La Californie promulgue la California Age-Appropriate Design Code Act

Le 15 septembre 2022, le gouverneur de Californie, Gavin Newsom, a promulgué la loi California Age-Appropriate Design Code Act (la « loi »). La loi, qui entre en vigueur le 1er juillet 2024, impose de nouvelles obligations légales aux entreprises en ce qui concerne les produits et services en ligne « susceptibles d’être consultés par des enfants » de moins de 18 ans.

La loi s’inspire de l’Age-Appropriate Design Code du Royaume-Uni. La loi s’applique aux entreprises qui fournissent un service, un produit ou une fonctionnalité en ligne « susceptible d’être consulté par des enfants » de moins de 18 ans (« entreprises couvertes »). Un service, un produit ou une fonctionnalité en ligne est « susceptible d’être consulté par des enfants » en fonction de certains indicateurs, notamment si :

Il est « destiné aux enfants », tel que défini par la loi fédérale sur la protection de la vie privée en ligne des enfants (« COPPA ») ;
Il est déterminé qu’il est régulièrement consulté par un nombre important d’enfants (sur la base de preuves compétentes et fiables concernant la composition du public);
Il a des publicités destinées aux enfants;
Il est sensiblement similaire ou identique à un service, un produit ou une fonctionnalité en ligne auquel un nombre important d’enfants accède régulièrement ;
Il contient des éléments de conception connus pour intéresser les enfants (y compris, mais sans s’y limiter, les jeux, les dessins animés, la musique et les célébrités qui plaisent aux enfants); ou
Une partie importante de l’audience du service, du produit ou de la fonctionnalité en ligne est déterminée, sur la base des recherches internes de l’entreprise, comme étant des enfants.

La norme « susceptible d’être consultée par des enfants » est beaucoup plus large que la COPPA, qui s’applique aux opérateurs de sites Web ou de services en ligne qui (1) sont soit dirigé aux enfants ou (2) ont connaissances réelles recueillent des renseignements personnels de enfants en ligne. La loi définit également « l’enfant » de manière plus large ; La COPPA définit un « enfant » comme une personne de moins de 13 ans, tandis que la loi définit un « enfant » comme un consommateur de moins de 18 ans. De plus, la loi impose un certain nombre d’exigences aux entreprises couvertes qui ne sont pas incluses dans la COPPA. .

conditions

Entre autres obligations, la loi oblige les entreprises visées à :

Configurez tous les paramètres de confidentialité par défaut proposés par le service, le produit ou la fonctionnalité en ligne sur ceux qui offrent un niveau élevé de confidentialité, à moins que l’entreprise ne puisse démontrer une raison impérieuse qu’un paramètre différent est dans l’intérêt supérieur des enfants ;
Fournir de manière concise et visible des informations sur la confidentialité, les conditions d’utilisation, les politiques et les normes communautaires, en utilisant un langage clair adapté à l’âge des enfants susceptibles d’accéder au service, au produit ou à la fonctionnalité en ligne ;
Avant qu’un nouveau service, produit ou fonctionnalité en ligne susceptible d’être accessible aux enfants ne soit proposé au public, remplissez une évaluation de l’impact sur la protection des données (« DPIA ») et, sur demande écrite, fournissez la DPIA au procureur général de Californie ;
Estimer l’âge des enfants utilisateurs avec un niveau de certitude raisonnable adapté aux risques découlant des pratiques de gestion des données de l’entreprise, ou appliquer à tous les consommateurs la protection de la vie privée et des données accordée aux enfants ;
Si le service, le produit ou la fonctionnalité en ligne permet au parent, au tuteur ou à tout autre consommateur de l’enfant de surveiller l’activité en ligne de l’enfant ou de suivre l’emplacement de l’enfant, fournir un signal évident à l’enfant lorsqu’il est surveillé ou suivi ;
Appliquer les conditions publiées, les politiques et les normes communautaires établies par l’entreprise, y compris, mais sans s’y limiter, les politiques de confidentialité et celles concernant les enfants ; autre
Fournir des outils importants, accessibles et réactifs pour aider les enfants (ou leurs parents/tuteurs) à exercer leur droit à la vie privée et à signaler leurs préoccupations.

Activités interdites/restreintes

Il est interdit aux entreprises couvertes d’utiliser les informations personnelles d’un enfant :
- pour toute raison autre qu’une raison pour laquelle les informations personnelles ont été collectées, à moins que l’entreprise ne puisse démontrer une raison impérieuse que l’utilisation des informations personnelles est dans «l’intérêt supérieur des enfants»; ou
- d’une manière dont l’entreprise sait ou a des raisons de savoir qu’elle est matériellement préjudiciable à la santé physique, à la santé mentale ou au bien-être d’un enfant.

La loi impose également des restrictions sur le profilage des enfants, l’utilisation de motifs sombres et la collecte, la vente ou le partage des informations personnelles des enfants, en particulier en ce qui concerne les données de géolocalisation.

Guide de mise en œuvre

La loi établit également le groupe de travail sur la protection des données des enfants de Californie, qui étudiera et rendra compte des meilleures pratiques législatives pour la mise en œuvre de la loi. Le groupe de travail sera composé d’experts en matière de confidentialité des données des enfants, de santé physique, de santé mentale et de bien-être, d’informatique et de droits des enfants. Entre autres sujets, le groupe de travail est chargé de (1) identifier les services, produits ou fonctionnalités en ligne susceptibles d’être consultés par les enfants ; (2) en veillant à ce que les méthodes d’assurance de l’âge utilisées par les entreprises couvertes soient proportionnelles aux risques, protègent la vie privée et soient peu invasives ; et (3) évaluer comment le groupe de travail et le ministère de la Justice peuvent tirer parti de l’expertise de la California Privacy Protection Agency dans le développement à long terme de politiques de confidentialité des données qui affectent la confidentialité, les droits et la sécurité des enfants en ligne.

mise en vigueur

Le procureur général de Californie est chargé de faire appliquer la loi et peut demander une injonction ou une sanction civile contre toute entreprise qui viole ses dispositions. Les contrevenants peuvent être passibles d’une amende pouvant aller jusqu’à 2 500 $ par enfant concerné pour chaque violation par négligence, et jusqu’à 7 500 $ par enfant concerné pour chaque violation intentionnelle. La loi prévoit une période de redressement potentielle de 90 jours si une entreprise couverte se conforme pour l’essentiel à la loi.

Vous devriez également aimer

Revue de presse web : une ONG s’occupant d’enfants dans le viseur de la justice pour fraude et violences présumées

Le contenu de la Global Privacy Law Review, Volume 05, Numéro 1, 2024

Decouvrez cette parution : une cinquantaine de militants pro-démocratie comparaîtront devant un tribunal