Attention aux petites entreprises: si vous exploitez un site Web, un service en ligne ou une application mobile qui collecte des informations sur les enfants de moins de 13 ans, vous pourriez être passible de lourdes amendes si vous ne respectez pas la loi sur la protection des enfants en ligne Protection des enfants).
Qu'est-ce que la COPPA?
En résumé, la COPPA interdit aux opérateurs de sites Web de collecter des informations personnelles sur des enfants de moins de 13 ans sans autorisation parentale explicite.
$config[code] not foundLes informations personnelles peuvent inclure des éléments aussi simples que des noms et des adresses ou même des identifiants plus complexes tels que des identifiants de géolocalisation, des images ou des fichiers audio, lorsque ces fichiers contiennent la voix de l'enfant.
La COPPA est la principale raison pour laquelle Facebook et de nombreux autres sites Web populaires n'autorisent pas les utilisateurs de moins de 13 ans.
Même les exploitants de sites Web chevronnés se sont retrouvés du mauvais côté de la loi et ont été tenus responsables par la Federal Trade Commission.
Par exemple, le site de révision en ligne Yelp a accepté de payer une amende civile de 450 000 dollars en 2014, tandis que le développeur de jeux pour mobiles TinyCo a payé une amende de 300 000 dollars. Un tribunal pourrait imposer à un exploitant en infraction une amende pouvant aller jusqu'à 40 654 dollars par infraction, selon la FTC.
Adoptée par le Congrès en 1998, la loi précise ce que les exploitants de sites Web doivent inclure dans une politique de confidentialité, quand et comment demander le consentement d’un parent ou d’un tuteur légal, et ce qu’un opérateur doit faire pour protéger la vie privée et la sécurité des enfants en ligne.
Il limite également la commercialisation aux enfants de moins de 13 ans.
Selon le site Web de la FTC, «le principal objectif de la COPPA est de permettre aux parents de contrôler en ligne les informations collectées auprès de leurs jeunes enfants. La règle a été conçue pour protéger les enfants de moins de 13 ans tout en tenant compte de la nature dynamique d'Internet.
La règle s'applique aux exploitants de sites Web commerciaux et de services en ligne (y compris les applications mobiles) destinés aux enfants de moins de 13 ans qui collectent, utilisent ou divulguent des informations personnelles d'enfants et aux exploitants de sites Web grand public ou de services en ligne ayant des connaissances réelles qu'ils collectent utiliser ou divulguer des informations personnelles d'enfants de moins de 13 ans. "
En vertu des nouvelles directives adoptées par la FTC en 2013, la loi s'applique également aux tiers de «sites destinés aux enfants» - tels que les plug-ins et les réseaux publicitaires - qui collectent des informations personnelles sur les visiteurs.
En vertu des règles modifiées, les «informations personnelles» comprennent les éléments suivants:
- Nom et prénom
- Une maison ou une autre adresse physique, y compris le nom de rue et le nom d'une ville ou d'un village
- Informations de contact en ligne
- Un écran ou un nom d'utilisateur qui fonctionne comme information de contact en ligne;
- Un numéro de téléphone
- Un numéro de sécurité sociale
- Identifiant persistant pouvant être utilisé pour reconnaître un utilisateur dans le temps et sur différents sites Web ou services en ligne
- Une photo, une vidéo ou un fichier audio, où ce fichier contient une image ou une voix d'un enfant
- Informations de géolocalisation suffisantes pour identifier le nom de la rue et le nom d'une ville ou d'un village
- Informations concernant l'enfant ou les parents de cet enfant que l'opérateur collecte en ligne auprès de l'enfant et les combine avec un identifiant décrit ci-dessus
Comment savoir si vous devez vous conformer à cette loi ou quelles mesures vous devez prendre?
La section Protection de la vie privée des enfants du centre des affaires de la FTC regorge d’informations sur le sujet.
Une option serait de consulter un programme COPPA Safe Harbor, qui permet aux groupes de l'industrie ou à d'autres de soumettre à l'approbation de la FTC les directives d'autoréglementation ou de consulter un avocat.
La FTC a également recommandé un «plan de conformité en six étapes» pour toute entreprise:
Étape 1: Déterminez si votre entreprise est un site Web ou un service en ligne qui collecte des informations personnelles sur des enfants de moins de 13 ans.
COPPA ne s’applique pas à toutes les personnes exploitant un site Web ou un autre service en ligne. La COPPA s’adresse aux exploitants de sites Web et de services en ligne qui collectent des informations personnelles sur des enfants de moins de 13 ans.
Vous devez vous conformer à la COPPA si l'une des conditions suivantes est vraie:
- Votre site Web ou service en ligne est destiné aux enfants de moins de 13 ans et vous collectez des informations personnelles à leur sujet.
- Votre site Web ou service en ligne s'adresse aux enfants de moins de 13 ans et vous laissez d'autres collecter des informations personnelles.
- Votre site Web ou service en ligne est destiné à un public général, mais vous savez pertinemment que vous collectez des informations personnelles sur des enfants de moins de 13 ans.
- Votre entreprise exploite par exemple un réseau publicitaire ou un plug-in et sait pertinemment que vous collectez des informations personnelles sur les utilisateurs d'un site Web ou d'un service destiné aux enfants de moins de 13 ans.
Étape 2: Publiez une politique de confidentialité conforme à la COPPA
Il doit décrire clairement et de manière exhaustive la manière dont les informations personnelles recueillies en ligne sur des enfants de moins de 13 ans sont traitées. La notification doit décrire non seulement vos pratiques, mais également celles de toute autre personne recueillant des informations personnelles sur votre site ou service - par exemple, des plug-ins ou des réseaux publicitaires.
Il doit également inclure une liste de tous les opérateurs collectant des informations personnelles, une description des informations personnelles et de leur utilisation, ainsi qu'une description des droits parentaux.
Étape 3: Avertissez les parents directement avant de collecter des informations personnelles sur leurs enfants
L'avis doit être clair et facile à lire. N'incluez aucune information non liée ou source de confusion. L'avis doit dire aux parents:
- Que vous avez recueilli leurs informations de contact en ligne dans le but d'obtenir leur consentement
- Que vous souhaitiez collecter des informations personnelles sur leur enfant
- Que leur consentement est requis pour la collecte, l'utilisation et la divulgation des informations
- Les informations personnelles spécifiques que vous souhaitez collecter et comment elles pourraient être divulguées à d'autres
- Un lien vers votre politique de confidentialité en ligne
- Comment les parents peuvent donner leur consentement
- Que si le parent ne donne pas son consentement dans un délai raisonnable, vous supprimerez les informations de contact en ligne du parent de vos dossiers.
Étape 4: Obtenir le consentement vérifiable des parents avant de collecter des informations auprès de leurs enfants
Les méthodes acceptables incluent d'avoir le parent:
- Signer un formulaire de consentement et le renvoyer par fax, courrier ou scan électronique
- Utilisez une carte de crédit, une carte de débit ou un autre système de paiement en ligne qui informe le titulaire du compte de chaque transaction.
- Appelez un numéro sans frais doté d'un personnel qualifié
- Connectez-vous à du personnel qualifié via une vidéoconférence
- Fournissez une copie d'un formulaire d'identification émis par le gouvernement que vous vérifiez par rapport à une base de données, à condition de supprimer l'identification de vos enregistrements une fois le processus de vérification terminé.
Étape 5: Respectez les droits des parents en ce qui concerne les informations recueillies auprès de leurs enfants
Si un parent le demande, vous devez:
- Donnez-leur un moyen de passer en revue les informations personnelles recueillies auprès de leur enfant
- Donnez-leur un moyen de révoquer leur consentement et de refuser l'utilisation ou la collecte ultérieure d'informations personnelles sur leur enfant
- Supprimer les informations personnelles de leur enfant.
Étape 6: Mettre en œuvre des procédures raisonnables pour protéger la sécurité des informations personnelles des enfants
Enfant utilisant une tablette photo via Shutterstock
More in: Qu'est-ce que c'est?