1.1 Quelles sont les particularités pour le marché scolaire?

Parmi le Canada, les États-Unis, l’Union européenne (UE), la France et l’Australie, actuellement seuls les États-Unis sont dotés de lois  (FERPA et COPPA)  qui encadrent la gestion des données personnelles de l’élève. Si votre produit éducatif n’est pas commercialisé aux États-Unis, vous pouvez vous en tenir à la fiche collecte de données personnelles.

1.2 Qu’est-ce qu’un produit technologique « éducatif » (Ed Tech) ?

En fonction des lois en vigueur aux États-Unis, on peut séparer les produits technologiques « éducatifs » en deux types :

1. Formels : Matériel didactique basé sur un curriculum scolaire et vendu aux écoles sous ententes contractuelles. Ils colligent des données personnelles d’élèves pour l’usage et le bénéfice exclusif de l’école.

1. Informels : Matériel éducatif développé en totalité ou en partie selon les objectifs pédagogiques d’un curriculum scolaire. Distribués au grand public selon des modèles d’affaires variés, ces produits peuvent  aussi être utilisés en classe par des enseignants. Les usages des données personnelles collectées à travers ces plateformes demeurent à la discrétion du producteur.

1.3 La notion de consentement pour la gestion des données en milieu scolaire

Dans le cadre scolaire, à partir du moment où il y a collecte de données personnelles, on recommande à l’école d’obtenir le consentement parental. Le professeur peut donner une note explicative aux parents décrivant l’application qu’il veut utiliser en classe et demandant de compléter l’inscription de leur jeune en ligne. Ceci permet aux parents de consulter la politique de confidentialité. Il faut toutefois rappeler qu’au Canada, aucune loi n’oblige les institutions scolaires à entreprendre cette démarche auprès des parents.

*Aux États-Unis* Pour un produit « formel », l’école peut agir au nom du parent et consentir à la collecte de données personnelles puisque la collecte est pour l’usage et le bénéfice exclusif de l’école. Pour un produit « informel », le consentement doit venir du parent.

Parmi le Canada, les États-Unis, l’UE, la France et l’Australie, les États-Unis sont le seul état avec des lois spécifiques pour encadrer la gestion des données personnelles de l’élève.Le Canada, l’UE, la France et l’Australie couvrent chacun la question des données personnelles de l’élève sous une loi de portée générale sur la protection des données personnelles :

• Canada : Loi sur la protection des renseignements personnels et les documents électroniques
• Union européenne : Directive sur la protection des données personnelles et Directive vie privée et communications électroniques,  Manuel de droit européen en matière de protection des données
• France : La loi informatique et libertés
• Australie : Privacy Act

États-Unis

1. Family Educational Rights and Privacy Act (FERPA)

La FERPA est une loi fédérale qui protège les données personnellement identifiables des élèves des écoles financées par des fonds fédéraux.

Pour un produit éducatif « formel », l’école peut agir au nom du parent et consentir à la collecte puisqu’elle est pour les usages et bénéfices exclusifs de l’école. La FERPA exige que l’école conserve un contrôle direct sur les données qu’elle partage avec un producteur : assurez-vous que les données que vous stockez sont faciles d’accès en tout temps.

Informations complémentaires :

U.S. Department of Education : Protecting Student Privacy While Using Online Educational Services : Requirements and Best Practices

2. Children’s Online Privacy Protection Act (COPPA)

La COPPA est une loi fédérale qui encadre la collecte de données en ligne auprès des enfants. Elle s’applique aux produits qui colligent des données personnelles de citoyens américains de moins de 13 ans, dans le contexte privé ou scolaire et ce, même si la compagnie n’est pas basée aux États-Unis.

L’école ne peut pas donner le consentement au nom du parent pour des produits éducatifs « informels ». Par exemple, si un enseignant veut que ses élèves utilisent un univers virtuel pour un projet scolaire, il doit s’assurer que chaque enfant obtient un consentement parental vérifiable.

Informations complémentaires:

Federal Trade Commission : Complying with COPPA : Frequently Asked Questions

Voir la fiche : Collecte de données personnelles

App Store d’Apple

Programme d’achat en volume (VPP) : offre des options de distribution flexibles aux écoles

Google Play

*En mars 2015, Google Play for Education était disponible au Canada, aux États-Unis et en Angleterre.

Google Play for Education : service offert aux écoles primaire et secondaire. Offre des contenus pédagogiques classés par sujet et niveau et approuvés par des enseignants.

Une application doit répondre à des critères pour faire partie de cette sélection. Détails ici.

Aux États-Unis, on voit apparaître différents engagements qui émanent du secteur des technologies éducatives. Cette mobilisation démontre une volonté de l’industrie à protéger la confidentialité et la sécurité des informations personnelles collectées sur des élèves.

• K-12 School  Service Provider Pledge to Safeguard Student Privacy
• Student Data Principles

1.1 Qu’est-ce que l’identification via un site tiers?
C’est lorsqu’une plateforme délègue, en totalité ou en partie, le processus d’identification de l’usager à une tierce partie. Par exemple, un usager qui télécharge votre application se verrait offrir l’option de s’enregistrer avec son compte Facebook existant et ainsi « sauter » le processus d’ouverture de compte. Ce service d’authentification simplifié est offert par la plupart des grands médias sociaux, tels Facebook, Google + ou encore Twitter.

1.2 L’identification d’un enfant via un site tiers
Bien que l’identification par un site tiers soit utile pour l’usager et intéressante à plusieurs égards pour le propriétaire d’une plateforme, cette pratique soulève des questionnements lorsqu’il est question d’une production jeunesse.Le système réglementaire a pour but de protéger les enfants qui ne comprennent pas nécessairement tous les risques et enjeux associés à la collecte et l’usage de leurs données personnelles. Pour être en accord avec ce cadre règlementaire, la plupart des réseaux sociaux grands publics interdisent l’ouverture d’un compte aux usagers de moins de 13 ans bien que plusieurs études ont démontré que les jeunes mentent couramment sur leur âge pour pouvoir s’y créer un profil.

Seuls les États-Unis effleurent l’identification par des sites tiers dans la Children’s Online Privacy Protection Act (COPPA).

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale visant la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis.La COPPA s’applique aux médias sociaux. Si le public cible est exclusivement compris dans la tranche des moins de 13 ans, l’intégration  à votre plateforme du système d’identification par un réseau social grand public est à proscrire.Informations complémentaires:Federal Trade Commission: Complying with COPPA: Frequently Asked Questions

App Store d’Apple
Les applications qui proposent un compte existant pour l’authentification de l’usager doivent avoir une politique de confidentialité.
Informations complémentaires sur l’App Store d’Apple

Les grands organismes canadiens d’autorèglementation ne font pas mention de l’identification par des sites tiers.

1.1 Qu’est-ce qu’on entend par « personnalisation » et « création de profils »?

La personnalisation est un terme large qui englobe l’ensemble des fonctionnalités qui permettent à l’usager de modifier des éléments selon ses goûts et préférences : choisir la couleur de sa page, créer un avatar, remplir un champ de texte libre, choisir une photo de profil, garder des liens en mémoire, etc.

Ce sont grâce aux données de personnalisation que l’enfant est à même de créer un profil spécifique qui lui permet de se représenter virtuellement (avatar) ou encore de gérer un espace personnel en fonction de ses préférences (ma page personnelle).

Faites attention lorsque la personnalisation permet de partager publiquement des informations personnelles. Par exemple, sur une page personnelle que les autres usagers peuvent consulter, dans un champ de texte « À propos de toi », l’enfant pourrait être tenté de saisir de l’information personnelle permettant de l’identifier. Afin de protéger les enfants, vous devez porter une attention particulière à ceci et encadrer les options de personnalisation.

1.2 À quels éléments faut-il porter attention lors de la création de profils?

La création du profil de l’utilisateur peut impliquer des données personnelles. La règle d’or est de limiter la collecte d’informations personnelles au minimum nécessaire pour fournir votre service. Il est par exemple préférable d’imposer une inscription avec un pseudonyme (nom d’utilisateur) plutôt que de demander le vrai nom. Cliquez ici pour des détails sur l’inscription via un site tiers (ex. Facebook Login).

Il est également indispensable de lier la création de profil et la personnalisation à la politique de confidentialité et à la protection des données personnelles. En ce sens, les parents devraient être avertis et donner leur consentement pour de telles pratiques, surtout lorsqu’elles visent des sites ou des applications s’adressant aux moins de 13 ans. Pour les 13 ans et plus, nous pouvons considérer que les procédés de personnalisation et de création de profil s’apparentent à ce qui est autorisé pour les réseaux sociaux (voir page liée aux réseaux sociaux).

La personnalisation et la création de profil sont des éléments qui touchent la protection des données personnelles. Pour plus de détails sur cette thématique, cliquez ici.

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale pour la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis.

La COPPA vous interdit d’exiger de l’enfant plus d’informations qu’il est nécessaire pour participer à une activité. Assurez-vous que les informations demandées pour la création du profil soient « raisonnables ».

La COPPA vous estime responsable de l’ensemble des données personnelles collectées sur votre plateforme. Ceci comprend les informations que vous demandez à l’enfant, mais également celles qui sont « collectées par inadvertance », c’est-à-dire lorsque l’enfant dévoile des informations personnelles dans des champs à remplir. Assurez-vous que l’enfant ne partage pas d’informations personnelles pour lesquelles vous n’avez pas obtenu le consentement parental vérifiable.

Informations complémentaires :

Federal Trade Commission : COPPA Rule : A Six-Step Compliance Plan for Your Business

Collecte d’informations personnelles

CANADA, UNION EUROPÉENNE, FRANCE & AUSTRALIE

La personnalisation et la création de profil se rapportent aux données personnelles. Pour plus de détails, cliquez ici.

Canada : Loi sur la protection des renseignements personnels et les documents électroniques

Programme de gestion de la protection de la vie privée : la clé de la responsabilité

Union européenne : Directive vie privée et communications électroniques

Manuel de droit européen en matière de protection des données

France : Loi informatique et libertés

Commission nationale de l’informatique et des libertés

Australie: Privacy Act

Office of the Australian Information Commissioner: Privacy law reform

App Store d’Apple
Une application ne peut exiger de l’usager qu’il partage des informations personnelles pour fonctionner.
Informations complémentaires sur l’App Store d’Apple

Cette fiche s’en remet à la règlementation en vigueur.

1.1 Qu’est-ce que la publicité ciblée? (online behavioural advertising)

Il s’agit de la collecte de données de suivi par le biais d’outils de suivi sur les activités et les habitudes en ligne des usagers, au fil du temps et à travers des plateformes non affiliées, afin de leurs présenter des messages susceptibles de les intéresser sur la base de préférences potentielles détectées. Elle permet aux compagnies de sélectionner des publicités qui correspondent aux intérêts de l’usager.

La publicité ciblée soulève des questions éthiques puisque les données de suivi sur lesquelles elle s’appuie sont souvent collectées à l’insu des usagers.

1.2 Le profilage à des fins de publicité ciblée

Il s’agit de l’agrégation de données de suivi issues de différentes sources (outils de suivi) pour construire le profil d’un usager. On associe des données recueillies durant le suivi sur le Web avec d’autres types de renseignements pour créer des profils détaillés. Le profilage est possible grâce à l’identifiant persistant inscrit dans l’identifiant unique de l’appareil et les outils de pistage qui permettent de reconnaître un usager à travers le temps et les plateformes. Plus une compagnie possède des cookies tiers sur différentes plateformes visitées par un même utilisateur, plus le profil de cet utilisateur sera détaillé.

Le profilage est une pratique centrale au marketing numérique. On l’utilise pour déceler des tendances de marché aussi bien qu’à des fins de publicité ciblée.

Mise à part la province du Québec, la majorité des états encadrent la publicité avec des programmes d’autoréglementation. Mais puisque la publicité ciblée est basée sur la collecte de données auprès de l’usager, elle est également couverte par les lois sur la protection des données personnelles.

CANADA

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – Position de principe sur la publicité comportementale en ligne

Loi fédérale définissant les règles applicables pour la gestion des renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales. La position de principe est l’application de la LPRPDE à la collecte et à l’utilisation de données de suivi à des fins de publicité ciblée.

La LPRPDE considère les données de suivi collectées à des fins de publicité ciblée comme des renseignements personnels. Ainsi, vous devez obtenir le consentement valable de l’usager pour collecter ce type de données et lui donner l’option de refuser cette collecte (opt-out). La LPRPDE ne prévoit pas de seuil d’âge précis pour l’obtention d’un consentement, mais souligne que les pratiques doivent correspondre au développement cognitif et émotionnel de l’utilisateur.

Les données personnelles des enfants ne devraient pas être suivies à des fins de publicité ciblée. Cette pratique est jugée « inappropriée » puisqu’on ne peut s’attendre à ce qu’un enfant comprenne les enjeux associés au suivi de ses données. Il n’est donc pas en mesure de donner un consentement valable à ces pratiques. Les opérateurs de plateformes destinées aux enfants doivent interdire le placement de tout type de technologies de suivi de tierces parties.

**QUÉBEC : Loi sur la protection du consommateur

Dans la province de Québec, la Loi sur la protection du consommateur interdit la publicité à but commercial destinée aux enfants âgés de moins de 13 ans et ce peu importe le support. Ainsi, il est interdit d’utiliser des données de suivi d’enfants québécois âgés de moins de 13 ans à des fins de publicité ciblée, sauf quelques exceptions prescrites par règlement. Par ailleurs, l’interdiction s’applique également aux compagnies situées à l’extérieur de la province. Pour plus de détails sur la publicité destinée aux enfants au Québec, cliquez ici.

Informations complémentaires:

Commissariat à la protection de la vie privée du Canada : Position de principe sur la publicité comportementale en ligne

Loi sur la protection du consommateur – Publicité destinée aux enfants de moins de 13 ans

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale pour la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans et ce, même pour les compagnies basées à l’extérieur des États-Unis.

La publicité ciblée n’est pas considérée par la COPPA comme une activité nécessaire au support des opérations internes. Ainsi, si vous, et/ou une tierce partie, faites la collecte de données de suivi à des fins de publicité ciblée, vous devez obtenir le consentement parental vérifiable avant d’entamer la collecte. De plus, les pratiques en lien avec la publicité ciblée doivent être expliquées dans la politique de confidentialité.

Recherchez des services compatibles avec la COPPA. Pour les applications mobiles par exemple, il est possible d’utiliser le réseau de publicité SuperAwesome et les services analytiques Flurry et PreEmptive Solutions.

* Les États-Unis ont un programme d’autorèglementation « Your AdChoices ». Il est similaire à son pendant canadien « Choix de pub ».

Informations complémentaires:

FTC: COPPA Rule: A Six-Step Compliance Plan for Your Business

Your Ad Choice 

UNION EUROPÉENNE & FRANCE

Directive sur la protection des données personnelles et Directive vie privée et communications électroniques

Directives encadrant la protection de la vie privée des citoyens de l’Union européenne, elles  touchent les entreprises qui exercent leurs activités commerciales dans un des pays membres.

Sauf pour les cookies qui facilitent la navigation (ex. authentification de l’usager, personnalisation du contenu ou panier d’achat), les outils de suivi de l’usager doivent être implantés avec son consentement. Vous devez aussi lui offrir l’option de refuser l’installation. L’information relative à l’utilisation d’un outil de pistage et le droit de refuser son installation peut être offerte une seule fois pendant une même connexion et couvrir l’utilisation future.

Informations complémentaires:

Manuel de droit européen en matière de protection des données

Your Online Choices : A guide to online behavioural advertising

AUSTRALIE

Privacy Act

Loi fédérale de portée générale sur la protection des informations personnelles touchant les entreprises exerçant des activités commerciales en Australie. Si vous faites la collecte de données personnelles avec un outil de suivi, vous devez en informer l’usager (un avis sur la page d’accueil suffit) et expliquer les finalités de la collecte dans la politique de confidentialité.

Informations complémentaires:

Manuel de droit européen en matière de protection des données

Your Online Choices : A guide to online behavioural advertising

App Store d’Apple

Les applications destinées aux enfants doivent s’abstenir de faire de la publicité ciblée. Informations complémentaires sur l’App Store d’Apple.

Google Play

Les applications qui font le suivi du comportement de l’usager ne sont pas autorisées à dissimuler cette fonctionnalité ni à induire l’utilisateur de l’appareil en erreur à propos de celle-ci. Elles doivent présenter, constamment et sans interruption, une notification et une icône permettant de les identifier clairement.

Informations complémentaires sur Google Play

Composée d’associations canadiennes en publicité et en marketing, elle a pour tâche d’encadrer le programme canadien d’autoréglementation pour la publicité comportementale en ligne. Elle propose un système basé sur le mécanisme de retrait (opt-out). L’icône Choix de pub apparaît à proximité d’une publicité quand une information est collectée ou utilisée pour de la publicité ciblée. En cliquant sur l’icône, l’internaute peut consulter l’identité de l’entreprise qui collecte les données, la description de ses pratiques avec les données et un lien vers la page de choix de retrait des consommateurs.

L’Alliance recommande à ses membres de ne pas recueillir, à l’aide d’un outil de suivi ou de toutes autres manières, des renseignements permettant d’identifier une personne à des fins de publicité ciblée auprès d’enfants dont ils savent ont moins de 13 ans.

Informations supplémentaires :

Principes canadiens d’autoréglementation de la publicité comportementale en ligne

Normes canadiennes de la publicité

L’annonceur ne doit pas divulguer les informations personnelles recueillies auprès d’un enfant à une tierce partie sans avoir obtenu préalablement le consentement des parents, à moins que cela ne soit autorisé par la loi. Ceci exclut les tierces parties qui fournissent un soutien aux opérations internes de la plateforme, et qui n’utilisent ni ne divulguent l’information personnelle à d’autres fins.

Informations supplémentaires :

Ligne directrice no 2 – Publicité destinées aux enfants

Association canadienne du marketing

Les agents de marketing ne doivent pas participer à l’utilisation de publicités ciblées visant directement ou sciemment des sites Web destinés principalement à des publics de moins de 13 ans, ni le faire faire par l’entremise d’un tiers, sauf dans les situations où un parent ou un tuteur accorde un consentement explicite.

Informations supplémentaires :

Code de déontologie et normes de pratique, Considérations spéciales se rapportant au marketing destiné aux enfants

1.1 Qu’est-ce que « l’analyse des usages de l’utilisateur »?
C’est l’analyse de données collectées des usagers et de celles générées par leurs interactions avec votre plateforme en fonction d’objectifs précis, comme évaluer l’efficacité de la plateforme, quantifier la fréquentation avec des rapports statistiques, personnaliser l’expérience de l’usager ou encore optimiser les efforts de marketing.Selon les analyses à réaliser, différentes données seront mobilisées : des renseignements personnels fournis par l’usager, des données issues des interactions des utilisateurs avec la plateforme et d’autres recueillies par des services de mesure et d’analyse d’audience (analytique) comme Google Analytics ou Flurry.

1.2 Qu’est-ce qu’on entend par « données de suivi »?
Ce sont des données qui tracent le parcours de l’usager à travers le temps et les plateformes permettant de faire des analyses pointues. Par exemple, en analysant la navigation d’un usager, on peut personnaliser l’offre du contenu selon ses intérêts. Les données de suivi sont collectées grâce à l’identifiant unique d’un appareil ou avec des outils de pistage (ou de suivi). Voici les plus courants :

• Cookie (fichier témoin, ou témoin) : Fichier texte sauvegardé sur l’appareil de l’usager qui permet à la plateforme de le reconnaître et de stocker l’historique de ses interactions. Une plateforme peut en avoir plusieurs : les cookies d’origine sont ceux qui lui appartiennent alors que les cookies tiers sont générés par des compagnies tierces intégrées à la plateforme comme un réseau de publicité ou un service d’analyse d’audience.

• Balise web (web beacon, web bug, pixel invisible ou espion, tag ou marqueur) : Élément invisible intégré dans une page web qui permet de pister la navigation de l’usager sur une plateforme unique ou sur une série de sites web. Elles peuvent être utilisées avec des cookies.

L’identifiant unique d’un appareil et l’outil de suivi contiennent chacun un identifiant persistant qui permet de reconnaître un usager à travers le temps et les plateformes.

À part aux États-Unis, l’analyse des usages et des activités des utilisateurs fait l’objet de peu de règlementation. Généralement, l’explication fournie dans votre politique de confidentialité sur vos usages, incluant ceux liés aux données de suivi, est suffisante. L’utilisation d’outils de suivi est restreinte par la loi dans certains pays.

ATTENTION!! Cliquez ici pour le profilage à des fins de publicité ciblée.

CANADA

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Loi fédérale définissant les règles applicables pour la gestion des renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales. Vous devez obtenir le consentement valable avant de collecter des données personnelles, et ce peu importe la technologie de collecte utilisée.

Loi canadienne anti-pourriel (LCAP)

Loi fédérale qui encadre l’envoi de messages électroniques et l’installation de programmes informatiques dans le cadre d’activités commerciales. Il est interdit d’installer un logiciel sur l’appareil de l’usager sans obtenir son consentement. Toutefois, vous n’avez pas à solliciter le consentement pour l’installation d’un cookie, ou d’un code HTML et Java Script.

Informations complémentaires :

Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations

Loi canadienne anti-pourriel

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale pour la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis.

Vous êtes responsable de l’ensemble de la collecte de données personnelles faite à partir de votre plateforme, incluant celle des services tiers. Vous devez choisir des services conformes avec la COPPA. Pour le mobile par exemple, le réseau de publicité SuperAwesome et les services analytiques Flurry et PreEmptive Solutions sont compatibles avec la COPPA.

Si l’identifiant persistant est l’unique donnée personnelle collectée et qu’il est nécessaire au support des opérations internes de la plateforme, vous n’avez pas à demander de consentement parental vérifiable. La COPPA définit les opérations internes comme les activités nécessaires pour :

• Maintenir ou analyser le fonctionnement de la plateforme;
• Effectuer des communications de réseau;
• Authentifier les usagers ou personnaliser le contenu;
• Servir et/ou limiter la fréquence de la publicité contextuelle;
• Protéger la sécurité ou l’intégrité de l’usager;
• Assurer le respect de la loi;
• Répondre à une demande de l’enfant.

Si vous, et/ou une tierce partie, utilisez identifiant persistant à toute autre fin que pour le support des opérations internes, par exemple pour de la publicité ciblée (fiche 5), vous devez obtenir le consentement parental vérifiable avant la collecte et expliquer vos pratiques dans la politique de confidentialité.

Informations complémentaires:

Federal Trade Commission: COPPA Rule : A Six-Step Compliance Plan for Your Business

FRANCE & UNION EUROPÉENNE

Directive sur la protection des données personnelles et Directive vie privée et communications électroniques

Directives encadrant la protection de la vie privée des citoyens de l’Union européenne, elles  touchent les entreprises qui exercent leurs activités commerciales dans un des pays membres. En France, la loi informatique et libertés est fondée sur les principes de ces directives.

Les outils de pistage sont permis pourvu que vous obteniez le consentement de l’usager et que vous lui donner la possibilité de refuser l’installation. L’information relative à l’utilisation d’un outil de pistage et le droit de refuser son installation peuvent être offerts une seule fois pendant une même connexion et couvrir l’utilisation future. Vous êtes aussi responsable de la collecte effectuée par des cookies tiers.

Les cookies qui facilitent la navigation (ex. authentification de l’usager, personnalisation du contenu ou panier d’achat) font l’objet d’une exception; ils ne nécessitent pas de consentement.

Informations complémentaires :

Manuel de droit européen en matière de protection des données

La loi informatique et libertés

AUSTRALIE

Privacy Act

Loi fédérale de portée générale sur la protection des informations personnelles touchant les entreprises exerçant des activités commerciales en Australie.

Si vous faites la collecte de données personnelles avec un outil de suivi, vous devez en informer l’usager (un avis sur la page d’accueil suffit) et expliquer les finalités de la collecte dans la politique de confidentialité. Le consentement n’est pas exigé.

Informations complémentaires :

Office of the Australian Information Commissioner – The Privacy Act

Appstore Amazon

Le contrat de distribution avec le développeur indique qu’Amazon se réserve le droit de « modifier » et « d’ajouter » des outils de suivi  sur votre application à des fins d’analytique.

Informations complémentaires sur l’Appstore d’Amazon : App Distribution Agreement

Alliance de la publicité numérique du CanadaElle recommande à ses membres de ne pas recueillir, à l’aide d’un outil de suivi ou de toutes autres manières, des renseignements permettant d’identifier une personne à des fins de publicité ciblée auprès d’enfants dont ils savent qu’ils ont moins de 13 ans.

Informations supplémentaires sur les principes canadiens d’autoréglementation de la publicité comportementale en ligne

• Si cela implique des données personnelles et/ou de suivi, expliquez vos pratiques en lien avec l’analyse des usages et des activités dans votre politique de confidentialité;

• Avisez clairement de la présence d’outils de suivi sur votre plateforme;

• Une bannière sur la page d’accueil spécifiant que la poursuite de la navigation sur le site constitue un consentement à l’usage du cookie avec un lien cliquable vers la politique de confidentialité;

• Offrez au parent le droit de refuser l’installation d’un outil de suivi;

• Assurez-vous que les méthodes pour communiquer avec le parent et lui offrir un droit de refus sont le plus conviviales possible;

• Soyez transparent par rapport à vos outils de suivi : décrivez dans la politique de confidentialité vos pratiques en lien avec les données collectées avec un outil de suivi et fournissez le nom des tierces parties qui possèdent des outils de suivi sur votre plateforme;

• Limitez au minimum le placement d’outils de suivi sur votre plateforme;

• Si vous acceptez des plug-ins (des logiciels d’application complémentaire), vérifiez s’ils contiennent une technologie de suivi. Si c’est le cas, envisagez de conclure des accords pour restreindre la collecte de données de suivi;

• Revoyez de manière périodique les termes des conditions de service et la politique de confidentialité des tierces parties intégrées à votre plateforme pour vous assurer que leurs pratiques respectent toujours vos exigences;

• Attention!!! Si vous utilisez des données de suivi à des fins de profilage et/ou de publicité ciblée, assurez-vous de consulter la fiche à cet effet.

1.1 Qu’est-ce qu’une « politique de confidentialité »?

C’est un document juridique pour communiquer à vos usagers vos pratiques en matière de protection des données personnelles.

L’adoption d’une politique de confidentialité facilement accessible, transparente quant à vos pratiques de gestion des données personnelles et compréhensible est un bon moyen pour une entreprise jeunesse de gagner la confiance des parents.

1.2 Quels éléments doivent se retrouver dans la politique de confidentialité?

L’objectif est d’expliquer de manière transparente l’ensemble de vos pratiques entourant la gestion des données personnelles (collecte, outils de suivi, usage, partage, protection, conservation, suppression, etc.). Le défi est de présenter cette masse d’informations de manière concise et dans des termes faciles à comprendre et à lire pour le consommateur moyen.

Il n’existe pas d’approche universelle, mais votre façon de communiquer devrait correspondre à votre public et à la nature de votre plateforme. En production jeunesse, ceci peut se traduire par l’utilisation d’un niveau de langage adapté (c.-à-d. proscrire le jargon juridique) et limiter l’information au nécessaire (c.-à-d. éviter les informations superflues).

Voir nos recommandations pour connaître les informations que devrait contenir votre politique de confidentialité.

1.3 Où doit se retrouver la politique de confidentialité?

Généralement on la retrouve sur la page ou l’écran d’accueil. Pour le mobile, si le magasin de distribution le permet, vous pouvez placer un lien vers votre politique de confidentialité dans la page de description de votre application. Ceci fait preuve de transparence puisque vous permettez au parent de la consulter avec le téléchargement. Vous pouvez aussi la faire apparaître dans une boîte de dialogue à la première visite de l’usager.

Peu importe la plateforme, la politique de confidentialité doit être accessible de manière visible, c’est-à-dire que les utilisateurs ne devraient pas avoir à la chercher.

La politique de confidentialité est un outil universel qui va de pair avec le consentement parental pour la collecte de données personnelles. Une entreprise doit s’assurer que le consentement de l’usager repose sur de l’information exhaustive et compréhensible. Tous les pays exigent que les entreprises affichent une politique de confidentialité, mais les États-Unis imposent des exigences plus strictes sur son contenu.

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale pour la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis.

La COPPA exige que votre politique de confidentialité soit claire et facile à lire. Elle doit se retrouver sur la page d’accueil et dans chaque section où s’effectue une collecte de données personnelles. Les liens vers votre politique de confidentialité doivent être clairs et apparents (un lien en petits caractères dans le bas d’une page n’est pas considéré comme « apparent »). Vous ne pouvez pas y inclure de matériel promotionnel.

Le contenu de la politique de confidentialité COPPA se sépare en trois grandes sections :

• Liste des coordonnées des tierces parties qui collectent des données personnelles à partir de la plateforme;
• Description des données personnelles que vous collectez et pour quels usages;
• Description des droits parentaux et des procédures pour exercer ces droits.

Pour tous les détails à inclure dans une politique de confidentialité COPPA, veuillez consulter la section « Nos recommandations ».

Informations complémentaires:

Federal Trade Commission : COPPA Rule : A Six-Step Compliance Plan for Your Business

iubenda : Service pour générer une politique de confidentialité compatible avec la COPPA

CANADA, UNION EUROPÉENNE, FRANCE & AUSTRALIE

Tous les pays exigent une politique de confidentialité claire et compréhensible décrivant les pratiques en lien avec les données personnelles.

Pour des informations complémentaires sur chaque pays :

Canada : Loi sur la protection des renseignements personnels et les documents électroniques

Commissariat à la protection de la vie privée au Canada, Programme de gestion de la protection de la vie privée : la clé de la responsabilité

Commissariat à la protection de la vie privée au Canada, Mobile – Développer des applis mobiles dans le respect du droit à la vie privée

France : Loi informatique et libertés

Commission nationale de l’informatique et des libertés, Vos obligations

Union européenne : Directive vie privée et communications électroniques

Manuel de droit européen en matière de protection des données

Australie : Privacy Act

Office of the Australian Information Commissioner : Privacy law reform

App Store d’Apple

Apple exige que les applications de la catégorie « Kids » aient une politique de confidentialité qui respecte les différents cadres règlementaires locaux.

Informations complémentaires sur l’App Store d’Apple

Appstore d’Amazon

Si vous, et/ou une tierce partie intégrée à votre application, collectez des données personnelles, vous devez fournir une politique de confidentialité adéquate.

Informations complémentaires sur l’Appstore d’Amazon : FAQ

Google Play

Google vous demande de publier une déclaration indiquant à l’utilisateur les données auxquelles votre application doit accéder et comment celles-ci sont exploitées.

Assurez-vous que l’utilisateur en ait connaissance : veillez à ce qu’elle soit à un emplacement visible. Affichez-la dans le Contrat de Licence Utilisateur Final (CLUF) pour que l’utilisateur donne son accord avant de lancer l’application pour la première fois. Elle doit être claire, succincte et affichée dans une boîte de dialogue modale qui invite l’utilisateur à accepter les conditions avant d’utiliser l’application.

Informations complémentaires sur Google Play

• La politique de confidentialité est un document juridique : obtenez une consultation avec un professionnel pour vous assurer qu’elle couvre adéquatement votre plateforme;

• La politique de confidentialité doit couvrir les points suivants :
• Les coordonnées pour contacter votre entreprise;
• Quelles données sont collectées et par quelles méthodes (ex. données de l’enfant, collectées par cookie);
• La raison pour laquelle les données sont recueillies;
• À quelles fins elles seront utilisées (ex. informer les gagnants d’un concours);
• Comment les données sont-elles protégées;
• Pendant combien de temps sont-elles conservées;
• Pratiques auxquelles l’usager peut se soustraire (ex. publicité ciblée)
• Dans le cas où les données sont partagées avec des tierces parties :
  • Les types d’entreprises dont il s’agit (ex. service d’analytique);
  • Leurs usages des données.

• *Si vous faites une politique COPPA, vous devez également inclure :
• Liste complète des tierces parties qui collectent des données personnelles à partir de votre plateforme avec coordonnées (adresse, téléphone et courriel);
• Description des droits parentaux et des procédures pour les exercer. Ces droits stipulent que :
• Vous n’exigerez pas de l’enfant qu’il fournisse plus de données qu’il est raisonnablement nécessaire pour avoir le droit de participer à une activité;
• Il peut consulter les données collectées de son enfant, demander à ce qu’elles soient effacées et refuser la collecte future;
• Il peut accepter la collecte et l’usage des données de son enfant tout en refusant le partage des données avec une tierce partie.

• Trouvez des moyens pour inciter l’usager à consulter votre politique, par exemple utilisez des illustrations qui permettent de rapidement comprendre l’essentiel des paramètres de confidentialité avec un lien vers l’explication détaillée;

• Même si vous ne collectez aucune information personnelle, vous devriez tout de même avoir une politique de confidentialité;

• Assurez-vous que votre politique de confidentialité soit facilement accessible à partir de la page ou de l’écran d’accueil;

• Sans en faire un document lourd et surchargé, la politique de confidentialité est l’outil pour consigner toute autre précision utile relative aux données de l’usager :
  • Même si elles ne sont pas des données personnelles, vous pouvez inclure de l’information sur vos usages des métadonnées;
  • Indiquez si votre plateforme permet à l’enfant de rendre accessibles au public des informations, spécialement important pour les sites avec des fonctions de partage : babillard, forum, chat, zone à remplir (ex. décris ton personnage);
  • Expliquez à l’usager la procédure pour avoir accès aux données personnelles que vous détenez à son sujet.

• Procédez à des vérifications périodiques de vos pratiques de gestion des données personnelles pour vous assurer qu’elles sont toujours conformes à ce qui est décrit dans la politique de confidentialité;

• Faites des mises à jour au besoin : la transparence des pratiques des données personnelles est un processus dynamique qui ne s’arrête pas une fois la politique de confidentialité affichée;

• Affichez à la fin de la politique de confidentialité la date de la plus récente mise à jour;

• Si vous faites des mises à jour à votre politique de confidentialité, trouvez un moyen pour en aviser les usagers;

***MOBILE***

• Pour faciliter la lecture sur un petit écran, organisez l’information en couches : placez les détails importants au premier plan dans votre politique et insérez des liens menant aux détails de vos règles de confidentialité.

1.1 Qu’est-ce que le consentement?

Le consentement consiste à donner son accord. Sur le plan légal, pour qu’un consentement soit valable, il doit être le fruit d’une décision éclairée, c’est à-dire que la personne comprendre pleinement ce à quoi elle consent. La capacité d’un enfant à fournir un consentement valable dépend grandement de sa maturité. Il est parfois irréaliste de s’attendre à ce qu’un enfant comprenne la complexité et les enjeux associés à certaines pratiques en ligne. Ainsi, dans certains cas il peut être préférable de passer par le parent pour obtenir un consentement valable.

1.2 Les types de consentement et les différentes méthodes d’obtention

Il existe deux grands types de consentement :

• Explicite (exprès): La décision reflète la compréhension de ce en quoi elle consent et la personne pose un geste concret pour signaler son consentement (ex. signature électronique). C’est un consentement définitif.
• Implicite (tacite) : Lorsqu’on peut raisonnablement déduire des circonstances d’une relation, transaction ou situation donnée. Par exemple, le consentement est déduit basé sur une relation d’affaires existante avec l’utilisateur.

Les méthodes d’obtention du consentement vont varier selon la nature de la situation :

• Actif (opt-in) : Résulte d’une action concrète de la part de la personne (ex. « Si vous êtes d’accord pour que votre enfant participe à notre concours, cochez cette case. »)
• Négatif ou passif (opt-out): l’utilisateur doit poser un geste pour informer qu’il ne donne pas son consentement (ex. Votre enfant aimerait participer à notre concours. Si vous ne consentez pas à sa participation, cochez cette case. »)

1.3 Qu’est-ce que le « consentement parental »?

Le consentement parental est l’autorisation donnée par les parents au producteur pour permettre à l’enfant de participer à certaines activités.

Quand est-il nécessaire? Selon le pays où votre produit est disponible, la loi l’exige rarement, mais elle encourage souvent les producteurs de l’univers en ligne à demander le consentement parental pour tout ce qui implique une collecte de données personnelles.

1.4 Qu’est-ce que le consentement parental « vérifiable »?

L’objectif du consentement parental vérifiable est que le producteur prenne des mesures raisonnables pour s’assurer que c’est bel et bien le parent de l’enfant qui consent. Par exemple, en demandant aux parents d’appeler un numéro opéré par du personnel qualifié.

1.5 Qu’est-ce que « l’avis direct » aux parents?

L’avis direct signifie que le producteur entre en contact avec le parent, le plus souvent par une adresse courriel fournie par l’enfant. On utilise l’avis direct pour différentes raisons, généralement pour aller chercher le consentement parental ou pour informer les parents de changements des pratiques auxquelles ils auraient déjà consenti.

1.6 Le droit de retrait

Le parent a le droit de retirer son consentement. Le retrait empêche la collecte et l’utilisation future et, dans certains cas, permet la suppression des données personnelles détenues par la compagnie.

Dans l’environnement en ligne, la notion de consentement est la plus souvent liée aux pratiques de gestion des données personnelles et tout ce qui touche les transactions en ligne. À cette fin, consultez la fiche Collecte de données personnelles et Module transactionnel pour plus d’informations sur le cadre réglementaire.Avec la COPPA, les États-Unis sont le seul pays parmi ceux inclus dans les présentes fiches qui possède une loi basée sur le consentement parental vérifiable pour la collecte de données personnelles chez les moins de 13 ans.

États-Unis

Children’s Online Privacy Protection Act (COPPA)

La COPPA est une loi fédérale qui protège la confidentialité des usagers de moins de 13 ans. Basée sur le consentement parental vérifiable, elle a pour objectif de permettre aux parents de superviser et d’intervenir dans la collecte d’informations personnelles en ligne auprès de leur enfant. Elle s’applique aux produits qui colligent des informations personnelles de citoyens américains de moins de 13 ans, et ce, même si la compagnie n’est pas située aux États-Unis.Avant de commencer la collecte, vous devez envoyer un avis direct aux parents leur indiquant que :

1. Vous les contactez dans le but d’obtenir leur consentement;
2. Vous voulez collecter des informations personnelles sur leur enfant;
3. Leur consentement est requis pour la collecte, l’usage et le partage de ces informations;
4. Le détail des informations que vous souhaitez collecter et comment elles seront partagées;
5. Un lien vers votre politique de confidentialité;
6. Comment peuvent-ils donner leur consentement;
7. Le délai après lequel, en l’absence d’une réponse de leur part, leurs informations de contact en ligne seront effacées de votre registre.

Puisque les enfants sont capables assez tôt de contourner les dispositifs classiques de consentement parental, la loi demande aux producteurs de prendre des « moyens raisonnables » pour s’assurer qu’ils s’adressent bel et bien aux parents. La COPPA accepte plusieurs méthodes de consentement parental vérifiable, par exemple faire remplir un formulaire papier à retourner aux parents.

En cas de changements dans les pratiques de gestion des données personnelles auxquelles le parent a déjà consenti, vous devez prévenir le parent par avis direct et obtenir à nouveau son consentement vérifiable.

Pour plus de détails sur le consentement parental vérifiable et l’avis direct sous la COPPA

Les magasins d’applications intègrent des dispositifs de consentement parental, mais ils se dégagent de toutes responsabilités vis-à-vis de la conformité avec les différentes politiques de confidentialité. Ceci veut dire que le producteur doit s’assurer d’être en règle avec les cadres règlementaires où son produit est disponible.

• Le consentement parental et l’avis direct sont de bons outils pour bâtir et entretenir une relation de confiance avec le parent. Allez chercher le consentement parental pour :
  • La collecte de données personnelles de l’enfant
  • La participation à un concours
  • Les applications sociales qui permettent des échanges entre les usagers

• Le parent doit donner son consentement explicite pour toutes transactions effectuées avec sa carte de crédit en ligne;

• Utilisez l’avis direct pour garder contact avec le parent et l’informer en cas de modifications dans vos pratiques;

• Une façon efficace d’obtenir le consentement parental est par le biais d’un courriel. Avant que l’enfant puisse accéder à votre service, demandez-lui de fournir l’adresse courriel de ses parents. Vous leur envoyez ensuite un courriel qui présente de manière claire et concise les informations nécessaires pour donner un consentement éclairé avec un lien vers votre politique de confidentialité. Pour un concours par exemple, donnez les règles de participation et autres conditions. En répondant au courriel, le parent donne ou refuse son consentement. C’est ce qui déterminera si l’enfant peut participer à votre service;

• Consentement parental pour la collecte de données personnelles et politique de confidentialité vont de pair : dans votre politique, présentez de manière claire et concise toutes les informations pertinentes pour aider le parent à donner un consentement éclairé;

• L’avis direct aux parents doit être concis et facile à lire : évitez le jargon légal et les informations inutiles;

• Gardez à l’esprit que les parents ont le droit de retirer leur consentement : indiquez vos procédures pour assurer le droit de retrait dans la politique de confidentialité;

• *États-Unis* : Si votre produit est utilisé par des usagers américains de moins de 13 ans et que vous faites la collecte de données personnelles, la COPPA exige l’implantation d’un dispositif de consentement parental vérifiable. Si possible, intégrez ce mécanisme pendant le processus de développement du produit puisque cela sera plus simple que d’essayer de l’implanter une fois le produit fini;

• *États-Unis* : Pour vous conformer au consentement parental vérifiable, vous pouvez aller chercher l’aide d’un programme d’accréditation COPPA approuvé par la Federal Trade Commission (FTC) : 1. iKeepSafe , 2. Privo 

• Si vous distribuez votre contenu sur un marché d’applications mobiles et utilisez leur dispositif de consentement parental, assurez-vous d’être au fait des réglementations locales.

1.1 Qu’est-ce qu’une information personnelle?
Toute information concernant l’identité d’un individu, c’est-à-dire lorsqu’il y est possible que l’individu soit identifié par l’utilisation de ces données, seules ou en combinaison avec des renseignements d’autres sources* :

• Nom et prénom
• Adresse physique, incluant nom de la rue, du quartier ou de la ville
• Coordonnées en ligne (adresse courriel, identifiant de messagerie instantanée, etc.)
• Numéro de téléphone
• Lieu et date de naissance
• Numéro d’assurance sociale
• Documents audio, vidéo ou photographie contenant l’image ou la voix
• Information sur l’emplacement, y compris les données GPS
• Identifiants persistants, comme les adresses IP et MAC, numéro de client d’un cookie (fichier témoin), identifiant unique d’appareil pour les téléphones et tablettes, etc.
• Données sur le parcours, l’historique de navigation, les signets
• Données des réseaux sociaux créées par l’utilisateur, comme les commentaires, les évaluations, les « J’aime », le flux Twitter, les interactions avec les services à la clientèle.

On peut séparer les informations sur l’individu en deux types d’identifiants :

• Direct : nom et prénom, numéro d’assurance sociale, photo ou vidéo, etc.
• Indirect : date et le lieu de naissance, nom de jeune fille de leur mère, le nom de l’école, le nom de la commission scolaire, le nom du professeur, etc.

*Attention aux risques d’identification de données anonymes : la combinaison de bribes d’information provenant de plusieurs sources peut mener à la création de profils détaillés permettant d’identifier un individu.

1.2 Qu’est-ce qu’une métadonnée?

C’est une information qui donne du sens et du contexte à une autre donnée. Ce sont souvent des statistiques d’usage en lien avec votre produit, comme le nombre d’essais nécessaires pour que les usagers réussissent une quête.

Les métadata anonymisées, c’est-à-dire dépouillées d’identifiants directs et indirects, ne sont pas considérées comme des données personnelles. Par exemple, vous pourriez utiliser et analyser la ville des participants à un concours pourvu que vous la dissociiez de ses identifiants directs et indirects. L’utilisation des métadonnées anonymisées ne requiert pas de consentement.

1.3 Qu’est-ce qu’on entend par la collecte d’informations personnelles?

Fait référence à l’ensemble des pratiques entourant la gestion des données personnelles des usagers. On parle donc de la collecte elle-même, mais également des usages, du stockage et du partage et/ou de la vente de données avec un tiers.

Parmi le Canada, les États-Unis, l’Union européenne (UE), la France et l’Australie, seuls les États-Unis sont dotés d’une loi spécifique pour encadrer la collecte d’informations personnelles chez les moins de 13 ans.Le Canada, l’UE, la France et l’Australie traitent chacun la question des données personnelles sous une loi de portée générale couvrant l’ensemble de la population. Chaque loi s’applique aux compagnies qui font affaire sur leur territoire.

CANADA

La Loi sur la protection des renseignements personnels numériques

Loi fédérale définissant les règles applicables aux pratiques entourant la gestion des données personnelles par les organisations du secteur privé. Une entreprise doit obtenir le consentement valable pour recueillir, utiliser ou partager des renseignements personnels. De plus, elles doivent aviser les personnes touchées par la perte ou le vol de renseignements personnels, leur indiquer s’il y a un risque de préjudice, par exemple un vol d’identité et les informer des mesures à prendre pour se protéger. De plus, l’entreprise devra rapporter l’incident auprès du Commissariat à la protection de la vie privée du Canada.

Les entreprises doivent communiquer dans un langage clair et simple pour faire en sorte que les Canadiens vulnérables, et particulièrement les enfants, comprennent pleinement les répercussions que peut avoir la communication de leurs renseignements personnels en ligne.

Attention! Elle ne s’applique pas aux entreprises qui exercent leurs activités exclusivement à l’intérieur d’une province ayant une loi provinciale essentiellement similaire :

• Alberta 
• Colombie-Britannique
• Québec

Informations complémentaires:

Commissariat à la protection de la vie privée du Canada : Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations

Une occasion à saisir : Développer les applis mobiles dans le respect du droit à la vie privée

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale qui impose de hauts standards pour la protection des données personnelles des enfants collectées en ligne. Son objectif est de permettre aux parents de superviser les pratiques entourant la gestion des données personnelles de leur enfant de moins de 13 ans.

Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis et les produits destinés au grand public qui comptent des Américains de moins de 13 ans parmi leurs usagers (c.-à-d. couvre plus large que les produits jeunesse)

• Si vous êtes conscient de recueillir des données personnelles d’usagers américains de moins de 13 ans, vous devez envoyer un avis direct aux parents et obtenir leur consentement parental vérifiable avant de commencer la collecte;

• Si vous modifiez les pratiques auxquelles le parent a consenti, vous devez informer le parent dans un avis direct  et lui demander à nouveau son consentement parental vérifiable avant de poursuivre la collecte;

• À la demande d’un parent, vous devez être en mesure de lui fournir :
  • La description des données personnelles collectées de l’enfant, une explication claire des usages, des pratiques de stockage et de partage;
  • L’opportunité à tout moment de révoquer son consentement, d’arrêter l’usage et la collecte future et de supprimer les données stockées.

Informations complémentaires:

Federal Trade Commission (FTC) : COPPA Rule : A Six-Step Compliance Plan for Your Business,

FTC : Complying with COPPA : Frequently Asked Questions

FRANCE

Loi informatique et libertés

Définit les principes à respecter pour les entreprises lors de la collecte, du traitement et de la conservation des données personnelles. Elle touche les entreprises qui exercent leurs activités commerciales en France ou qui font faire du traitement de données en territoire français.

Avant de colliger des données personnelles en ligne, vous devez faire une déclaration pour les traitements auprès de la Commission nationale de l’informatique et des libertés (CNIL). Elle doit être validée par l’attribution d’un numéro d’enregistrement à indiquer sur votre site web avec l’adresse de contact du service qui va gérer les données.

La loi informatique et libertés n’autorise pas la collecte par un moyen détourné. Par exemple, les cookies (fichiers témoins) peuvent être implantés seulement avec l’accord préalable de l’usager (opt-in).

Informations complémentaires :

Commission nationale de l’informatique et des libertés

UNION EUROPÉENNE

Directive sur la protection des données personnelles

Directive vie privée et communications électroniques

Ces directives encadrent la protection de la vie privée pour les citoyens de l’UE et touchent les entreprises qui exercent leurs activités commerciales dans un des pays membres de l’UE.

Safe Harbor (Sphère de sécurité) : Il s’agit d’un accord entre les États-Unis et l’UE obligeant les entreprises américaines à se conformer aux principes européens de confidentialité lorsqu’elles traitent des données européennes. Elle ne s’applique pas aux compagnies canadiennes puisque l’UE juge que le cadre légal canadien de la protection des données personnelles est compatible avec le sien.

Informations complémentaires:

Manuel de droit européen en matière de protection des données

AUSTRALIE

Privacy Act

Loi fédérale de portée générale sur la protection des informations personnelles touchant les entreprises exerçant des activités commerciales à l’intérieur de l’Australie. Elle dicte qu’une compagnie doit avoir une politique de confidentialité facilement accessible qui explique les pratiques de partage de données à l’extérieur de l’Australie.

Informations complémentaires :

Office of the Australian Information Commissioner: Privacy law reform

App Store d’Apple

La boutique d’applications a une section « Kids » qui offre des applications au public jeunesse. Les développeurs qui veulent distribuer leur application dans la section Kids doivent se conformer à des règles particulières, entre autres :

• Prévoir un mécanisme qui demande à l’usager de donner sa date de naissance pour respecter la COPPA;

• Obtenir le consentement parental ou utiliser une barrière parentale avant de laisser l’enfant suivre des liens le faisant sortir de l’application et/ou le dirigeant vers des transactions commerciales.

Informations complémentaires sur l’App Store d’Apple

Appstore d’Amazon

Amazon classifie les applications de l’Appstore selon un nombre de paramètres afin de définir l’âge approprié pour chaque application. Des critères protègent la confidentialité des enfants, par exemple les applications « Tous âges » ne peuvent pas faire la collecte de données personnelles ou utiliser les données de localisation.

Les applications pour les moins de 13 ans ne peuvent pas intégrer le réseau publicitaire « Amazon Mobile » parce qu’il est basé sur la publicité ciblée qui est interdite par la COPPA.

Informations complémentaires sur l’Appstore d’Amazon :

FAQ

App Distribution and Service Agreement

Google Play

Google Play a un système de classification des applications basé sur le contenu. Certaines règles protègent la confidentialité des enfants, par exemple une application permettant la localisation de l’usager ne peut pas être dans le niveau « Tous ». Ces instructions s’appliquent à l’ensemble du contenu de l’application, y compris le contenu généré par les utilisateurs et la publicité intégrée.

• Informations complémentaires sur Google Play
• Google Play Developer Program Policies
• Developer Distribution Agreement

Cette fiche s’en remet à la règlementation : la collecte de données personnelles est une sphère bien couverte par la loi.

• Favorisez une approche transparente : affichez une politique de confidentialité, même si vous ne faites pas la collecte d’informations personnelles;

• N’exigez pas plus de renseignements personnels qu’il est nécessaire pour participer à une activité. Par exemple, si possible, donnez l’option à l’enfant de ne pas s’identifier et/ou d’utiliser un pseudonyme;

• Affichez votre Politique de confidentialité de manière à ce qu’elle soit visible et facilement accessible : utilisez une grande taille de police et/ou utilisez une couleur contrastante;

• Votre Politique de confidentialité doit être à jour et expliquer de manière claire et concise les pratiques liées à la collecte et la gestion des informations personnelles. Évitez le jargon légal et les informations superflues;

• À l’intérieur de votre Politique de confidentialité , fournissez le nom des tierces parties qui collectent des informations personnelles à partir de votre produit;

• Faites une vérification périodique des pratiques de gestion de données personnelles des fournisseurs de service et des tierces parties avec qui vous partagez des informations;

• Vous n’êtes pas tenu d’obtenir le consentement parental pour l’usage de métadonnées anonymisées. On vous recommande toutefois d’expliquer cette pratique de manière transparente dans votre Politique de confidentialité;

• Obtenez le Consentement parental avant d’entamer la collecte. Fournissez aux parents un lien vers votre Politique de confidentialité  pour les aider à consentir de manière éclairée;

• Utilisez les données personnelles uniquement aux fins pour lesquelles le parent a donné son consentement;

• Évitez de collecter des données de localisation précise de l’enfant. Si elles sont nécessaires au fonctionnement de votre produit, expliquez aux parents pour quoi et à quelles fins elles seront utilisées et assurez-vous d’obtenir le consentement parental vérifiable;

• Aidez l’enfant à comprendre ce qui advient de ses données personnelles, par exemple, si le produit est sur le point d’utiliser ses données de localisation, activez un symbole pour attirer son attention sur ce qui se passe;

• Vous devez être en mesure de donner aux parents qui en font la demande l’accès aux informations personnelles que vous détenez sur leur enfant. Indiquez cette procédure dans votre politique de confidentialité;

• En cas de changement dans vos pratiques de gestion des données personnelles, avisez les parents;

• Établissez des procédures pour protéger la confidentialité, la sécurité et l’intégrité des données personnelles que vous stockez. En cas d’atteinte aux données, avisez les parents en expliquant votre démarche pour remédier à la situation;

• Supprimez les données dont vous n’avez plus besoin;

• *États-Unis* : La COPPA requiert l’implantation de dispositifs comme le consentement parental vérifiable. Il existe des programmes d’accréditation approuvés par la FTC pour vous aider à vous y conformer.
  • iKeepSafe
  • Privo

MOBILE

• Informez les utilisateurs des données auxquelles accèdera l’application et expliquez pourquoi;

• Ayez un avis simple et clair qui explique comment les données personnelles seront utilisées;

• Obtenez le consentement de l’usager au premier lancement de l’application : présentez l’avis dans une boîte de dialogue qui invite l’utilisateur à accepter les conditions avant d’utiliser l’application

1. NON : Les infos sont cachées dans les conditions générales d’utilisation (EULA : End-User Licence Agreement). L’usager doit faire défiler le contrat pour le trouver.

2. OUI : Cette approche présente les informations de manière transparente, claire et évidente. L’utilisateur n’a pas besoin de les chercher.

• Assurez-vous que les informations sur la collecte de données personnelles sont toujours disponibles dans la politique de confidentialité et/ou accessibles rapidement par un lien sur la fenêtre d’accueil ou dans la section réservée aux parents;

• C’est votre obligation et responsabilité de comprendre les droits des usagers et de vous conformer aux lois locales spécifiques où votre produit est rendu disponible par un magasin d’applications.

3. NON : Cette approche explique comment l’application utilise les informations, mais n’indique pas clairement la manière dont elle les utilise et les raisons pour lesquelles elle les collecte.
4. OUI : En plus de divulguer clairement pourquoi l’application doit accéder aux données personnelles, elle précise comment elle s’en sert et à quelles fins.

**Images tirées du Centre d’aide Android Developer