Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 8 juillet 2026
RGPD

RGPD et données des mineurs : le guide 2026

Données des mineurs et RGPD : seuil de 15 ans, consentement parental, vérification de l'âge, recommandations CNIL et EDPB. Le guide pratique 2026.

La CNIL a fait de la protection des mineurs l’une de ses priorités de contrôle, et ses vérifications menées en 2024 et 2025 ont abouti à un constat sévère : la plupart des acteurs n’adaptent pas leurs mentions d’information à ce public, et la maturité générale reste faible. L’autorité a annoncé poursuivre son action en 2026. Si votre site, votre application ou votre service en ligne est susceptible d’être utilisé par des personnes de moins de 18 ans, vous êtes concerné — souvent bien plus que vous ne le pensez. Voici les règles à connaître et ce qu’il faut mettre en place.

Pourquoi les données des mineurs bénéficient d’une protection renforcée

Le RGPD pose un principe clair dès son considérant 38 : les enfants « méritent une protection spécifique » parce qu’ils sont moins conscients des risques, des conséquences et de leurs droits lorsqu’ils confient leurs données. Ce n’est pas une simple déclaration d’intention. Elle irrigue toute l’interprétation du règlement : un traitement parfaitement licite pour un adulte peut devenir illicite dès lors qu’il vise, ou touche de fait, des mineurs.

Concrètement, cette protection renforcée se manifeste sur trois terrains. D’abord la transparence : l’information doit être formulée dans des termes qu’un enfant peut comprendre (le considérant 58 l’exige explicitement). Ensuite le marketing : le considérant 38 vise nommément le profilage et la publicité comportementale ciblant les mineurs comme des usages nécessitant une vigilance particulière. Enfin la base légale : lorsque le traitement repose sur le consentement, l’âge du mineur détermine qui doit consentir.

Un point de vocabulaire important : le RGPD ne définit pas « l’enfant » de manière uniforme. La majorité au sens du droit civil (18 ans) reste la référence pour l’exercice autonome de la plupart des droits, mais l’article 8 introduit un seuil spécifique, plus bas, pour un cas précis — les services en ligne.

Le seuil des 15 ans : ce que dit l’article 8

L’article 8 du RGPD fixe la règle du consentement des mineurs pour les services de la société de l’information (sites, applications, réseaux sociaux, jeux en ligne) proposés directement à un enfant, lorsque le traitement repose sur le consentement au sens de l’article 6(1)(a).

Le règlement retient par défaut un seuil de 16 ans, mais autorise chaque État membre à l’abaisser jusqu’à 13 ans. La France a fait ce choix : l’article 45 de la loi Informatique et Libertés fixe le seuil à 15 ans. En pratique, cela signifie que :

  • À partir de 15 ans, le mineur peut consentir seul au traitement de ses données pour un service en ligne fondé sur le consentement.
  • En dessous de 15 ans, le consentement doit être donné conjointement par le mineur et par le ou les titulaires de l’autorité parentale.

Trois précisions que je vois régulièrement négligées dans mon activité de conseil. Premièrement, ce seuil ne s’applique qu’au consentement : si votre base légale est l’exécution d’un contrat (article 6(1)(b)) ou une obligation légale, l’article 8 ne joue pas — ce qui ne vous dispense pas des autres exigences de protection. Deuxièmement, l’article 8 vise les services proposés directement aux enfants ; un service purement professionnel n’est pas concerné, mais dès qu’un mineur peut vraisemblablement s’inscrire, la prudence s’impose. Troisièmement, l’article 8(2) impose au responsable de traitement de « s’efforcer raisonnablement » de vérifier que le consentement parental a bien été donné, compte tenu des moyens technologiques disponibles.

Vérifier l’âge et le consentement parental sans créer un nouveau risque

C’est ici que se situe la vraie difficulté opérationnelle. Comment vérifier qu’un utilisateur a plus de 15 ans, ou obtenir un consentement parental fiable, sans collecter une avalanche de données sensibles — pièces d’identité, données biométriques — qui créeraient à leur tour un risque disproportionné ?

Le Comité européen de la protection des données (CEPD/EDPB) a apporté un cadre de référence avec sa déclaration 1/2025 sur l’assurance de l’âge (« age assurance »), adoptée le 11 février 2025. Elle énonce une série de principes directeurs que je résume ainsi :

  • L’intérêt supérieur de l’enfant doit être au centre de tout dispositif de vérification, conformément à la Convention internationale des droits de l’enfant.
  • La méthode retenue doit être la moins intrusive possible et strictement proportionnée à la finalité et au risque : on ne déploie pas une vérification d’identité lourde pour un service à faible enjeu.
  • Les principes de minimisation (article 5(1)©) et de limitation des finalités s’appliquent pleinement : les données collectées pour vérifier l’âge ne peuvent servir à autre chose (profilage, publicité).
  • La vérification ne doit pas conduire à une surveillance généralisée ni à un traçage des utilisateurs.

Le CEPD distingue plusieurs approches d’intensité croissante : la simple déclaration d’âge (self-declaration), l’estimation d’âge (age estimation, par exemple à partir d’indices sans identifier la personne) et la vérification d’âge formelle (age verification, adossée à un document ou une identité). Le bon principe est de choisir le niveau minimal qui répond au risque réel du traitement, et non le plus contraignant par confort juridique. À noter : ce sujet s’articule avec le règlement sur les services numériques (DSA) et la directive SMA, qui poursuivent des objectifs voisins.

Les 8 recommandations de la CNIL : la feuille de route française

Pour accompagner professionnels, parents et jeunes, la CNIL a publié 8 recommandations pour renforcer la protection des mineurs en ligne. Elles constituent aujourd’hui le référentiel de fait sur lequel l’autorité appuiera ses contrôles. En synthèse :

  1. Encadrer la capacité d’agir des mineurs en ligne — distinguer ce qu’un mineur peut faire seul selon son âge.
  2. Encourager les mineurs à exercer leurs droits — accès, effacement, opposition, dans des modalités adaptées.
  3. Accompagner les parents dans l’éducation au numérique.
  4. Rechercher le consentement d’un parent pour les moins de 15 ans.
  5. Promouvoir des outils de contrôle parental respectueux de la vie privée de l’enfant.
  6. Renforcer l’information et les droits des mineurs par le design — interfaces claires, sans interface trompeuse.
  7. Vérifier l’âge et l’accord des parents dans le respect de la vie privée (logique d’age assurance ci-dessus).
  8. Prévoir des garanties spécifiques pour protéger l’intérêt de l’enfant.

Ces recommandations ne sont pas des obligations au sens strict — ce sont des recommandations de l’autorité — mais elles précisent la manière dont la CNIL lira les obligations du RGPD lors d’un contrôle. Les ignorer revient à s’exposer.

Ce qu’un responsable de traitement doit mettre en place

Au-delà des principes, voici les mesures concrètes que je recommande d’auditer si votre service touche des mineurs.

Adapter l’information (articles 12 et 13). C’est le premier reproche de la CNIL. Rédigez une politique de confidentialité, ou au moins une version, dans un langage accessible à un mineur : phrases courtes, exemples, pictogrammes, vocabulaire simple. L’information « en couches » (résumé + détail) fonctionne bien.

Sécuriser la base légale. Identifiez précisément si vous vous appuyez sur le consentement et, si oui, mettez en place le recueil du consentement parental pour les moins de 15 ans, avec un effort raisonnable de vérification.

Bannir le profilage publicitaire des mineurs. Le considérant 38 et la doctrine constante de la CNIL invitent à proscrire la publicité comportementale ciblée et le profilage marketing des enfants. C’est un point de contrôle prioritaire.

Minimiser et limiter la conservation. Ne collectez que le strict nécessaire, et fixez des durées de conservation courtes. Un compte de mineur inactif ne doit pas être conservé indéfiniment.

Réaliser une analyse d’impact (AIPD). Le traitement à grande échelle de données de personnes vulnérables — dont les mineurs — figure parmi les critères qui déclenchent une analyse d’impact. Si votre service cible ou touche massivement des enfants, l’AIPD est très probablement obligatoire.

Concevoir « privacy by design ». Paramètres les plus protecteurs par défaut, géolocalisation désactivée, visibilité du profil restreinte, absence de nudges incitant à partager davantage.

Ce travail de qualification et de documentation — cartographier les traitements touchant des mineurs, vérifier la base légale, tracer les mesures — est exactement ce que Legiscope aide à structurer et à tenir à jour dans le registre.

Le secteur éducatif concentre une part importante de ces enjeux ; si vous êtes concerné, mon guide dédié au RGPD à l’école complète utilement ces règles générales.

Ce qu’il faut retenir

  • Les données des mineurs bénéficient d’une protection renforcée (considérant 38 du RGPD) : transparence adaptée, vigilance sur le marketing, base légale sécurisée.
  • En France, le seuil de consentement autonome pour les services en ligne est fixé à 15 ans (article 45 de la loi Informatique et Libertés) ; en dessous, le consentement parental est requis conjointement.
  • La vérification de l’âge doit être la moins intrusive possible et proportionnée, selon la déclaration 1/2025 du CEPD sur l’assurance de l’âge.
  • Les 8 recommandations de la CNIL constituent le référentiel de contrôle : information par le design, consentement parental, garanties spécifiques.
  • La protection des mineurs est une priorité de contrôle CNIL maintenue en 2026 : mieux vaut auditer ses mentions d’information et sa base légale sans attendre.

FAQ

À partir de quel âge un mineur peut-il consentir seul au traitement de ses données en ligne ?

En France, à partir de 15 ans, en application de l’article 45 de la loi Informatique et Libertés. En dessous de cet âge, le consentement doit être donné conjointement par le mineur et par le ou les titulaires de l’autorité parentale. Ce seuil ne concerne que les traitements fondés sur le consentement pour un service de la société de l’information.

Suis-je obligé de vérifier l’âge de mes utilisateurs ?

Vous devez « vous efforcer raisonnablement » de vérifier que le consentement parental a été donné pour les moins de 15 ans (article 8(2) du RGPD), en tenant compte des moyens technologiques disponibles. La méthode doit rester proportionnée au risque et la moins intrusive possible : une vérification d’identité lourde n’est justifiée que pour des services à fort enjeu.

Puis-je faire de la publicité ciblée auprès de mineurs ?

C’est fortement déconseillé. Le considérant 38 du RGPD vise spécifiquement le profilage et la publicité comportementale ciblant les enfants comme des usages à haut risque, et la CNIL en fait un point de contrôle. La prudence commande de bannir tout profilage publicitaire des mineurs.

Dois-je réaliser une AIPD si mon service touche des enfants ?

Très probablement. Le traitement à grande échelle de données de personnes vulnérables, catégorie qui inclut les mineurs, figure parmi les critères déclenchant une analyse d’impact relative à la protection des données. Si votre service cible ou est massivement utilisé par des enfants, réalisez une AIPD.