Le Children’s Online Privacy Protection Act cherche à limiter la collecte de données à caractère personnel des mineurs de moins de treize ans aux États-Unis. En Europe, le Règlement Général sur la Protection des Données assure une protection similaire qui, bien que de portée plus générale, protège également de manière spécifique les enfants considérés comme plus vulnérables. La collecte de leurs données ne peut notamment se faire qu’avec l’accord préalable et vérifiable des parents. Des deux côtés de l’Atlantique, les autorités en charge de l’application des textes ont bien du mal à faire respecter ces dispositions, ce qui rend la protection des mineurs en réalité bien insuffisante.

Une part grandissante de nos vies, et notamment celle des plus jeunes générations, se déroule désormais en ligne[1]. La navigation sur internet, qui est le plus souvent une activité solitaire, laisse pourtant bien plus de traces que beaucoup peuvent l’imaginer. Si ces dernières années, un certain nombre de scandales a ouvert le débat sur la question de la vie privée en ligne, il n’en demeure pas moins que les contours de la question restent assez flous pour une grande partie du public. Savoir que notre activité numérique est sujet à surveillance est une chose, en connaitre l’étendue en est une autre. La notion de vie privée est d’autant plus délicate pour les jeunes générations qu’elles ne disposent le plus souvent ni des capacités pour saisir ce concept complexe, ni des moyens pour faire appliquer leurs droits.

De nombreux pays ont ainsi adopté des textes visant à protéger spécifiquement cette part de la population considérée comme étant plus vulnérable. La question est particulièrement épineuse face à des outils technologiques et numériques en continuelle évolution. Les États-Unis ont abordé le problème au travers de différents textes fédéraux, dont le Child Online Protection Act (COPA) de 1998 qui visait à restreindre l’accès à un contenu inapproprié pour les mineurs, notamment la pornographie, sur internet. Ces tentatives se sont pour la plupart soldées par des échecs, se heurtant à des recours juridiques fructueux basés sur l’inconstitutionnalité des textes.

Suite à ces contrecoups, le Congrès fédéral a modifié sa stratégie législative et s’est concentré sur la collecte des données à caractère personnel des jeunes au travers du Children’s Online Privacy Protection Act (COPPA) du 21 octobre 1998, entré en vigueur dès le 21 avril 2000.  La Federal Trade Commission (FTC), en charge de son application a rédigé un texte, le « Children’s Online Privacy Protection Rule »[2] délimitant de manière plus précise les contours de la loi ainsi que de son application. Ce texte a été modifié en 2013 à la suite d’échanges avec les différents acteurs du milieu et afin de prendre en compte les changements drastiques en termes de consommation numérique par les jeunes aux cours de la décennie.

Si la volonté de réguler les acteurs du marché numérique afin de protéger les mineurs est applaudie, le COPPA a fait couler beaucoup d’encre dans les milieux académiques au moment de son entrée en vigueur. Le récent accord entre la FTC et Google au sujet de YouTube[3] a de nouveau suscité de l’intérêt vis-à-vis de cette loi, suite notamment aux mesures prises par YouTube pour être « COPPA compliant », qui ont entrainé de vives réactions (pour la plupart négatives) de la part de la communauté de créateurs sur la plateforme de partage de vidéos en ligne.

[4]

L’autre texte qui a fait irruption dans le débat relatif à la protection des données personnelles est quant à lui originaire de l’autre côté de l’Atlantique : le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD », qui succède à la directive 95/46/CE. Il vient prendre en compte le besoin de protection des mineurs sur internet, non pas au travers d’un texte spécifique comme COPPA, mais au travers de dispositions spécifiques à leur égard au sein d’un régime juridique général. Les mineurs se voient ainsi soumis au même régime que les majeurs, à quelques exceptions près, tandis que le texte américain exclut de son champ d’application tout traitement de données d’individus ayant plus de 13 ans. Le COPPA fait ainsi parti de la grande constellation de textes américains qui régulent les données à caractère personnel secteur par secteur, contrairement à l’Union Européenne qui a fait le choix d’un régime unique.

Face à des réponses distinctes offertes par l’Union européenne et les États-Unis à la question visiblement commune de la protection des données des jeunes, on peut se permettre de soulever la question de savoir laquelle des deux solutions leur offre la meilleure protection. Existe-t-il seulement un bouclier performant pour protéger les données à caractère personnel d’une population vulnérable dans un environnement numérique presque omniprésent ?

Nous verrons que si les approches européenne et américaine se distinguent au niveau textuel (I), leur mise en œuvre par la FTC et les autorités européennes se heurtent aux mêmes insuffisances flagrantes (II) qui mettent à mal la mission et les efforts de protection des données à caractère personnel des mineurs.

I. Des lacunes inhérentes au texte du Children’s Online Privacy Protection Act décriées dès 1998, opposées à un règlement européen décrit comme le nouveau standard mondial.

S’il n’est pas étonnant qu’un texte législatif datant de 1998 ne soit pas tout à fait apte à réguler un environnement numérique qui a bien évolué en deux décennies, il n’en est pas moins vrai que le Children’s Online Privacy Protection Act a été le sujet de nombreuses critiques dès son adoption. De prime abord, le RGPD, en tant que texte bien plus récent semble dès lors plus adapté au contexte actuel, et a largement été décrit lors de son adoption comme permettant à l’Union européenne de se dresser en tant que leader dans la protection des données à caractère personnel au niveau mondial.

La loi américaine s’applique à tout fournisseur de services en ligne, tel qu’un site web ou une application mobile, qui cible comme public des mineurs de moins de treize ans ou qui a une connaissance effective que ceux-ci utilisent le service en question. Cinq grandes obligations émanent du texte : une notification intelligible et mise en avant à l’égard des mineurs et de leurs parents ; « verifiable parental consent » (un consentement parental vérifiable préalable à la collecte de données) ; un droit d’accès aux données par les parents ; un principe de proportionnalité entre les données collectées et le service rendu ; ainsi que des mesures de sécurité raisonnables pour protéger lesdites données. Ces mêmes obligations peuvent se retrouver dans le RGPD, notamment aux articles 6, 12, 15 et 32. Comme mentionné précédemment, le texte a une portée bien plus importante que le COPPA en ayant vocation à s’appliquer à tout traitement de données personnelles de personnes de tout âge. Seul l’article 8 est consacré expressément aux enfants. Le RGPD a de plus vocation à s’appliquer de manière plus générale en ne se restreignant pas aux fournisseurs de services en ligne comme le fait le texte américain : tout traitement de données à caractère personnel, soumis à quelques exceptions mentionnées à l’article 2, est soumis au règlement.

Des similitudes existent au niveau du champ d’application territorial des deux textes. Bien que le COPPA ne s’applique en théorie qu’aux enfants de nationalité états-unienne, ceci conduit tous les opérateurs du monde ayant du contenu s’adressant à cette population à devoir respecter la loi. La FTC indique également que les fournisseurs de services en ligne basés aux États-Unis doivent également se soumettre à la loi, même s’ils ne collectent que des données d’enfants étrangers. Vu le nombre de sociétés « tech » présents sur le sol américain, notamment en Californie, la loi peut avoir un impact à l’échelle mondiale. Ce même standard mondial peut se retrouver à l’article 3 du RGPD, et s’est traduit dans un large mouvement de mise en conformité de sociétés non seulement en Europe mais à travers le monde entier à partir de la seconde moitié des années 2010. Les deux textes ont dès lors un effet potentiel énorme sur la protection des plus jeunes à travers le monde.

S’il est louable de vouloir protéger une population fragile au niveau mondial, encore faut-il que la population en question soit déterminée de manière réfléchie. Le COPPA a ainsi fixé à treize ans l’âge à partir duquel un mineur peut agir seul et donner son consentement sans l’aval de ses représentants légaux. Le RGPD prévoit un âge plus élevé, fixé par défaut à seize ans, tout en laissant aux États membres de l’Union européenne la liberté d’abaisser cet âge jusqu’à treize ans également. En France, par souci de cohérence avec d’autres textes, il a été décidé que la majorité numérique serait fixée à quinze ans. Le choix de l’âge semble découler d’un choix quelque peu arbitraire. Il est en effet douteux qu’un mineur de treize ans, même informé sur le sujet de la vie privée, ait la capacité de saisir les conséquences d’un potentiel usage de services en ligne où seront collectées ses données. Le consentement de la personne reposant toujours sur une « privacy policy », qui n’est la plupart du temps pas comprise, voir même lue, par des personnes majeures, fait penser que l’âge de treize ans n’est pas adapté à la situation d’un jeune surfant sur le net. D’un autre côté il pourrait sembler utopique d’exiger d’un jeune de 15 ans l’autorisation d’un parent pour ses activités en ligne alors que nombres d’adolescents voient dans le monde numérique un lieu libre de l’autorité parentale (à tort ou à raison). Le choix de l’âge semble ainsi plus politique que véritablement axé sur un souci de protection.

En matière de protection des mineurs sur Internet un autre problème apparait dès lors qu’il s’agit d’obtenir ledit consentement parental. On comprend que ce consentement parental est une nécessité comme base légale pour le traitement. Il est d’ailleurs exigé aussi bien en droit américain, qu’en droit européen et français. Mais la question est alors de savoir comment peut s’exprimer ce consentement. Si le droit américain offre des exemples plus concret il n’est pas sûr qu’il assure une expression plus claire de ce consentement. Ainsi la notion de « verifiable parental consent », essentielle dans le COPPA est source de nombreuses critiques liées à son imprécision. Un détenteur de l’autorité parental doit ainsi autoriser de manière préalable toute collecte de données du mineur de moins de treize ans, et peut restreindre la transmission de ces données à des entités tierces. La FTC a précisé que des efforts raisonnables doivent être fait pour recueillir et vérifier ce consentement. On retrouve ces mêmes exigences au deuxième paragraphe de l’article 8 du RGPD qui énonce que « [l]e responsable du traitement s'efforce raisonnablement de vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles. » Si aux États-Unis la FTC a mis en avant de quelle manière le consentement pouvait être valablement obtenu, force est de constater qu’en France la Commission nationale de l’informatique et des libertés (CNIL) ne semble rien proposer de précis à ce sujet[5]. La FTC a ainsi proposé comme solution l’envoi d’un email par le parent au fournisseur de service, l’envoi de réponses à un quiz en ligne ne pouvant être résolu par un mineur etc. La frontière du consentement vérifiable semble floue, et les solutions proposées par la FTC ne prennent que peu en compte la réalité de la vie parentale, même si l’effort est louable. Obtenir le consentement d’une personne n’étant pas derrière l’écran est et demeure une tâche complexe pour les plateformes concernées.

Une même critique peut être apportée quant à la définition des fournisseurs de services devant se conformer à la législation américaine : qu’est-ce qu’un contenu orienté vers les enfants de moins de treize ans ? Le règlement européen, au travers de la formule « en ce qui concerne l'offre directe de services de la société de l'information aux enfants » dans son article 8 semble soulever la même question. Si la FTC apporte des éléments de réponses en indiquant prendre en compte, entre autres, l’usage de couleurs, dessins etc. il demeure compliqué de faire la distinction entre contenu pour enfant et contenu pour un public plus âgé. De telles réponses n’ont pas été apportées en Europe, ce qui laisse planer un certain doute quant au moment à partir duquel un site devra récolter le consentement d’un parent. Le second critère américain de ‘connaissance effective’ de la présence de mineurs sur la plateforme peut également conduire à des situations délicates où des fournisseurs de services se voient sanctionnés, alors que leurs services n’avaient pas été conçus pour un jeune public. On peut penser notamment à Musical.ly (maintenant rebaptisé TikTok) qui s’est fait sanctionner par la FTC en février 2019, n’ayant, à l’origine, pas prévu que son service soit utilisé par des enfants[6]. Ceci conduit soit à la mise en conformité de la plateforme (ce à quoi TikTok a été contraint), soit à l’exclusion pure et simple des jeunes utilisateurs de nombreux services (comme Facebook le fait actuellement : voir plus bas). Le RGPD poserait également des problèmes à l’application TikTok en Grande-Bretagne où le Information Commissioner’s Office (ICO) a commencé une enquête en juillet 2019. Seraient notamment mis en cause les outils accessibles aux jeunes utilisateurs permettant de contrôler leurs données, les vidéos publiées ainsi que la messagerie de l’application qui pourraient contrevenir au règlement européen.

Il existe finalement une restriction majeure au texte américain : l’absence d’un droit d’action pour les particuliers ayant subi un préjudice à la suite de la violation par un fournisseur de service soumis au COPPA d’une de ses obligations. En France, un recours administratif est possible par exemple devant la CNIL qui pourra prononcer des sanctions administratives. L’article 77 du règlement européen permet de former un recours juridictionnel dans les États membres.  L’article neuf du Code civil relatif à la protection du droit à la vie privée permet de plus de saisir le juge français. Aux États-Unis, seule la Federal Trade Commission est habilitée à former un recours en justice ou, comme cela est le cas dans la majorité des cas, à sanctionner directement les plateformes en violation du COPPA au travers d’accords négociés. S’il est naturellement possible de s’adresser à la FTC pour lui remonter des violations, la mise en œuvre du texte semble être bien moins à la portée des personnes dont les droits ont été bafoués.

II. Une mise en œuvre à deux niveaux commune à l’Europe et aux États-Unis

Aux États-Unis, la FTC se retrouve être la seule entité pouvant mettre en œuvre le Children’s Online Privacy Protection Act depuis son entrée en vigueur en 2000. Elle indique être à l’origine de plus de 20 affaires en 17 années et avoir collecté plusieurs millions de dollars en pénalités[7]. Les accords négociés sont souvent contraignants pour les sociétés visées qui doivent se conformer à un ensemble de critères pour devenir « COPPA compliant ». On peut y trouver un moyen de dissuader les autres acteurs du marché d’enfreindre à leur tour la loi. Si ce bilan semble à première vue positif, il révèle tout à la fois qu’un progrès immense reste à faire en termes de protection des données de mineurs.

En Europe, plus de 200 amendes ont été infligées à la suite de l’entrée en vigueur du RGPD en 2018[8]. En France, la CNIL est à l’origine de cinq de ces amendes et a sanctionné en janvier 2019 la société Google d’une amende record de 50.000.000€ (ce qui fait tout de même pâle figure face en comparaison du chiffre d’affaire d’Alphabet, société mère de Google, qui s’élevait en 2019 à 161.857 milliards de dollars). De nombreuses décisions obligent également les sociétés fautives à se mettre en conformité au travers de mesures à prendre, sur le même modèle des accords établis par la FTC. Les amendes pouvant s’élever à 4% du chiffre d’affaire d’une société (allant au-delà de ce qui est prévu partout dans le monde), il semble que la simple peur de l’amende soit dorénavant de nature à persuader les sociétés de prendre la question des données à caractère personnel au sérieux. Pourtant, en ce qui concerne les mineurs, aucune décision ne semble expressément avoir été rendue en vertu de l’article 8 : la présence de données de mineurs dans un ensemble de données n’est souvent considérée que comme un simple facteur aggravant[9]. Ceci peut facilement s’expliquer par la structure du RGPD qui s’applique à tout traitement de données en ne se limitant pas aux enfants : ceux-ci ne sont pas au centre des attentions des régulateurs européens.

La mise à jour du COPPA Rule en 2013 démontre les efforts qui sont faits par la FTC, qui cherche à accompagner les changements numériques récents. La définition de données à caractère personnel a ainsi été modifiée pour inclure parmi d’autres les « persistent identifiers », photos, vidéos et données de géolocalisation. Les jouets connectés qui ont fait leur apparition dans les rayons durant les dernières années (et qui peuvent être vus par des confidents inoffensifs par des enfants) sont désormais également soumis à la réglementation COPPA. Même si en Europe, le RGPD a moins besoin d’une mise à jour de cette ampleur du fait de la relative jeunesse du texte, les autorités en charge de son application produisent périodiquement des rapports et recommandations afin de préciser leurs approches. Ainsi la CNIL avait indiqué en 2019 vouloir faire des données des mineurs une priorité[10].

Si les intentions sont bonnes, la FTC et la CNIL manquent cruellement de ressources financières et humaines[11] [12]. La FTC, s’occupant également de bien d’autres textes traitant des données personnelles, ne peut se focaliser uniquement sur COPPA. Un même constat existe en France où la CNIL, bien que focalisée sur les questions du numérique, doit faire face à un nombre grandissant de plaintes et requêtes avec des moyens limités. Des deux côtés de l’Atlantique, les sociétés poursuivies sont donc soigneusement sélectionnées pour leur apport financier ou répercussion potentiellement médiatique. Ce sont ainsi souvent de gros acteurs numériques qui sont la cible d’enquêtes. Les petits acteurs ne sont que très rarement ciblés, ce qui ne les encourageraient pas à se conformer au COPPA ou au RGPD, du fait de frais de mise en conformité élevés et d’une pression médiatique étant également moins forte à leur égard. Pour soulager sa charge, la FTC a instauré un mécanisme dit de « Safe Harbor » qui permet aux fournisseurs de service en ligne de se voir remis un certificat de « COPPA Compliance ». Cette auto-régulation offerte au secteur entraine théoriquement des sanctions plus clémentes de la part de la FTC en cas de violation de la règlementation. Sept sociétés sont à ce jour accréditées pour délivrer de tels certificats de conformités. Si la solution permet en théorie de réduire la charge de travail de la FTC, de récentes études sur des applications mobiles destinées aux enfants sur le Google Play Store démontrent que le résultat est loin d’être flagrant : il n’y a de manière générale aucune différence entre les applications certifiées et celles qui ne le sont pas[13]. L’étude révèle qu’environ 57% des 5855 applications mobiles soumise aux tests sont en potentielle violation de COPPA.  13% des applications transmettaient même des données à caractère personnel avant même toute interaction avec celle-ci (ce dont on peut déduire que le consentement parental ne peut mécaniquement pas être collecté, que ce soit en vertu du COPPA ou du RGPD). Il ne peut décemment être dit que le mécanisme de Safe Harbor soit un succès. En attendant ce sont toujours des millions de données d’enfants qui se retrouvent dans la nature.

En 2019, Facebook a, durant l’été, été sanctionné d’une amende de 5 milliards de dollars pour avoir violé le COPPA. Il s’agit d’un important acteur du monde numérique que la FTC (au même titre que les régulateurs européens) surveille étroitement. Une étude de 2010 indique que l’âge moyen des jeunes utilisateurs du réseau social est de 12.6 ans lors de leur inscription, en-dessous donc des 13 ans fixés par COPPA ou de l’âge minimum prévu par le RGPD[14]. Souvent ces inscriptions se font avec l’aval des parents qui encouragent parfois même leur enfant à mentir quant à leur date de naissance pour contourner le système. Et pourtant le site dit ne pas être soumis à la loi, car il restreint lors de l’inscription, au travers de dates de naissance, les personnes en-dessous de cet âge. En France un mineur peut s’inscrire sur le réseau social dès l’âge de 13 ans. Aucune vérification ne semble être effectuée en dehors de la demande de la date de naissance au moment de l’inscription. De plus, le consentement parental ne semble également pas exigé pour les jeunes de moins de 15 ans en France, malgré le fait que ceux-ci n’aient pas atteints la majorité numérique. Le site indique seulement que lorsqu’un compte d’un mineur de moins de 13 ans est signalé par un autre utilisateur, Facebook mènera une enquête dont les contours restent flous. En n’ayant à ce jour engagé aucune procédure à l’encontre de Facebook, dont il semblerait facile de démontrer la connaissance effective d’un public mineur de moins de treize ans, la FTC semble accepter cette pratique consistant pour les plateformes à refuser les jeunes utilisateurs. Ceci conforte les nombreux sites et applications qui restreignent tout simplement leur accès aux enfants afin d’éviter tout problème. S’en suit un problème plus large d’accès aux services en ligne des jeunes générations. Ce sont elles qui actuellement maitrisent souvent le mieux les outils numériques, mais se voient officiellement privés d’outils dont ils se servent à longueur de journée. Ce sont ces plateformes qu’ils vont probablement avoir à utiliser durant le reste de leur vie et carrière mais dont l’accès leur est interdit par souci de simplicité.

Les changements opérés par YouTube au début de l’année 2020, à la suite d’un accord négocié avec la FTC, démontrent de manière plus spécifique les travers de COPPA. La FTC ayant reproché à la plateforme de partage de vidéos de collecter des données personnelles d’enfants de moins de treize ans, YouTube a été sommé de mettre fin à cette pratique. Ceci a conduit un grand nombre de créateurs diffusant leur contenu sur YouTube à alerter le public que ceci pourrait conduire à la fermeture pure et simple de leurs chaines. Si cela ne s’est pas produit, un grand nombre de changement a tout de même eu lieu. Chaque vidéo publiée peut désormais être catégorisée comme étant « pour enfant de moins de 13 ans ». Ceci a pour conséquence qu’aucun utilisateur ne peut émettre de commentaire sur la vidéo en question. Les commentaires d’anciennes vidéos semblent par ailleurs avoir purement et simplement disparus. D’autres fonctionnalités sont également désactivées. On peut relever que ce sont parfois des communautés entières, dont l’âge moyen dépasse allègrement les treize ans, qui se retrouvent ainsi restreintes dans leur moyen d’expression. On peut par exemple noter que de nombreuses chansons Disney, tels que « Un jour mon Prince viendra » de Blanche-Neige et les Sept Nains, ne peuvent plus recevoir de commentaires. S’il peut certes exister un attrait pour les jeunes enfants envers cette chanson, elle évoquera bien plus de souvenirs à une population plus âgée, qui se voit contrainte de se tourner vers d’autres plateformes en ligne pour exprimer leurs opinions. Si YouTube est libre de modifier ses conditions d’utilisation, on voit que le choix opéré, qui ne distingue pas entre jeunes de moins de treize ans et les autres, tend à réduire quelque peu la liberté d’expression d’individus qui ne rentrent pas dans le champ d’application de COPPA.

Le COPPA est indéniablement un effort louable de la part du Congrès américain des années 1980 qui cherche des moyens pour protéger les jeunes ayant une vie numérique de plus en plus active. Si l’évolution numérique rend rapidement obsolète une telle législation, il faut noter les efforts de la FTC qui tente tant bien que mal de dialoguer avec les acteurs du marché et d’utiliser ses pouvoirs lorsqu’il est nécessaire. En Europe, si le RGPD contient des dispositions relatives aux enfants dont l’objectif est sensiblement proche de celui du texte américain, on aurait pu espérer que l’intégration de protections pour les mineurs dans un cadre plus général tendrait à une mise en conformité plus large des acteurs. Ceci ne semble aujourd’hui pas encore être le cas, les mesures prises ne résultant pour l’instant que dans des amendes relativement réduites mises en proportion avec les résultats des grandes sociétés, combiné à plus petits acteurs qui réussissent encore facilement à échapper à toute mise en application du droit les concernant.

Notes

[1] PwC Kids Digital Media Report 2019

[2] https://www.ftc.gov/system/files/2012-31341.pdf

[3] https://www.ftc.gov/system/files/documents/cases/172_3083_youtube_coppa_...

[4] https://trends.google.fr/trends/explore?geo=US&q=coppa, consulté le 1^er mars 2020.

[5] https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentemen...

[6] https://www.ftc.gov/news-events/press-releases/2019/02/video-social-netw...

[7] https://www.ftc.gov/reports/privacy-data-security-update-2016#children

[8] https://www.enforcementtracker.com

    https://www.privacyaffairs.com/gdpr-fines/

[9] https://www.datatilsynet.no/en/regulations-and-tools/reports-on-specific...

[10] https://www.cnil.fr/fr/quelle-strategie-de-controle-pour-2019

[11] Andrea M. Matwyshyn, « Of Teenagers and Tweenagers : Professor Allen’s Critique of the Children’s Online Privacy Protection Act in Historical Perspective », 13 APA Newsl. 7,8 (2013)

[12] https://www.lemonde.fr/economie/article/2018/04/10/face-a-des-missions-e...

[13] Irwin Reyes, Primal Wijesekera, Joel Reardon, Amit Elazari Bar On, Abbas Razaghpanah, Narseo Vallina-Rodriguez, Serge Egelman « “Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale », 2018

[14] https://www.commonsensemedia.org/sites/default/files/uploads/research/co...

Bibliographie sélective

Droit Français

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
• Loi n° 78-17, 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés
• Loi n° 2004-801, 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
• Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
• Proposition de Règlement du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »)
• Christiane. Féral-Schuhl, Cyberdroit : Le droit à l'épreuve d'Internet, Dalloz, 2020
• cnil.fr
• Valentine Letesse, « Pourquoi créer une majorité numérique », consulté le 28 février 2020.

Droit Américain

• Children's Online Privacy Protection Act of 1998 (COPPA) 15 U.S.C. §§ 6501–6506
• California Consumer Privacy Act (CCPA)
• Paul M. Schwartz & Daniel Solove, Information Privacy Law, 2018
• ftc.gov
• Eldar Haber, « Toying with Privacy: Regulating the Internet of Toys » 80 Ohio St. L.J. 399, 2019
• Emily DiRoma, « Kids say the Darnest Things : Minors and the Internet », 2019 Cardozo L. Rev. De Novo 43
• Shannon Finnegan, « How Facebook Beat the Children's Online Privacy Protection Act: A Look into the Continued Ineffectiveness of COPPA and How to Hold Social Media Sites Accountable in the Future », 50 Seton Hall L. Rev. 827, 2020
• Irwin Reyes, Primal Wijesekera, Joel Reardon, Amit Elazari Bar On, Abbas Razaghpanah, Narseo Vallina-Rodriguez, Serge Egelman « “Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale », 2018
• Tay Nguyen, « GDPR Matchup: The Children's Online Privacy Protection Act », IAPP, 5 avril 2017, consulté le 28 février 2020.
• Youtube, Questions fréquentes concernant le paramètre d'audience "Conçu pour les enfants", consulté le 28 février 2020.

Droit Britannique :

• ICO, Age appropriate design: a code of practice for online services.
• ICO, Children & the GDPR.
• The Guardian, TikTok under investigation over child data use, 2 juillet 2019, consulté le 28 février 2020

bla bla bla.