Interdit aux moins de 13 ans, vraiment ?

27 autorités de protection des données personnelles ont audité près de 900 sites web et applications mobiles utilisés par les enfants dans le monde entier. 62 % sont pourtant réservés aux plus de 13 ans, et 72 % des mesures de vérification de l’âge ont pu être contournées. Ceux qui les ont audités ne seraient pas à l’aise que des enfants utilisent 41 % des sites Web et applications examinés.

« La protection de la vie privée des enfants en ligne reste insuffisante », et « elle a peu progressé au cours des 10 dernières années », résume la CNIL au sujet d’une étude internationale portant sur 864 sites web et applications mobiles utilisés par des enfants.

Chaque année, le réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE, réunis au sein du Global Privacy Enforcement Network (GPEN), conduit un audit en ligne de nombreux sites web et d’applications mobiles.

Des représentants de 27 autorités de protection des données dans le monde, dont la CNIL, avaient cette année pour mission de mesurer les pratiques concernant la protection de la vie privée des enfants en ligne.

Cet audit, qualifié de « ratissage », repose sur l’examen de 464 sites Web et 400 applications mobiles utilisés par les enfants la semaine du 3 au 7 novembre 2025, mais sans que la liste précise n’en soit divulguée, non plus que les critères de sélection, le rapport ne fournissant qu’un camembert de leur répartition thématique.

La CNIL précise cela dit que « si certains services examinés sont conçus spécifiquement pour les enfants, d’autres, destinés au grand public, sont également largement utilisés par ces derniers ».

Les sites web réclament plus de données personnelles qu’avant le RGPD

Les vérifications ont principalement porté sur les pratiques des plateformes en matière de collecte de données personnelles des utilisateurs, de transparence, et de vérification de l’âge.

Elles ont été comparées à une opération similaire effectuée en 2015, afin de mesurer l’évolution de la situation, sachant que le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2016, qu’il est applicable depuis 2018, mais également que seules 6 des 27 autorités participant à l’audit sont du ressort de l’Union européenne.

Y figurent en effet de nombreuses autorités des cinq pays anglo-saxons de l’alliance des « Five Eyes » (dont cinq autorités canadiennes, plus celles de Guernesey, Jersey, l’île de Man et Gibraltar), et deux chinoises (Hong Kong et Macao).

Or, si certaines « bonnes pratiques » ont été observées (comme le fait de conseiller aux enfants de ne pas révéler leur vrai nom, ou de désactiver la géolocalisation par défaut), « il ressort également de l’audit que certains risques ont augmentés », relève la CNIL :

« Par rapport à 2015, un plus grand nombre de services en ligne utilisés par les enfants exigent désormais la fourniture de données personnelles pour accéder à toutes les fonctionnalités de la plateforme. De plus, davantage de plateformes indiquent dans leurs politiques de confidentialité qu’elles peuvent partager des données personnelles avec des tiers. »

Les autorités ont également constaté une utilisation croissante de systèmes de vérification de l’âge pour restreindre l’accès des enfants aux services en ligne ou leur interaction avec ceux-ci. Elles n’en ont pas moins noté la facilité avec laquelle ces systèmes peuvent être contournés, au grand dam de la CNIL :

« Cette situation est particulièrement préoccupante s’agissant de sites web et d’applications proposant des contenus inappropriés ou des traitements de données à haut risque pour les enfants. »

72 % des mesures de vérification de l’âge ont pu être contournées

Les participants au « ratissage » ont examiné les sites web et applications mobiles au regard de cinq indicateurs, « qui reflétaient en grande partie ceux de 2015 » :

• 72 % des mesures de vérification de l’âge ont pu être contournées, « le plus souvent lorsque le mécanisme repose sur une simple déclaration »,
• plus de la moitié (59 %) des sites web et applications mobiles nécessitaient la collecte d’une adresse de courrier électronique, 50 % les noms d’utilisateur et 46 % une géolocalisation,
• 71 % des sites web et applications mobiles ne contenaient pas d’informations adaptées aux enfants sur les mesures de protection ni dans leur politique de confidentialité (par exemple en langage simple, ou via des animations destinées aux enfants),
• plus d’un tiers (36 %) des sites web et applications mobiles ne proposaient pas de moyen facilement accessible pour supprimer un compte,
• seulement 35 % des sites web et applications mobiles « identifiés comme présentant des caractéristiques et des conceptions de traitement de données à haut risque pour les enfants (langage complexe pour les enfants, paramètres de confidentialité réglés sur « public » par défaut, incitation ou harcèlement pour partager des renseignements personnels, etc.) » contenaient des informations sur la vie privée « enjoignant à un enfant de demander la permission à ses parents de continuer à utiliser le site web ou l’application », et seulement 25 % (80 sur 317) disposaient de tableaux de bord parentaux.

62 % des sites et applications sont réservés aux plus de 13 ans