Comprendre l'article 8 du RGPD : les exigences relatives au consentement de l'enfant
GDPR Article 8 traite du sujet juridiquement sensible du consentement de l'enfant, en relation avec le traitement des données d'une organisation, qui est longuement abordé à l'article 7.
La différence de formulation entre les versions britannique et européenne de la loi concerne en grande partie l’âge qu’une personne doit avoir avant que la responsabilité parentale ne soit exigée.
Article 8 du RGPD Texte juridique
Version RGPD de l'UE
Conditions applicables au consentement de l’enfant en relation avec les services de la société de l’information
- Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre de services de la société de l'information directement à un enfant, le traitement des données à caractère personnel d'un enfant est licite lorsque l'enfant a au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si et dans la mesure où le consentement est donné ou autorisé par le titulaire de la responsabilité parentale sur l'enfant. Les États membres peuvent prévoir par la loi un âge inférieur à ces fins, à condition que cet âge inférieur ne soit pas inférieur à 13 ans.
- Le responsable du traitement fera des efforts raisonnables pour vérifier dans de tels cas que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale sur l'enfant, en tenant compte de la technologie disponible.
- Le paragraphe 1 n'affecte pas le droit général des contrats des États membres, tel que les règles relatives à la validité, à la formation ou à l'effet d'un contrat à l'égard d'un enfant.
Version du RGPD au Royaume-Uni
Conditions applicables au consentement de l’enfant en relation avec les services de la société de l’information
- Lorsque l'article 6, paragraphe 1, point a) s'applique, en ce qui concerne l'offre de services de la société de l'information directement à un enfant, le traitement des données à caractère personnel d'un enfant est licite lorsque l'enfant a au moins 13 ans. Lorsque l'enfant est âgé de moins de 13 ans, ce traitement n'est licite que si et dans la mesure où le consentement est donné ou autorisé par le titulaire de la responsabilité parentale sur l'enfant.
- Le responsable du traitement fera des efforts raisonnables pour vérifier dans de tels cas que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale sur l'enfant, en tenant compte de la technologie disponible.
- Le paragraphe 1 n'affecte pas le droit général des contrats tel qu'il s'applique en droit interne, comme les règles relatives à la validité, à la formation ou à l'effet d'un contrat concernant un enfant.
- Au paragraphe 1, la référence aux services de la société de l'information n'inclut pas les services de prévention ou de conseil.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Clause 27701 de la norme ISO 7.2.2 (Identifier la base juridique) et article 8 (1) du RGPD de l'UE
Pour constituer une base juridique pour le traitement des informations personnelles, les organisations doivent :
- Demandez le consentement des responsables des informations personnelles.
- Rédigez un contrat.
- Respecter diverses autres obligations légales.
- Protéger les « intérêts vitaux » des différents responsables des informations personnelles.
- Veiller à ce que les tâches exécutées soient dans l’intérêt public.
- Confirmez que le traitement des informations personnelles constitue un intérêt légitime.
Pour chaque point mentionné ci-dessus, les organisations doivent être en mesure de proposer une confirmation documentée.
Les organisations doivent également prendre en compte toutes les « catégories spéciales » de données personnelles liées à leur organisation dans leur système de classification des données (voir ISO 27701, clause 7.2.8) (les classifications peuvent varier d'une région à l'autre).
Si les organisations constatent des changements dans les raisons sous-jacentes du traitement des informations personnelles, cela doit être immédiatement reflété dans leur base juridique documentée.
Prise en charge des clauses ISO 27701
- ISO 27701 7.2.8
Clause 27701 de la norme ISO 7.2.3 (Déterminer quand et comment le consentement doit être obtenu) et article 8 (2) du RGPD de l'UE
Les organisations devraient être en mesure de documenter les raisons pour lesquelles elles demandent le consentement et la manière dont il doit être obtenu.
Les stipulations des informations personnelles varient d'une région à l'autre, les organisations doivent donc être continuellement attentives aux lois et réglementations locales et/ou nationales qui peuvent régir la manière dont elles obtiennent le consentement, ainsi qu'aux conditions particulières attachées à certains types de données (par exemple, les enfants).
Index des articles liés au RGPD de l'UE et aux clauses ISO 27701
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| Article 8 (1) du RGPD de l’UE | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| Article 8 (2) du RGPD de l’UE | ISO 27701 7.2.3 | Aucun |
Comment l'aide d'ISMS.online
Notre approche de mise en œuvre « Adopter, Adapt, Add » facilite la démonstration de la conformité au RGPD avec ISMS.online. Une grande variété de fonctionnalités puissantes seront également mises à votre disposition pour vous faire gagner du temps.
En utilisant notre plateforme intuitive, vous pouvez mapper votre travail sur plusieurs normes et cadres en peu de temps.
Si vous ne parvenez pas à atteindre vos objectifs RGPD en raison d'un manque de confiance, de capacités ou de dynamisme, nos experts internes seront disponibles pour vous aider ou nous vous recommanderons un partenaire de confiance pour vous aider.
En savoir plus par réserver une démo.
