Ce code est entré en vigueur le 2 septembre 2020, avec une période de transition de 12 mois. Les organisations doivent s’y conformer avant le 2 septembre 2021.

Centre du code de l’enfance

Le Children’s Code (ou Age Appropriate Design Code pour lui donner son titre officiel) est un code de pratique en matière de protection des données pour les services en ligne, tels que les applications, les jeux et sites web en ligne et les médias sociaux, auxquels les enfants peuvent accéder.

Il est entré en vigueur le 2 septembre 2020, avec une période de transition de 12 mois pour donner aux organisations le temps de se préparer.

L’ICO s’est engagée à soutenir toutes les organisations en leur fournissant des conseils et des ressources pour les aider à se conformer au code d’ici le 2 septembre 2021.

Résumé:

Les enfants sont « comparés à des données », les entreprises et les organisations enregistrant plusieurs milliers de points de données les concernant au fur et à mesure qu’ils grandissent. Ces données peuvent aller des détails sur leur humeur et leurs amitiés à l’heure à laquelle ils se sont réveillés et à celle à laquelle ils se sont couchés.

Le respect de ce code de conduite légal garantira que, en tant qu’organisation fournissant des services en ligne auxquels les enfants du Royaume-Uni peuvent accéder, l’intérêt supérieur de l’enfant sera pris en compte. Il contribuera à développer des services qui reconnaissent et prennent en compte le fait que les enfants bénéficient d’une protection particulière dans la manière dont leurs données personnelles sont utilisées, tout en offrant de nombreuses possibilités d’exploration et de développement en ligne.

Un an est prévu pour mettre en œuvre les changements nécessaires à partir de la date d’entrée en vigueur du code après le processus d’approbation parlementaire.

La Convention des Nations unies relative aux droits de l’enfant (CDE) reconnaît que les enfants ont besoin de garanties et de soins particuliers dans tous les aspects de leur vie. Il existe un accord international et au Royaume-Uni sur le fait qu’il faut faire beaucoup plus pour créer un espace en ligne plus sûr dans lequel on peut apprendre, explorer et jouer.

Au Royaume-Uni, le Parlement et le gouvernement ont pris des mesures pour s’assurer que les lois nationales sur la protection des données transforment réellement la manière dont les enfants sont protégés lorsqu’ils accèdent à des services en ligne. Ce code vise à protéger les enfants dans le monde numérique, et non à les en protéger.

Le code définit 15 normes de conception adaptées à l’âge des enfants qui reflètent une approche fondée sur les risques. Il vise à fournir des paramètres par défaut qui garantissent aux enfants le meilleur accès possible aux services en ligne tout en minimisant la collecte et l’utilisation des données, par défaut.

Il garantit également que les enfants qui choisissent de modifier leurs paramètres par défaut reçoivent les bonnes informations, orientations et conseils avant de le faire et une protection adéquate dans la manière dont leurs données sont utilisées par la suite.

Suivez les normes dans le cadre de votre démarche de conformité à la législation sur la protection des données. Les normes sont cumulatives et interdépendantes et doivent toutes être mises en œuvre, dans la mesure où elles sont pertinentes pour le service, afin de démontrer leur conformité.

Le détail des normes ci-dessous fournit des explications supplémentaires pour les comprendre et les mettre en œuvre dans la pratique.

Les normes sont les suivantes :

1. L’intérêt supérieur de l’enfant: L’intérêt supérieur de l’enfant doit être une considération primordiale lorsque vous concevez et développez des services en ligne susceptibles d’être accessibles à un enfant.
2. Évaluations d’impact sur la protection des données : Entreprendre une évaluation d’impact sur la protection des données afin d’évaluer et d’atténuer les risques pour les droits et les libertés des enfants susceptibles d’accéder à votre service, qui découlent de votre traitement des données. Tenez compte des différences d’âge, de capacités et de besoins de développement et veillez à ce que votre DPIA soit conforme à ce code.
3. Application adaptée à l’âge : Adoptez une approche basée sur le risque pour reconnaître l’âge des utilisateurs individuels et assurez-vous que vous appliquez effectivement les normes de ce code aux enfants utilisateurs. Soit vous établissez l’âge avec un niveau de certitude approprié aux risques pour les droits et libertés des enfants qui découlent de votre traitement de données, soit vous appliquez les normes de ce code à tous vos utilisateurs.
4. Transparence : Les informations relatives à la vie privée que vous fournissez aux utilisateurs, ainsi que les autres termes, politiques et normes communautaires publiés, doivent être concises, bien visibles et rédigées dans un langage clair adapté à l’âge de l’enfant. Fournissez des explications spécifiques supplémentaires sur la façon dont vous utilisez les données personnelles au moment où l’utilisation est activée.
5. Utilisation préjudiciable des données : N’utilisez pas les données à caractère personnel des enfants d’une manière qui s’est avérée préjudiciable à leur bien-être ou qui va à l’encontre des codes de pratique du secteur, d’autres dispositions réglementaires ou des conseils du gouvernement.
6. Politiques et normes communautaires : Respectez vos propres conditions, politiques et normes communautaires publiées (y compris, mais sans s’y limiter, les politiques de confidentialité, la restriction d’âge, les règles de comportement et les politiques de contenu).
7. Paramètres par défaut : Les paramètres par défaut doivent être « high privacy » (sauf si vous pouvez démontrer une raison impérieuse pour un paramètre par défaut différent, en tenant compte de l’intérêt supérieur de l’enfant).
8. Minimisation des données : Ne recueillez et ne conservez que le minimum de données à caractère personnel dont vous avez besoin pour fournir les éléments de votre service dans lesquels un enfant est activement et sciemment engagé. Donnez aux enfants la possibilité de choisir séparément les éléments qu’ils souhaitent activer.
9. Partage des données : Ne divulguez pas les données des enfants à moins que vous ne puissiez démontrer une raison impérieuse de le faire, en tenant compte de l’intérêt supérieur de l’enfant.
10. Géolocalisation : Désactivez les options de géolocalisation par défaut (sauf si vous pouvez démontrer une raison impérieuse pour que la géolocalisation soit activée par défaut, en tenant compte de l’intérêt supérieur de l’enfant). Fournir un signe évident pour les enfants lorsque le suivi de la localisation est actif. Les options qui rendent la localisation d’un enfant visible pour les autres doivent être désactivées par défaut à la fin de chaque session.
11. Contrôles parentaux: Si vous prévoyez un contrôle parental, donnez à l’enfant des informations appropriées à son âge à ce sujet. Si votre service en ligne permet à un parent ou à une personne responsable de surveiller l’activité en ligne de son enfant ou de suivre sa localisation, donnez un signe évident à l’enfant lorsqu’il est surveillé.
12. Profilage:  Désactivez les options qui utilisent le profilage par défaut (sauf si vous pouvez démontrer une raison impérieuse pour que le profilage soit activé par défaut, en tenant compte de l’intérêt supérieur de l’enfant). N’autorisez le profilage que si vous avez mis en place des mesures appropriées pour protéger l’enfant de tout effet néfaste (en particulier, être alimenté par un contenu préjudiciable à sa santé ou à son bien-être).
13. Les techniques d’encouragement: N’utilisez pas de techniques de persuasion pour inciter ou encourager les enfants à fournir des données personnelles inutiles ou pour affaiblir ou désactiver leur protection de la vie privée.
14. Jouets et dispositifs connectés:  Si vous fournissez un jouet ou un dispositif connecté, assurez-vous d’inclure des outils efficaces pour permettre la conformité à ce code.
15. Outils en ligne: Fournissez des outils bien visibles et accessibles pour aider les enfants à exercer leurs droits en matière de protection des données et à signaler leurs préoccupations.

SOURCE:AUTORITA’ PER LA PROTEZIONE DEI DATI DEL REGNO UNITO – ICO