Le CIPL soumet des commentaires sur les directives de la DPC irlandaise sur la protection des données personnelles des enfants | Lexologie – Lexologie

Le 26 mars 2021, le Center for Information Policy Leadership («CIPL») de Hunton Andrews Kurth a soumis ses commentaires sur le projet de directives du commissaire irlandais à la protection des données («DPC») sur la protection des données personnelles des enfants lors de la fourniture de services en ligne, ” Les enfants avant et au centre — Principes de base pour une approche du traitement des données axée sur l’enfant »(le« projet de directives »).

Le projet de directive, publié le 20 décembre 2020, s’ajoute à un nombre croissant de travaux menés par les régulateurs, y compris le UK Information Commissioner’s Office («ICO») dans leur Code of Practice for Age Appropriate Design for Online Services (le «ICO Code approprié à l’âge »).

Dans ses commentaires, CIPL encourage le développement d’approches partagées et cohérentes des données des enfants, y compris le développement d’une interprétation commune des exigences du règlement général sur la protection des données («RGPD») en ce qui concerne le traitement des données des enfants et une approche commune et plus large. à la protection des enfants dans les situations de traitement de données.

Le CIPL note que les approches fondamentales du projet de directives et du Code de l’OIC adapté à l’âge ont beaucoup en commun, y compris l’accent mis sur la centralité des intérêts de l’enfant en tant que principe directeur et l’adoption d’une approche fondée sur les risques dans certains domaines. . Cependant, il existe également des différences fondamentales entre eux, notamment une interdiction pure et simple du profilage des enfants dans le projet de directives. Le projet de directives s’applique également à toutes les organisations qui traitent les données des enfants, et pas seulement aux fournisseurs de services de la société de l’information («SSI»), et a un champ d’application plus large que le code de l’âge approprié de l’ICO, couvrant des questions telles que la manière de respecter les normes de sécurité, de traiter les données violations et utiliser la biométrie. Le CIPL recommande que l’approche du projet de lignes directrices soit conciliée avec l’OIC dans la mesure du possible, dans un souci de cohérence.

Le CIPL a en outre identifié certaines questions pratiques et stratégiques clés avec le projet de directives. En particulier, le CIPL recommande que le projet de directives:

  • Fournir des éclaircissements sur la portée des organisations auxquelles il s’applique et éviter de capturer toutes les entreprises en ligne, simplement parce qu’il est possible que les utilisateurs soient des enfants;
  • Se concentrer plus clairement sur le concept GDPR d’une approche basée sur les risques et en tirer parti, par exemple en reconnaissant que tous les traitements de données à caractère personnel concernant les enfants ne présentent pas le même niveau de risque;
  • Adopter une approche pratique et proportionnelle de la vérification de l’âge, par exemple en limitant la portée de l’exigence de vérification de l’âge aux services qui sont spécifiquement destinés aux enfants, ou qui ont une forte probabilité d’être visités par des enfants en raison de la nature du service ou des biens;
  • Ne pas être normatif, e.g., en évitant d’imposer des exigences normatives ou granulaires en ce qui concerne la conception et la façon de fournir des informations transparentes;
  • Lier clairement la liste des mesures de conception et par défaut fournies aux directives de fond figurant dans le corps du projet de directives plutôt que de les ajouter en tant que liste distincte;
  • Reconnaître les autres droits et libertés fondamentaux des enfants, tels que leur droit à l’autonomie, à l’association, au jeu, à l’accès à l’information, à l’éducation et à la liberté d’expression;
  • Adopter une approche du profilage fondée sur les risques et reconnaître que lorsque le profilage est utilisé, l’intérêt supérieur de l’enfant doit être évalué, en accordant une attention particulière à la finalité du traitement, au rôle que le profilage joue dans le service fourni et aux garanties mises en place. lieu de traitement des préjudices probables et graves, ainsi que du fait qu’il existe des utilisations bénéfiques des données pour les enfants, y compris le profilage;
  • Permettre aux organisations d’adapter leurs services en ligne à différents publics d’enfants et fournir des exemples sur la façon de le faire; et
  • Prévoir que l’obligation de ne pas «déclasser» les services ne devrait s’appliquer qu’aux services destinés aux enfants.

Le CIPL formule des recommandations supplémentaires concernant l’approche du projet de directives, y compris en ce qui concerne les paramètres de confidentialité «les plus stricts» proposés, les dispositions concernant la migration et la rétention des comptes pour les utilisateurs ayant 16 ans, un niveau de sécurité plus élevé pour les enfants que pour les adultes, la cohérence des service sur différents appareils et plates-formes, l’utilisation de la biométrie, l’adaptation des paramètres de confidentialité à différents utilisateurs sur un appareil partagé et le traitement des données des enfants au niveau de l’appareil plutôt que dans le cloud.

Les commentaires complets de CIPL peuvent être consultés ici.