Délibération n° 2023-023 du 9 mars 2023 portant avis sur un projet de décret portant application de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet (demande d'avis n° 22017855)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie, des finances et de la souveraineté industrielle et numérique d'un projet de décret portant application de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet ;


  • Après avoir entendu le rapport de Mme Aminata NIAKATE, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Etant rappelés les éléments de contexte suivants :
    L'article L. 34-9-3 du code des postes et des communications électroniques (CPCE), créé par la loi n° 2022-300 du 2 mars 2022, impose aux fabricants d'équipements terminaux de mettre à disposition des utilisateurs un dispositif de contrôle parental aisément accessible et compréhensible. Ce dispositif doit permettre aux utilisateurs de restreindre ou contrôler l'accès à des services et des contenus susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs. Son activation doit être proposée lors de la première mise en service. Cette nouvelle obligation s'applique notamment à tous les ordinateurs et ordiphones.
    Les fabricants de terminaux doivent s'assurer que les systèmes d'exploitation des terminaux concernés intègrent ces dispositifs lors de leur mise sur le marché (3e alinéa de l'article L. 34-9-3 du CPCE). Cette obligation n'est pas applicable lorsque les terminaux n'incluent pas de système d'exploitation en propre. Pour les terminaux d'occasion, au sens de l'article L. 321-1 du code de commerce et mis sur le marché postérieurement à la publication du décret, il revient aux personnes qui les commercialisent de s'assurer que ceux-ci intègrent le dispositif de contrôle parental.
    Un décret doit notamment :


    - déterminer les fonctionnalités et caractéristiques techniques minimales des dispositifs de contrôle parental installés sur les terminaux et les moyens mis en œuvre par le fabricant pour faciliter l'utilisation de ce dispositif (1° du II de l'article L. 34-9-3 du CPCE) ;
    - prévoir les informations destinées à l'utilisateur final concernant les risques inhérents à l'utilisation de moyens d'accès à internet par des mineurs (4° du II de l'article L. 34-9-3 du CPCE).


    La CNIL insiste sur le fait qu'il est essentiel de protéger les mineurs sur internet, eu égard aux risques spécifiques auxquels ils sont exposés (pédophilie, harcèlement, arnaques…) et à la facilité d'accès à des contenus inadaptés. Cette protection passe par de nombreux canaux, au premier rang desquels figure l'éducation au numérique, à laquelle diverses autorités publiques, dont la CNIL, contribuent. La mise en place de dispositifs de contrôle automatisé constitue un moyen pertinent pour assurer cette protection. Cependant, la CNIL souligne, d'une part, qu'ils doivent s'inscrire dans le cadre d'une action plus globale de sensibilisation, d'éducation et de protection de la jeunesse dans ses usages numériques ; d'autre part que ces dispositifs peuvent impliquer la collecte de données personnelles et une forme de surveillance des mineurs, et qu'un équilibre doit donc être trouvé entre ce contrôle et le respect de leur vie privée et de leur autonomie. Parmi les dispositifs de contrôle automatisé, la CNIL a recommandé, à de nombreuses reprises, de favoriser l'usage de dispositifs à la main des utilisateurs plutôt que de solutions centralisées ou qui leur soient imposées.
    Dans cette optique, la logique de contrôle parental, qui conduit à une responsabilisation du ménage pour limiter l'accès à des contenus sensibles, semble particulièrement respectueuse des droits des individus. Ainsi, la CNIL accueille très favorablement les avancées issues de la loi du 2 mars 2022 instaurant l'obligation d'intégrer des dispositifs de contrôle parental dans les terminaux (ordinateurs, tablettes, ordiphones, consoles de jeu vidéo ou encore les objets connectés comme les télévisions, montres ou enceintes), dès leur première activation. Elle estime essentiel de leur donner leur pleine portée, ce qui la conduit à proposer de renforcer les dispositions du projet de décret qui lui a été soumis, par l'ajout de deux autres fonctionnalités minimales exigées pour le contrôle parental.
    Par ailleurs, l'installation de dispositifs de contrôle parental peut impliquer une collecte de données concernant les mineurs. Au-delà des garanties déjà prévues par la loi (interdiction d'une réutilisation des données des mineurs à des fins commerciales), ces outils doivent être développés dans le respect d'une approche de protection des données dès la conception et par défaut, consacrée par le règlement général sur la protection des données (RGPD).
    Il doit enfin être souligné que l'usage de dispositifs de contrôle devra être adapté à l'âge du mineur : la CNIL souligne que l'usage de fonctionnalités trop intrusives au regard de l'âge d'un adolescent peut conduire à une surveillance disproportionnée du mineur, tant par les tiers que par les parents, qui nuirait à la relation de confiance entre les enfants et leurs parents, risquerait d'entraver leur processus d'autonomisation et de les accoutumer à une surveillance constante.
    Emet l'avis suivant sur le projet de décret :
    Sur les fonctionnalités et caractéristiques techniques minimales des dispositifs de contrôle parental intégrées au terminal :
    Le projet d'article R. 20-29-10-1 du CPCE prévoit deux fonctionnalités minimales pour les dispositifs de contrôle parental :


    - la possibilité de bloquer le téléchargement de contenus mis à disposition par des boutiques d'applications logicielles dont l'accès est interdit aux mineurs en vertu d'une disposition légale, soit par la signalétique qui lui est apposée (par exemple « PEGI 18) », soit par la désignation dans une liste publiée par l'éditeur (conformément à la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique) ;
    - la possibilité de bloquer l'accès aux contenus préinstallés dont l'accès est interdit aux mineurs, selon les mêmes conditions (par exemple, certaines applications de réseaux sociaux peuvent être préinstallées sur les ordiphones).


    Ainsi, le projet de décret ne prévoit aucune fonctionnalité de contrôle parental obligatoire pour ce qui concerne la navigation sur internet. En outre, le projet de décret prévoit que ces fonctionnalités minimales ne sont obligatoires que « sous réserve de faisabilité technique ». Il prévoit par ailleurs, au III de l'article 4, la possibilité d'intégrer d'autres fonctionnalités au dispositif de contrôle parental.
    Sur le périmètre des fonctionnalités minimales :
    En premier lieu, il ressort des échanges avec le ministère que les termes « sous réserve de faisabilité technique » visent à limiter la responsabilité des fabricants de terminaux dans les cas où les fonctionnalités minimales n'atteindraient pas leurs objectifs malgré la mise en œuvre d'un dispositif technique fonctionnel. Il s'agit, selon le ministère, notamment des cas dans lesquels une application serait mal classifiée par un éditeur et/ou par le fournisseur de boutique d'application logicielle.
    Selon la CNIL, la rédaction actuelle du projet ne traduit pas suffisamment l'intention du ministère, et peut laisser penser que les éditeurs ou fournisseurs pourraient être libérés de l'obligation de proposer un système de contrôle parental minimal en cas de difficulté technique.
    Le critère de « faisabilité technique » est laissé à l'appréciation des fabricants de terminaux, ce qui risque de nuire, d'une part, à la sécurité juridique nécessaire à la compréhension des obligations qui pèsent sur les acteurs concernés et, d'autre part, aux objectifs poursuivis par le législateur, en limitant l'effectivité de l'obligation prévue par la loi.
    La CNIL estime indispensable de modifier le projet de texte afin de prévoir une formulation plus adéquate. La CNIL demande également d'harmoniser les règles de classification des contenus, afin de réduire les risques de divergences selon les différents éditeurs de contenus en ligne, d'applications, ainsi que de boutiques d'applications.
    En second lieu, la CNIL recommande d'insérer d'autres fonctionnalités minimales qui pourraient être activées selon le degré de maturité des mineurs concernés.
    Elle suggère de prévoir que les terminaux devront obligatoirement offrir la possibilité d'établir des « listes blanches » permettant aux enfants les plus jeunes de ne consulter que les sites web et applications autorisés préalablement, et de bloquer tous les autres sites ou applications.
    Pour les mineurs les plus âgés, à l'inverse, devrait être prévue la possibilité d'établir des « listes noires » - notamment des listes préétablies et ajustables par les titulaires de l'autorité parentale - visant à bloquer les sites considérés comme nuisant à l'épanouissement physique, mental ou moral des mineurs, tels que les sites à caractère pornographique.
    La constitution de listes est pourtant largement répandue dans les dispositifs de contrôle parental existants, et ce depuis très longtemps. Ces fonctionnalités permettraient une protection nettement plus complète et efficace des mineurs en tenant compte du fait que les applications ne sont pas le seul moyen d'accéder à des contenus. L'activation de telles fonctionnalités peut par ailleurs être faite localement, sur le terminal de l'utilisateur, sans remontée de données à caractère personnel vers des serveurs distants.
    La CNIL appelle à une harmonisation des listes noires proposées par défaut dans les dispositifs de contrôle parental afin d'éviter toute distorsion de protection selon le type de dispositif implémenté.
    Sur les modalités d'activation des fonctionnalités minimales :
    Le projet de décret n'impose pas aux fabricants de terminaux de s'assurer de la possibilité pour les utilisateurs de choisir quelles fonctionnalités, parmi les fonctionnalités minimales mentionnées, ils souhaitent activer.
    La CNIL recommande de préciser le projet de décret afin d'imposer aux fabricants de terminaux de permettre aux utilisateurs une finesse dans l'activation des fonctionnalités minimales. La possibilité de faire un choix entre ces différentes fonctionnalités permettra aux utilisateurs de conserver une pleine maîtrise dans la mise en œuvre du dispositif de contrôle parental.
    Sur les garanties applicables en matière de protection des données :
    Le II du projet d'article R. 20-29-10-1 du CPCE prévoit que les fonctionnalités minimales de contrôle parental sont mises en œuvre localement : aucune donnée à caractère personnel de l'utilisateur mineur ne doit pouvoir être collectée à distance, y compris par la création d'un compte utilisateur sur un serveur.
    En premier lieu, selon le ministère, les dispositions des 2e et 3e alinéas du II du projet d'article R. 20-29-10-1 visent à décrire deux modalités d'activation des fonctionnalités minimales de contrôle parental :


    - soit en renseignant l'âge de l'enfant ou de chaque enfant dans le terminal, sans qu'aucune donnée à caractère personnel ne soit collectée à distance et sans requérir la création d'un compte utilisateur sur un serveur distant ;
    - soit sans renseigner l'âge du mineur, ce qui permet qu'aucune donnée personnelle relative au mineur ne soit traitée par le logiciel de contrôle parental, y compris localement.


    Dans le premier cas, le dispositif de contrôle parental adaptera le blocage du téléchargement et de l'accès aux contenus à l'âge du mineur, tandis que dans le second cas, le blocage portera par défaut sur les contenus interdits aux moins de dix-huit ans.
    La CNIL estime que la rédaction actuelle du II est ambiguë, en ce qu'elle ne permet pas de comprendre que les deux modalités décrites sont alternatives, et non cumulatives. Ensuite, le troisième alinéa prévoit une modalité n'impliquant pas le traitement de données à caractère personnel du mineur. La CNIL invite le ministère à préciser que la mise en œuvre des fonctionnalités sur ce fondement n'entraîne pas de traitement de données, y compris en local.
    En deuxième lieu, la CNIL relève que le projet de décret prévoit deux dérogations au respect de ces principes de non-traitement des données personnelles des mineurs ou seulement en local : l'accord exprès de l'utilisateur majeur et l'impossibilité technique de s'abstenir de traiter les données à caractère personnel de l'utilisateur mineur. La CNIL s'interroge sur la nécessité de prévoir ces deux dérogations.
    En effet, s'agissant de l'impossibilité technique, la CNIL constate que certains dispositifs de contrôle parental déjà présents sur le marché intègrent les fonctionnalités minimales prévues au projet d'article R. 20-29-10-1 du CPCE, sans qu'une création de compte ou même un accès à internet soit nécessaire. Il en va de même pour celles que la CNIL recommande d'ajouter au titre des fonctionnalités minimales (constitution de listes noires ou blanches en fonction du degré de maturité du mineur). Il apparaît donc techniquement possible de configurer des dispositifs de contrôle parental qui, par défaut, fonctionnent sans entraîner de remontée de données à caractère personnel vers des serveurs ou sans qu'il soit nécessaire de créer un compte sur un serveur. Une telle configuration est distincte des opérations d'authentification ou de création de comptes utilisateurs pouvant être requises afin d'utiliser le terminal et qui peuvent nécessiter une liaison avec un serveur distant.
    La configuration des dispositifs de contrôle parental uniquement en local, qui est plus conforme aux principes de protection de la vie privée, garantit la robustesse de ces dispositifs en limitant les risques de violation de données. En effet, le fonctionnement sans connexion au réseau internet permet d'éviter diverses sortes d'attaques informatiques liées à la connexion à un réseau.
    En outre, un fonctionnement en local garantit que le dispositif de contrôle parental fonctionnera en continu, y compris hors connexion internet : il est donc plus conforme à l'objectif de protection des mineurs.
    Le ministère n'a pas fait état, à ce stade, de cas d'usage précis qui justifieraient la nécessité d'aménager une telle exception.
    Par conséquent, la CNIL considère que l'exception relative à l'impossibilité technique n'apparaît pas justifiée concernant les fonctionnalités minimales. Elle invite donc le ministère à supprimer cette disposition au II du projet d'article R. 20-29-10-1 du CPCE.
    En troisième lieu, la CNIL s'interroge sur l'autre dérogation liée à l'accord exprès de l'utilisateur majeur.
    Selon le ministère, cet accord permet de concevoir des contrôles parentaux exploitant des possibilités de gestion des paramètres des fonctionnalités minimales plus avancées que celles disponibles localement (par exemple, la gestion d'alertes ou de signalement aux parents, la possibilité de changer la configuration du contrôle parental depuis un compte adulte sans passer par l'appareil de l'enfant).
    La CNIL considère donc que les possibilités évoquées par le ministère ne relèvent pas strictement de l'activation des fonctionnalités minimales telles qu'elles sont prévues au projet d'article R. 20-29-10-1 du CPCE. De fait, elles constituent des modalités optionnelles de gestion de ces fonctionnalités.
    Elle invite le ministère à supprimer cette exception du II de cet article. De telles fonctionnalités avancées, conditionnées à l'accord exprès du titulaire de l'autorité parentale, pourraient toutefois être intégrées au terminal sur une base volontaire.
    Enfin, la CNIL regrette l'absence de garanties s'agissant des données à caractère personnel des utilisateurs majeurs susceptibles de mettre en œuvre les dispositifs de contrôle parental. Dès lors que les fonctionnalités minimales peuvent être mises en œuvre localement, sans remontée de données vers des serveurs distants et sans création de compte sur un serveur, elle considère que les données des utilisateurs majeurs devraient faire l'objet de garanties similaires à celles des utilisateurs mineurs. Elle invite le ministère à compléter le projet de décret en ce sens.
    Sur les fonctionnalités et caractéristiques techniques des dispositifs de contrôle parental intégrés au terminal de manière volontaire par les fabricants :
    Le III du projet d'article R. 20-29-10-1 du CPCE prévoit que les fonctionnalités optionnelles proposées à l'utilisateur majeur doivent être mises en œuvre sans entraîner de traitement de données à caractère personnel de l'utilisateur mineur, y compris localement, sur son équipement terminal. Le projet de décret prévoit une dérogation à ce principe en cas d'accord exprès de l'utilisateur majeur ou lorsque cela est techniquement impossible.
    En premier lieu, la CNIL invite le ministère à modifier le projet de décret afin de faire référence au titulaire de l'autorité parentale à l'égard du mineur concerné en lieu et place de l'utilisateur majeur.
    Il semble qu'un tel accord ne vise pas le consentement au sens de l'article 6.1.a du RGPD, mais la conclusion d'un contrat permettant à l'utilisateur majeur d'accéder au contrôle parental. A cet égard, cet accord ne préjuge pas de la base légale du traitement de données au sens de l'article 6 du RGPD. La CNIL rappelle par ailleurs que seules les données strictement nécessaires à la finalité poursuivie pourront être collectées.
    En second lieu, le projet de décret étend l'interdiction relative au traitement des données à caractère personnel de l'utilisateur mineur à des fins commerciales initialement prévue s'agissant des données qui pourraient être collectées dans le cadre des fonctionnalités minimales, à celles pouvant être collectées dans le cadre des fonctionnalités optionnelles. La CNIL accueille favorablement cette interdiction.
    Sur l'information des utilisateurs concernant le dispositif de contrôle parental et la documentation technique :
    Le projet d'article R. 20-29-10-3 du CPCE prévoit que la documentation technique devant être établie par le fabricant de terminaux doit notamment comporter la notice d'utilisation et les instructions permettant l'activation, l'utilisation, la mise à jour et, le cas échéant, la désactivation du dispositif.
    Le projet d'article R. 20-29-10-8 du CPCE prévoit, par ailleurs, que le fabricant de terminaux met à disposition des utilisateurs, des informations portant notamment sur les caractéristiques essentielles et fonctionnalités techniques proposées par le dispositif de contrôle parental installé sur leur équipement, ainsi qu'une notice explicative de sa configuration et de son fonctionnement.
    La CNIL souligne l'importance de mettre à disposition de l'utilisateur une information simple et pédagogique. Cette information devra notamment expliquer clairement les modalités d'activation, de désactivation et, lorsque cela est possible, de désinstallation du dispositif. Cela permettra de s'assurer que les personnes concernées disposent de toutes les informations leur permettant de maîtriser pleinement les outils de contrôle parental.
    Par ailleurs, l'utilisation des termes « le cas échéant » au 3° du projet d'article R. 20-29-10 du CPCE, concernant la désactivation du dispositif, n'apparaît pas dans la mesure où un dispositif de contrôle parental doit systématiquement être désactivable. Par conséquent, la CNIL invite le ministère à supprimer ces termes.
    Sur les compétences de l'agence nationale des fréquences (ANFR) :
    Le projet de décret élargit les pouvoirs de l'ANFR afin qu'elle vérifie que les terminaux mis sur le marché respectent les exigences prévues au projet d'article R. 20-29-10-1 du CPCE. Plus précisément, le IV du projet d'article R. 20-29-10-4 du CPCE prévoit que l'ANFR peut vérifier auprès des fabricants de terminaux les déclarations de conformité. Lorsque l'ANFR identifie un risque de non-conformité aux spécifications techniques prévues au projet d'article R. 20-29-10-1 du CPCE, elle peut mettre en demeure l'opérateur économique concerné de remédier à cette situation.
    Ces dispositions pouvant porter sur la protection des données à caractère personnel, la CNIL rappelle que les pouvoirs conférés à l'ANFR s'exercent sans préjudice de ses compétences concernant le contrôle et les sanctions en lien avec la conformité de tels traitements de données au RGPD et à la loi du 6 janvier 1978 modifiée. La CNIL rappelle la possibilité pour l'ANFR de la consulter pour toute question en lien avec la protection des données à caractère personnel.
    Les autres dispositions du projet de décret n'appellent pas d'observations.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 224,1 Ko
Retourner en haut de la page