Stratégie digitale

Explication des modifications apportées à la loi sur la protection de la vie privée en ligne des enfants

ImageBien que des changements aient été très nécessaires, les récents amendements de la FTC à la loi sur la protection de la vie privée en ligne des enfants (COPPA) ont semé une certaine confusion et fait craindre qu’ils ne diminuent la production de contenu innovant et éducatif.

Pour passer rapidement en revue : la COPPA restreint la collecte en ligne d’informations personnelles auprès d’enfants de moins de 13 ans avant le consentement des parents. Elle s’applique aux entreprises américaines ou aux citoyens américains, mais en fait, elle s’applique à l’échelle mondiale. Il détaille ce qu’un opérateur de site Web (ou de tout service en ligne) doit inclure dans une politique de confidentialité, quand et comment obtenir le consentement vérifiable d’un parent ou d’un tuteur, et quelles sont les responsabilités d’un opérateur pour protéger la vie privée et la sécurité des enfants en ligne. Cela inclut des restrictions sur le marketing destiné aux enfants de moins de 13 ans.

La FTC a lancé un examen en 2010 pour s’assurer que la règle COPPA suit l’évolution de la technologie et les changements dans la façon dont les enfants utilisent et accèdent à Internet, y compris l’utilisation accrue des appareils mobiles et des réseaux sociaux. Après une longue période de consultation, les révisions ont été annoncées en décembre 2012. En janvier, FOSI a publié un article décrivant les changements que la FTC a apportés à la loi, qui entrera en vigueur le 1er juillet 2013.

eModeration a examiné de près l’article du FOSI et a consulté Denise Tayloe, PDG de PRIVO, les principaux consultants en matière de conformité COPPA, pour aider à démystifier un sujet complexe. Merci à la fois à FOSI et à Denise, pour son aide et sa direction inestimables.

Voici un résumé des changements et une analyse de ce qu’ils signifient pour tous les opérateurs de services en ligne

PII a été étendu pour inclure : les données de géolocalisation, les identifiants persistants (tels qu’une adresse IP ou un identifiant unique d’appareil), les photos, l’audio et les vidéos, ainsi que les noms d’utilisateur et les pseudonymes lorsqu’ils fonctionnent de la même manière que les informations de contact en ligne.

La promotion des notifications « Just in Time » logique et aidera les parents à prendre des décisions éclairées sur ce que leurs enfants font en ligne. (Par exemple, informer les parents de ce qui est collecté, exactement quand l’information est collectée par l’entreprise). L’avis doit comprendre :

  • Quelles informations ont déjà été collectées et quelles fonctionnalités supplémentaires de déclenchement COPPA seront activées pour permettre une collecte supplémentaire
  • Objet de l’avis
  • Actions que les parents doivent entreprendre
  • Description de la manière dont les informations seront utilisées
  • Un lien hypertexte vers l’avis de confidentialité du site Web

Cependant, cette exigence rend difficile pour une entreprise d’offrir des protections COPPA générales, qui sont opt-in, plutôt que opt-out, après le partage de données.

La conservation du « email plus »[i] fournit aux sites Web et aux applications un moyen simple et économique d’obtenir un consentement parental vérifiable pour les informations collectées et utilisées uniquement à des fins internes (c’est-à-dire PAS partagé avec des tiers).

(PRIVO a fait remarquer que la FTC n’a pas conservé le courrier électronique plus parce qu’il était fiable – mais plutôt qu’il n’y avait rien de mieux qui était aussi rentable et simple pour toutes les parties.)

D’autres méthodes d’obtention d’un consentement parental vérifiable ont été introduites : En général, toute méthode sera autorisée si elle satisfait au critère de « Toute méthode pour obtenir un consentement parental vérifiable doit être raisonnablement calculée, à la lumière de la technologie disponible, pour garantir que la personne qui donne le consentement est le parent de l’enfant. » Ces méthodes comprennent :

  • numérisations électroniques des formulaires de consentement signés et vidéoconférences ;
  • collecter les pièces d’identité émises par le gouvernement et vérifier les pièces d’identité par rapport à une base de données de ces informations (à condition que ces informations soient supprimées après vérification) ;
  • transaction monétaire sur une carte de crédit, une carte de débit ou un autre système de paiement en ligne qui notifie ou enregistre chaque transaction discrète au titulaire principal du compte.

(Notes PRIVO : « Comme vous pouvez le voir, aucune des méthodes énumérées n’atteint à elle seule l’objectif d’établir une relation parent/enfant fiable »)

Surveillance accrue du programme Safe Harbor [ii], tout en leur permettant d’approuver des mécanismes de consentement non encore énumérés par la FTC. Les opérateurs en ligne sont encouragés à participer à un processus annuel d’évaluation et de certification avec une sphère de sécurité approuvée en vertu de la COPPA.

Élargissement de la définition « soutien aux opérations internes » [iii] permet aux opérateurs de collecter les informations nécessaires au fonctionnement de leurs services sans passer par des procédures de consentement coûteuses et chronophages.

Communication des données des enfants à des tiers : Les opérateurs doivent prendre des mesures raisonnables pour divulguer les informations personnelles des enfants uniquement aux fournisseurs de services et aux tiers capables de maintenir la confidentialité, la sécurité et l’intégrité de ces informations et fournir des assurances qu’ils le feront. Cette nouvelle exigence n’oblige pas les opérateurs à assurer la conformité, mais les oblige à se renseigner sur les capacités de sécurité des données des entités et, par contrat ou autrement, à recevoir des assurances sur la manière dont les informations seront traitées.

Une norme de responsabilité stricte sur les sites Web ou les services incorporant un service tiers, tels que les plug-ins de réseaux sociaux ou les réseaux publicitaires ; indiquant que:

  • le site propriétaire était le mieux placé pour connaître l’âge de ses utilisateurs et demander le consentement approprié des parents
  • le site propriétaire a tiré un avantage significatif, financier ou autre, du service tiers

Les plug-ins et les réseaux publicitaires eux-mêmes sont désormais soumis à la règle COPPA à part entière. Les plug-ins pour lesquels ils ont « réellement connaissance » qu’ils collectent des informations à partir d’une propriété destinée aux enfants sont soumis aux mêmes lois. Ce qui constitue une « connaissance réelle » reste flou.

Comme prévu, les développeurs d’applications, les petites entreprises et les grandes entreprises ont soulevé des préoccupations spécifiques :

  • Les sites ou services propriétaires hésiteront à incorporer des plug-ins tiers s’ils sont responsables de leur conformité.
  • Ils ont demandé à la FTC d’examiner les situations où, malgré des accords contraires, un service tiers collecte des données auprès d’un enfant, et la première partie enfreindra toujours la règle COPPA et fera l’objet de mesures d’exécution.
  • En ce qui concerne le coût et la faisabilité du respect de certaines des nouvelles conditions ; beaucoup pensent que le coût a été massivement sous-estimé par la FTC et que de nombreuses organisations cesseront de créer du matériel pour les enfants, en particulier ceux de moins de 13 ans.
  • Il y a aussi des considérations juridiques et la question de savoir si la règle révisée a dépassé ou non la portée de la loi originale (COPPA) et si la FTC dépasse globalement son autorité statutaire.

Espérons que cela vous donnera un aperçu des changements et des objections soulevées. Nous estimons qu’une communication plus claire de l’impact et de tout ce qui reste ouvert (comme la façon de gérer les comptes existants et si les alertes push mobiles déclenchent la COPPA) doit être clarifiée rapidement si les entreprises doivent commencer à se conformer d’ici le 1er juillet 2013.

Un grand merci encore une fois à Denise Tayloe de Privo pour ses conseils et également à l’officier de liaison pour la sécurité des enfants d’eModeration, Jennifer M Puckett, qui a co-écrit cet article.

Notes et lectures complémentaires sur les modifications apportées à la COPPA :

Pour plus d’informations et une lecture de fond veuillez consulter l’article de FOSI, COPPA FAQ (juste mis à jour : 26 avril 2013), Privacy and Security Matters, Mondaq.com’s review of the changes, 7 Ways to be More COPPA Compliant (Inversoft) et nos propres articles de blog sur le sujet :

  • Les modifications apportées à la législation américaine COPPA – avez-vous des questions ou des commentaires ? (4 septembre 2012)
  • Révisions de la FTC aux modifications proposées à la COPPA (8 août 2012)
  • COPPA – fait-il plus de mal que de bien aux enfants en ligne ? (4 novembre 2011)
  • Les modifications proposées à la COPPA : peuvent-elles fonctionner ? Nous pensons que non. (21 octobre 2011)
  • COPPA tente de se mettre à jour (5 juillet 2010)

[i] Le mécanisme « e-mail plus » vous permet de demander (dans l’avis direct au parent) que le parent donne son consentement dans un message électronique. Cependant, ce mécanisme nécessite que vous preniez une mesure supplémentaire après avoir reçu le consentement par e-mail du parent pour confirmer que c’est bien le parent qui a donné son consentement (le facteur « plus »). Ces étapes supplémentaires comprennent :

Demander dans votre e-mail initial demandant le consentement que le parent inclue un numéro de téléphone ou de fax ou une adresse postale dans l’e-mail de réponse, afin que vous puissiez faire un suivi pour confirmer le consentement par téléphone, fax ou courrier postal ; ou

Après un délai raisonnable, envoi d’un autre courriel au parent pour confirmer le consentement. Dans cet e-mail de confirmation, vous devez inclure toutes les informations originales contenues dans l’avis direct, informer le parent qu’il peut révoquer le consentement et indiquer au parent comment révoquer le consentement.

[ii] Port sûr : La Règle contient une disposition « sphère de sécurité » permettant aux groupes industriels ou à d’autres de soumettre à la Commission pour approbation des lignes directrices d’autoréglementation qui mettraient en œuvre les protections des Règles. Ce programme dans le cadre de la COPPA, à ne pas confondre avec la sphère de sécurité de l’UE entre le département américain du commerce et la Commission européenne, prévoit des protections identiques ou supérieures pour les enfants que la règle COPPA ; le programme doit fournir des mécanismes efficaces et obligatoires pour évaluer la conformité des participants aux exigences; et offrir des incitations à la conformité qui permettent une application efficace de la règle.

Jusqu’à présent, cinq groupes ont été approuvés en tant que programmes de sphère de sécurité COPPA : PRIVO, l’Unité d’examen de la publicité pour enfants des Bureaux d’éthique commerciale (CARU) ; le Comité d’évaluation des logiciels de divertissement (ESRB) ; CONFIANCE ; et Aristote International, Inc.

[iii] Support aux opérations internes : En vertu de la modification, les identificateurs persistants n’ont pas besoin d’être associés à d’autres renseignements personnels pour être considérés comme des renseignements personnels. Pour équilibrer cette expansion, la FTC a précisé que si un opérateur collecte un identifiant persistant dans le seul but de fournir un support pour ses opérations internes, alors l’opérateur n’est pas tenu de fournir un préavis ou d’obtenir le consentement parental préalable pour une telle collecte et utilisation. En outre, la FTC a élargi le « soutien aux opérations internes » pour inclure le plafonnement de la fréquence de la publicité et la conformité légale ou réglementaire.

Image reproduite avec l’aimable autorisation de Flickr : David Tao Photography

Erwan

Rédigé par

Erwan

Erwan, expert digital pour Coeur sur Paris, offre des insights pointus sur le marketing et les réseaux sociaux. Avec une plume vive et une analyse fine, il transforme les complexités du digital en conseils pratiques et tendances à suivre.

Articles recommandés