29 autorités dans le monde ont mené un audit pour vérifier le respect des règles de protection de la vie privée par les sites internet consultés par les enfants. Cette opération montre que leurs données personnelles sont insuffisamment protégées. Les vérifications effectuées ont porté principalement sur : le type de données collectées, le niveau d’information et l’adaptation de l’information aux utilisateurs, la présence de mesures de vigilance ou de contrôle liées au jeune âge du public visé (quelles précautions particulières sont prises ?). Ces vérifications font apparaître : une large collecte de données personnelles et peu de marge de manœuvre sur la suppression de comptes : 87 % (67% en moyenne pour les homologues) des sites examinés par la CNIL collectent des données personnelles (adresse IP, identifiant du terminal mobile, localisation), notamment à partir de la création obligatoire d’un compte utilisateur (nom, prénom, email). Si pour certaines de ces données, la collecte est justifiée par le service proposé par le site, pour d’autres, cette collecte n’est pas nécessaire. Seuls 39% de ces sites offrent à leurs utilisateurs une manière simple de supprimer leur compte ; un défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données : 71% des sites examinés comportent une mention d’information relative à la collecte de données à caractère personnel et notamment aux droits « informatique et libertés » des utilisateurs, mais seulement 33% adaptent l’information au jeune public visé et l’indiquent sur le formulaire rempli par l’enfant (ou son parent) ; une redirection courante vers des sites tiers, dont des sites marchands : sur 63 % des sites, les enfants peuvent être redirigés vers un autre site, y compris de type marchand, par un simple clic ; le dépôt de cookies sans bandeau d’information, une pratique encore très courante : tous les sites examinés déposent des cookies sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil sans recueillir son consentement préalable et la plupart (63 %) sans l’apposition du bandeau d’information obligatoire. Les vérifications effectuées montrent également que trop de sites n’ont aucune mesure de vigilance : 62% de ces sites ne proposent aucune mesure de vigilance ou de contrôle parental à destination du jeune public (comme un message de sensibilisation ou l’envoi d’un email aux parents pour les informer de la collecte des données de leur enfant et leur demander leur accord). Elle révèle enfin que la case de recueil de l’accord parental est la mesure la plus courante, mais est loin d’être généralisée : 18% des sites observés recueillent l’accord parental au moyen d’une case, 15 % introduisent une mesure de vérification de l’âge, 13 % incitent à la vigilance, 11% mettent en place un tableau de contrôle parental lors de la création du compte. Au vu de ce constat, la CNIL donne des conseils à destination des gestionnaires de sites pour enfants et des parents. Ainsi, elle publie deux fiches pratiques :pour accompagner les éditeurs dans la mise en conformité de leur site, avec conseils et mentions-types ; pour aider les parents à accompagner leurs enfants pour une navigation respectueuse de leur vie privée. Les mesures prises par la CNIL à l’issue de cette campagne sont l’envoi d’un courrier aux éditeurs des sites pour enfants leur rappelant leurs obligations et les droits de leurs jeunes utilisateurs ; faute d’une mise en conformité de leur part, elle se réserve la possibilité d’effectuer de nouvelles vérifications et, le cas échéant, d’engager des procédures de sanction ; l’envoi d’un courrier aux associations de parents afin de les alerter sur les constats du « Sweep day » et construire avec eux une démarche de vigilance.
http://www.cnil.fr/linstitution/actualite/article/article/vie-privee-des-enfants-une-protection-insuffisante-sur-les-sites-internet/