Article 8 RGPD : le consentement des mineurs décrypté

Quand TikTok a été condamné à 345 millions d’euros par l’autorité irlandaise en septembre 2023 puis à 530 millions d’euros par l’autorité néerlandaise en mai 2025, c’est l’Art. 8 du RGPD que ces décisions ont mobilisé en premier — combiné à l’Art. 25 sur la protection dès la conception. Cet article tient en trois paragraphes mais il commande l’ensemble du régime du consentement des mineurs dans l’Union européenne. Il est mal compris en France, où l’on confond souvent l’âge plancher RGPD, la majorité numérique de 15 ans posée par la loi du 7 juillet 2023, et la majorité civile de 18 ans. Cette confusion expose les opérateurs à des sanctions du plafond bas — 10 M€ ou 2 % du chiffre d’affaires mondial — et désormais à des actions de groupe (loi n° 2024-364 du 22 avril 2024).

Ce que dit l’article 8 du RGPD

L’Art. 8 s’intitule « Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information ». Son champ d’application est plus étroit qu’il n’y paraît : il vise les seuls traitements fondés sur le consentement de l’Art. 6(1)(a), pour les seuls services de la société de l’information, et ne joue que lorsque ces services sont offerts directement à un enfant. Il comporte trois paragraphes :

• l’Art. 8(1) fixe l’âge plancher du consentement direct à 16 ans, avec une faculté pour les États membres de descendre jusqu’à 13 ans ;
• l’Art. 8(2) impose au responsable de traitement de fournir des efforts raisonnables pour vérifier que le consentement a bien été donné ou autorisé par le titulaire de l’autorité parentale ;
• l’Art. 8(3) précise que ces règles ne préjugent pas du droit national général des contrats, notamment des règles de capacité.

Le considérant 38 énonce le principe directeur : les enfants méritent une protection spécifique parce qu’ils sont « moins conscients » des risques et conséquences du traitement, ainsi que de leurs droits. Cette protection s’impose particulièrement à des fins de marketing, de profilage et lors de la collecte de données pour services destinés aux enfants.

Les sanctions relèvent du plafond bas, Art. 83(4)(a) — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. Mais l’Art. 8 ne joue jamais seul. Une violation entraîne mécaniquement un défaut de base légale (Art. 6) et un défaut de consentement valable (Art. 7), qui relèvent eux du plafond haut (20 M€ ou 4 %). C’est ce que la DPC irlandaise a appliqué à TikTok : sanction conjointe Art. 5(1)(a), 5(1)©, 5(1)(f), 12, 13, 24, 25, 32 et 5(1)© — l’Art. 8 servant de fil conducteur.

Art. 8(1) : l’âge plancher du consentement direct

L’Art. 8(1) pose une règle articulée en deux temps. Première règle : pour les services de la société de l’information offerts directement à un enfant, lorsque le traitement est fondé sur l’Art. 6(1)(a), le consentement de l’enfant est licite si l’enfant a au moins 16 ans. Seconde règle : lorsque l’enfant a moins de 16 ans, ce traitement n’est licite que si et dans la mesure où le consentement est donné ou autorisé par le titulaire de la responsabilité parentale.

La faculté de baisser le seuil

Le règlement laisse aux États membres une marge de manœuvre limitée : ils peuvent abaisser le seuil par le droit national, mais pas en dessous de 13 ans. C’est l’une des rares dispositions du RGPD à offrir une telle option (les autres figurent à l’Art. 6(2) et 6(3)). En conséquence, le seuil applicable varie d’un État membre à l’autre. Au 1ᵉʳ janvier 2026, la cartographie européenne est la suivante : 13 ans (Belgique, Danemark, Estonie, Finlande, Lettonie, Malte, Portugal, Suède, Royaume-Uni avant le Brexit), 14 ans (Autriche, Bulgarie, Chypre, Espagne, Italie, Lituanie), 15 ans (Croatie, France, République tchèque, Slovénie), 16 ans (Allemagne, Hongrie, Irlande, Luxembourg, Pays-Bas, Pologne, Roumanie, Slovaquie). Pour un opérateur transfrontalier, cela impose un paramétrage par juridiction.

Le seuil français : 15 ans

La France a fixé le seuil à 15 ans à l’article 45 de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés, LIL), dans sa rédaction issue de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le mineur de 15 ans révolus peut consentir seul à un traitement portant sur l’offre directe de services de la société de l’information. En dessous de 15 ans, le consentement doit être donné conjointement par le mineur et le titulaire de l’autorité parentale. L’innovation française est cette double exigence — la majorité des États membres se contentent du consentement parental. La CNIL en a fait l’un des axes structurants de sa recommandation du 9 août 2021 sur les droits des mineurs (délibération n° 2021-067).

Attention à ne pas confondre ce seuil avec la majorité numérique instaurée par la loi n° 2023-566 du 7 juillet 2023, qui impose aux plateformes de réseaux sociaux de recueillir l’autorisation expresse de l’un des titulaires de l’autorité parentale pour les utilisateurs de moins de 15 ans. Les deux seuils coïncident à 15 ans mais leurs champs d’application diffèrent : la loi de juillet 2023 vise spécifiquement les réseaux sociaux (au sens de l’article 7 de la loi du 21 mai 2024) ; l’Art. 8 RGPD vise tous les services de la société de l’information dès lors que le traitement repose sur le consentement.

Le champ d’application : trois conditions cumulatives

L’Art. 8(1) ne s’applique que si trois conditions sont réunies :

• le traitement repose sur le consentement (Art. 6(1)(a)) — pour un traitement fondé sur l’intérêt légitime, l’exécution contractuelle ou une obligation légale, l’Art. 8 ne joue pas. Cela ne signifie pas que les autres bases légales sont libres : la CNIL a constamment rappelé qu’un traitement de données d’un mineur doit faire l’objet d’une vigilance renforcée, notamment lors de l’évaluation des intérêts légitimes où l’équilibre est tenu pour défavorable à un usage publicitaire ;
• il s’agit d’un service de la société de l’information au sens de la directive (UE) 2015/1535 — service fourni à distance, par voie électronique, sur demande individuelle, et normalement contre rémunération. La gratuité financée par la publicité entre dans le champ : la CJUE l’a confirmé dès l’affaire Papasavvas (C-291/13, 11 septembre 2014) ;
• le service est offert directement à un enfant. Cette précision est essentielle : un site B2B, un service professionnel, un outil RH, ne sont pas concernés. C’est le ciblage commercial du contenu et de l’interface qui déclenche l’application, pas la seule possibilité technique qu’un mineur s’inscrive.

Articulation avec les autres bases légales

Si l’opérateur ne peut pas démontrer que l’enfant atteint le seuil (ou que l’autorisation parentale est valide), il ne peut pas s’appuyer sur le consentement. Il doit alors soit refuser l’inscription, soit identifier une autre base légale. Mais cette autre base légale est elle-même contrainte. L’Art. 6(1)(f) intérêt légitime exclut presque systématiquement la prospection commerciale ciblant des mineurs, l’EDPB ayant durci la mise en balance dans ses Lignes directrices 8/2020 sur le ciblage des utilisateurs de réseaux sociaux. L’Art. 6(1)(b) exécution contractuelle n’est mobilisable que dans la mesure du nécessaire au contrat — et la CJUE a rappelé dans Meta Platforms du 4 juillet 2023 (C-252/21) que la personnalisation publicitaire ne relève jamais de cette base. En pratique, le contournement de l’Art. 8 par le choix d’une autre base légale est très contrôlé.

Art. 8(2) : les efforts raisonnables de vérification

Le paragraphe 2 pose une obligation procédurale singulière. Le responsable de traitement « s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».

Une obligation de moyens proportionnée

Le standard est explicitement celui d’une obligation de moyens — « s’efforce raisonnablement » — proportionnée à l’état de la technique. C’est un point que l’autorité néerlandaise (AP) a longuement développé dans sa décision TikTok de mai 2025 : l’absence totale de mécanisme de vérification d’âge ou de validation parentale ne peut jamais constituer un effort raisonnable. À l’inverse, une vérification 100 % fiable n’est pas exigée — elle est techniquement et juridiquement impossible.

L’EDPB a précisé la lecture dans ses Lignes directrices 5/2020 sur le consentement (révisées le 4 mai 2020) et dans ses Lignes directrices 2/2019 sur la base légale de l’Art. 6(1)(b). La méthode doit être adaptée au risque : un service à faible enjeu de protection (forum d’entraide scolaire) ne justifie pas un dispositif aussi exigeant qu’un service à risque élevé (plateforme sociale, jeu en argent, marketplace).

Le standard de la CNIL et de l’ARCOM

La CNIL et l’ARCOM ont publié conjointement le 27 juillet 2022 un référentiel technique sur la vérification d’âge en ligne, complété par la délibération CNIL n° 2022-029 du 24 mars 2022. Le principe directeur est celui du double anonymat : la solution doit empêcher à la fois le service de connaître l’identité de l’utilisateur et le tiers de vérification de connaître le service consulté. Trois méthodes sont citées comme conformes à l’état de l’art :

• l’attribution d’un attribut « majeur » à partir d’un titre d’identité, traité par un tiers indépendant qui ne transmet au service que le résultat booléen ;
• la vérification par estimation d’âge sur la base d’analyse biométrique faciale, traitée localement et non conservée (CNIL Recommandation du 22 décembre 2022 sur l’âge estimé) ;
• la délégation à un tiers de confiance certifié, type FranceConnect+ ou opérateur de portefeuille d’identité numérique.

À l’inverse, sont considérées comme insuffisantes : la simple déclaration d’âge par case à cocher (« je certifie avoir plus de 15 ans »), la collecte de la date de naissance sans vérification, l’envoi d’une copie de pièce d’identité au service lui-même (collecte excessive de données sensibles).

Le mécanisme de l’autorisation parentale

Lorsque l’enfant est en dessous du seuil, l’autorisation parentale doit être recueillie. L’EDPB rappelle qu’il n’existe pas de méthode unique imposée — le standard est encore celui de l’effort raisonnable. Les pratiques observées :

• envoi d’un email de validation à l’adresse parentale fournie par l’enfant, à charge pour le parent de cliquer sur un lien ;
• micro-paiement de validation (1 centime débité-recrédité sur une carte bancaire, dont l’usage suppose la majorité civile) ;
• vérification active (appel téléphonique au numéro fourni, validation par un tiers de confiance) ;
• pour les écoles : convention signée entre l’établissement et le service, le directeur agissant comme tiers de confiance.

L’autorité néerlandaise dans la décision TikTok précitée et la DPC irlandaise dans sa décision du 1ᵉʳ septembre 2023 ont retenu que l’absence de toute vérification — y compris d’un email de validation parentale — caractérisait à elle seule un manquement à l’Art. 8(2).

L’effet de cascade en cas de défaillance

Si la vérification d’âge ou parentale fait défaut, le consentement n’est pas valable. Le traitement perd sa base légale (Art. 6). La sanction se cumule alors : Art. 83(4)(a) pour le manquement à l’Art. 8 (plafond 10 M€ / 2 %), Art. 83(5)(a) pour le manquement à l’Art. 6 et 7 (plafond 20 M€ / 4 %), Art. 83(5)(b) pour les manquements aux droits des personnes mineures (Art. 12-22). C’est cette mécanique cumulative qui explique les montants records prononcés contre les plateformes adressant des mineurs.

Art. 8(3) : la réserve du droit national des contrats

Le paragraphe 3 prend soin de préciser que l’Art. 8 « n’a pas d’incidence sur le droit général des contrats des États membres, notamment sur les règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant ». Cette précision n’est pas neutre — elle est la clé d’un point souvent mal compris.

La capacité civile reste régie par le droit national

En droit français, le mineur reste un incapable juridique au sens des articles 388-1-1 et 1146 du Code civil. Il ne peut conclure seul que les actes courants autorisés par l’usage. Un contrat d’abonnement à un service en ligne, dès lors qu’il dépasse cette définition, requiert l’intervention du titulaire de l’autorité parentale. Ce régime joue indépendamment du seuil de 15 ans de l’Art. 8(1).

Conséquence pratique : un mineur de 15 ans peut donner seul un consentement RGPD valable au titre de l’Art. 8(1), mais le contrat de service auquel ce consentement est rattaché peut être attaqué en nullité par les parents au titre du droit civil. Les deux régimes coexistent. La nullité du contrat civil n’invalide pas rétroactivement le consentement RGPD, mais elle prive le traitement de sa finalité contractuelle pour l’avenir.

Conséquences pour les opérateurs

Le double régime impose une vigilance contractuelle distincte de la vigilance RGPD. Une CGU d’un service offert à des mineurs entre 15 et 18 ans doit prévoir une mention spécifique sur la responsabilité parentale ; une procédure de gestion des contestations parentales doit être documentée ; le DPO doit articuler le périmètre des mentions Art. 13 et la rédaction des conditions générales. C’est précisément ce que la CNIL a relevé dans la mise en demeure publique adressée à Voodoo en juin 2024, où l’éditeur de jeux mobiles avait construit son interface autour d’un consentement RGPD de mineur sans articulation avec le droit des contrats.

Sanctions et jurisprudence structurante

Le contentieux relatif à l’Art. 8 s’est développé rapidement depuis 2022. Quatre décisions structurantes méritent d’être rappelées.

TikTok — la saga européenne

La DPC irlandaise (autorité chef de file) a sanctionné TikTok Ireland Ltd à 345 millions d’euros le 1ᵉʳ septembre 2023, après décision contraignante du CEPD 2/2023 du 2 août 2023 sur le mécanisme de cohérence (Art. 65). La sanction porte sur les paramètres par défaut des comptes mineurs (public et non privé), l’absence de transparence dans la rédaction destinée aux 13-17 ans, l’usage de dark patterns pour orienter les choix, et la défaillance des vérifications parentales. C’est l’application la plus complète du tandem Art. 8 / Art. 25 jamais rendue.

La CNIL avait précédé cette décision avec la délibération SAN-2022-026 du 29 décembre 2022, condamnant TikTok à 5 millions d’euros pour des manquements aux cookies (Art. 82 LIL) — sanction sectorielle mais qui visait aussi le ciblage publicitaire de mineurs.

L’AP néerlandais a poursuivi en mai 2025 avec une sanction de 530 millions d’euros, retenant un défaut d’effort raisonnable de vérification d’âge et le profilage publicitaire d’utilisateurs identifiés comme mineurs. L’ICO britannique avait également infligé 12,7 millions de livres en avril 2023 sur des griefs comparables.

Discord — les paramètres par défaut

La CNIL a sanctionné Discord Inc. à 800 000 euros le 10 novembre 2022 (délibération SAN-2022-009). Le grief central portait sur les paramètres par défaut conservant les comptes inactifs indéfiniment, en violation de l’Art. 25(2) sur la protection par défaut. Mais la décision relève aussi que Discord avait connaissance d’une fraction significative d’utilisateurs mineurs sans mécanisme de vérification d’âge ni d’autorisation parentale, en violation de l’Art. 8.

OpenAI / ChatGPT — la première sanction IA

Le Garante italien a sanctionné OpenAI à 15 millions d’euros le 20 décembre 2024, en retenant notamment l’absence de mécanisme de vérification d’âge sur ChatGPT — alors que le service est expressément interdit aux moins de 13 ans (et soumis à autorisation parentale entre 13 et 18 ans selon les CGU). La CNIL a publié en mai 2024 ses recommandations IA avec un volet spécifique sur la protection des mineurs, alignées sur le considérant 71 du RGPD qui interdit le profilage des enfants en principe.

Conséquences pour le contentieux français

Aucune sanction CNIL stricto sensu fondée sur l’Art. 8 RGPD n’a encore été rendue publique en France, mais plusieurs mises en demeure ont été notifiées en 2024-2025 dans le secteur des jeux mobiles et des plateformes éducatives. Le contentieux indemnitaire civil au titre de l’Art. 82 est désormais ouvert via l’action de groupe (loi n° 2024-364 du 22 avril 2024), avec un risque accru pour les opérateurs touchant des bases mineures massives.

Plan opérationnel en six chantiers

Pour mettre en conformité un service de la société de l’information susceptible d’être utilisé par des mineurs, le plan opérationnel s’articule en six chantiers.

Chantier 1 — Qualification du public. Identifier si le service est offert directement à des mineurs, ou s’il s’agit d’un service mixte susceptible d’accueillir une part significative de mineurs. La qualification conditionne le périmètre d’application de l’Art. 8 et oriente le choix entre une refonte intégrale ou un parcours d’inscription dual.

Chantier 2 — Base légale. Documenter, traitement par traitement, la base légale retenue. Si le consentement est mobilisé, l’Art. 8 s’applique. Si une autre base est mobilisée (typiquement l’Art. 6(1)(b) pour le service de base), l’analyse de proportionnalité doit explicitement intégrer la condition de minorité.

Chantier 3 — Vérification d’âge. Déployer un dispositif de vérification proportionné au risque, conforme au standard de double anonymat. Pour un service à risque élevé (réseau social, jeu en argent, contenu sensible), le standard est celui d’un tiers indépendant certifié. Pour un service à risque modéré, l’estimation d’âge ou l’attribut d’âge issu d’un portefeuille d’identité numérique sont acceptables. La case à cocher déclarative n’est jamais suffisante.

Chantier 4 — Mécanisme d’autorisation parentale. Pour les mineurs en dessous du seuil, prévoir un canal documenté de recueil et de vérification du consentement parental. Le standard a minima est celui de l’email de validation. Une procédure de gestion des contestations parentales doit accompagner ce mécanisme.

Chantier 5 — Information adaptée. Rédiger les mentions Art. 13 en langage adapté à l’âge du public visé. L’EDPB a rappelé dans ses Lignes directrices 5/2020 que l’information doit être compréhensible « par un enfant moyen » — ce qui exclut le jargon juridique et impose un niveau de lecture proche du niveau scolaire correspondant. La CNIL recommande des supports illustrés pour les moins de 13 ans.

Chantier 6 — Privacy by design et by default. Application directe de l’Art. 25 : paramètres par défaut conservateurs pour les comptes mineurs (visibilité, géolocalisation, notifications, profilage), interdiction du profilage à des fins de marketing direct vers les enfants conformément au considérant 38, retentions courtes par défaut. C’est précisément ce que la DPC a sanctionné chez TikTok et le levier opérationnel le plus déterminant à long terme.

Ce qu’il faut retenir

• L’Art. 8 du RGPD encadre le consentement des mineurs aux services de la société de l’information, lorsque le traitement repose sur l’Art. 6(1)(a). En France, le seuil est fixé à 15 ans (Art. 45 LIL) et exige le double consentement enfant + parent en dessous de cet âge.
• Le seuil RGPD ne se confond ni avec la majorité numérique de la loi du 7 juillet 2023 (réseaux sociaux), ni avec la majorité civile de 18 ans. Les trois régimes coexistent et imposent une articulation distincte.
• L’Art. 8(2) impose une obligation de moyens proportionnée — la simple déclaration d’âge par case à cocher est insuffisante. Le standard est celui du double anonymat défini par la CNIL et l’ARCOM en 2022.
• L’Art. 8(3) préserve le droit national des contrats. La capacité civile du mineur reste régie par le Code civil indépendamment du consentement RGPD.
• Les sanctions sont du plafond bas (10 M€ ou 2 %), mais l’Art. 8 ne joue jamais seul : il déclenche un défaut de base légale (Art. 6, plafond 20 M€/4 %) et des manquements aux droits (Art. 12-22). Le contentieux TikTok (345 M€ + 530 M€) en est l’illustration.
• Le profilage et la prospection commerciale ciblant les enfants sont par principe disqualifiés au titre du considérant 38. C’est l’angle d’attaque principal des autorités depuis 2022.

FAQ

Quel est l’âge légal pour consentir seul à un traitement de données en France ?

15 ans, en application de l’article 45 de la loi Informatique et Libertés. En dessous de cet âge, le consentement doit être donné conjointement par le mineur et le titulaire de l’autorité parentale. Au-dessus, le mineur consent seul au sens du RGPD — mais reste soumis aux règles de capacité civile pour la conclusion d’un contrat. Ce seuil ne s’applique qu’aux traitements fondés sur le consentement de l’Art. 6(1)(a).

La case « Je certifie avoir plus de 15 ans » est-elle suffisante pour vérifier l’âge ?

Non. La CNIL et l’ARCOM considèrent depuis leur référentiel commun du 27 juillet 2022 que la simple déclaration d’âge ne constitue pas un effort raisonnable de vérification au sens de l’Art. 8(2). Le standard exige un mécanisme actif — attribution d’attribut d’âge par tiers indépendant, estimation biométrique locale conforme à la délibération CNIL n° 2022-029, ou délégation à un portefeuille d’identité numérique certifié.

Quelle différence entre l’Art. 8 RGPD et la loi du 7 juillet 2023 sur la majorité numérique ?

Les champs d’application sont distincts. L’Art. 8 RGPD vise tous les services de la société de l’information qui reposent sur le consentement de l’utilisateur (Art. 6(1)(a)). La loi du 7 juillet 2023 vise spécifiquement les réseaux sociaux, indépendamment de la base légale du traitement, et impose une autorisation parentale expresse pour les utilisateurs de moins de 15 ans. Les deux seuils coïncident à 15 ans, mais les obligations qui en découlent diffèrent — un service relevant des deux régimes doit cumuler les exigences.

Peut-on traiter les données d’un mineur sur la base de l’intérêt légitime pour éviter l’Art. 8 ?

En théorie oui, en pratique très difficilement. L’EDPB a durci dans ses Lignes directrices 8/2020 la mise en balance de l’intérêt légitime lorsque la personne concernée est mineure, particulièrement à des fins de prospection ou de profilage. Le considérant 38 du RGPD pose une présomption défavorable à ces finalités. Choisir une autre base légale ne dispense pas par ailleurs de vérifier la capacité contractuelle du mineur au titre de l’Art. 8(3).

Quelles sanctions en cas de manquement à l’Art. 8 ?

Sanctions du plafond bas au titre de l’Art. 83(4)(a) — 10 M€ ou 2 % du chiffre d’affaires mondial annuel. Mais l’Art. 8 ne joue jamais seul : il entraîne mécaniquement un défaut de base légale (Art. 6) et de consentement valable (Art. 7), tous deux relevant du plafond haut (20 M€ ou 4 %). Le cumul a été appliqué par la DPC irlandaise (TikTok, 345 M€), l’AP néerlandais (TikTok, 530 M€) et le Garante italien (OpenAI, 15 M€). S’y ajoute désormais le risque d’action de groupe au titre de l’Art. 82 (loi n° 2024-364 du 22 avril 2024).

---

Thiébaut Devergranne, docteur en droit (Paris II, 2007), est le fondateur de donneespersonnelles.fr et de Legiscope, logiciel de conformité RGPD. Il forme des DPO et accompagne des entreprises en mise en conformité depuis plus de vingt ans.