette interdiction expose à des amendes pouvant aller jusqu’à 6% du chiffre d’affaires mondial sur le fondement du DSA et/ou 4% sur le fondement du RGPD. En effet, les autorités de protection des données personnelles auront à cœur à mettre en œuvre leur doctrine et à sanctionner tout acteur qui viendrait cibler des mineurs avec de la publicité. L’interdiction n’est pas à venir, mais existe d’ores et déjà. Une mise en conformité semble donc s’imposer !

5 - Que faire dans cet écosystème complexe ?

Pour les acteurs expressément exclus du champ d’application du DSA, il est possible d’adopter une approche par les risques et de continuer à utiliser de la publicité ciblée pour tous les utilisateurs du site web ou de l’application. En effet, si un risque de sanction par les autorités de protection des données existe, celui-ci doit être analysé in concreto. Quelle est l’activité de l’entreprise ? Cette activité est-elle destinée à des mineurs ? Quelle est la proportion de mineurs utilisant le site ? Les réponses à ces questions permettront d’estimer ce risque et d’établir la meilleure stratégie à adopter.

Pour les acteurs qui sont soumis à l’interdiction posée par le DSA, une approche par les risques peut s’envisager, mais une analyse détaillée de l’activité de l’entreprise, de son impact, de l’estimation du nombre de mineurs utilisant le site devra être menée. Par exemple, s’il est clair qu’un site qui propose un jeu vidéo destiné aux mineurs devra très certainement arrêter ou au moins limiter les publicités ciblées au risque d’être sanctionné, un site d’e-commerce devra procéder à une analyse plus poussée lui permettant d’identifier les mesures supplémentaires qui pourraient être prises.