Sécurité numérique des enfants : la Commission européenne publie les lignes directrices dans le cadre du DSA

Sécurité numérique des enfants : la Commission européenne publie les lignes directrices dans le cadre du DSA

Ce qu’il faut retenir

Les lignes directrices de la Commission européenne en application du DSA fixent un cadre inédit pour la protection des mineurs en ligne, en imposant aux plateformes numériques des obligations étendues telles que l’assurance de l’âge, la sécurité dès la conception, des règles de modération renforcées et une gouvernance responsable.


Le 14 juillet 2025, la Commission européenne a publié des lignes directrices prises en application de l’article 28 du règlement sur les services numériques (ou Digital Services Act - DSA) dont l’objet est de renforcer la protection des mineurs dans l’environnement numérique. (1) Ces lignes directrices constituent une étape majeure dans la politique de l’UE, complétant la stratégie “Better Internet for Kids” (2), et visent à concrétiser un niveau élevé de protection de la vie privée pour les enfants en ligne.

Bien que juridiquement non contraignantes, ces lignes directrices établissent un socle de référence destiné à orienter les autorités de régulation, à servir de base pour l’application du DSA et à devenir, de facto, la norme de conformité dans l’ensemble de l’UE. 

Après avoir rappelé l’objectif poursuivi par ces lignes directrices, nous précisons quels sont les organismes concernés par leur application et faisons la synthèse des principales recommandations.


1. L’objectif des lignes directrices sur la protection des mineurs en ligne

L’objectif principal des lignes directrices est de fournir aux plateformes en ligne un cadre structuré pour se conformer à l’article 28 du Digital Services Act (DSA), qui leur impose de mettre en œuvre des mesures proportionnées et appropriées pour garantir “un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service”. Les lignes directrices permettent de concrétiser cette obligation à travers une série de règles pratiques pour les fournisseurs de services.

Plus précisément, les lignes directrices visent à clarifier les obligations prévues par le DSA, et notamment la notion de “niveau élevé de protection de la vie privée, de sûreté et de sécurité”, réduisant ainsi l’incertitude pour les plateformes et les régulateurs. Elles ont pour but de constituer un document de référence pour les coordinateurs des services numériques et les autorités nationales lors de l’évaluation de la conformité des plateformes accessibles aux mineurs.

Les lignes directrices reposent sur une méthodologie fondée sur les risques. Elles intégrent la protection de la vie privée des enfants dès la conception des services numériques afin que ceux-ci soient adaptés aux tranches d’âge des mineurs.

En poursuivant ces objectifs, la Commission cherche non seulement à atténuer les risques immédiats liés à l’environnement numérique, mais aussi à renforcer la confiance à long terme dans les services en ligne et à promouvoir un écosystème plus sûr pour les enfants. Bien que volontaires, les lignes directrices visent à établir un standard de référence en matière de protection des mineurs en ligne.


2. À qui s’appliquent les lignes directrices

Les lignes directrices s’appliquent à toutes les plateformes en ligne, telles que définies à l’article 3(i) du DSA, qui sont accessibles aux mineurs. Des exemptions existent toutefois pour les micro et petites entreprises, conformément à l’article 19 du DSA,

La notion d’accessibilité est interprétée largement : une plateforme est considérée comme accessible aux mineurs si ses conditions générales (CGV / CGU) permettent aux mineurs d’utiliser le service, si elle est destinée à un public de mineurs ou majoritairement utilisée par eux, ou encore si le fournisseur est conscient que certains utilisateurs sont mineurs. 

On notera qu’un fournisseur ne peut pas se soustraire à ces obligations en se contentant d’interdire l’accès aux mineurs dans ses conditions d’utilisation ; des restrictions d’accès effectives doivent être mises en œuvre pour étayer une telle affirmation.

En clarifiant le champ d’application de l’article 28 du DSA, les lignes directrices garantissent que les obligations de protection des mineurs s’étendent à l’ensemble de l’écosystème numérique, visant à la fois les services grand public et les services de niche susceptibles d’être utilisés par des mineurs. Les lignes directrices couvrent donc un large éventail de plateformes, notamment :

    - Les plateformes de réseaux sociaux, les services de partage de vidéos et les communautés en ligne où les mineurs peuvent partager du contenu et interagir ;

    - Les app stores et places de marché en ligne proposant des biens et services numériques ;

    - Les plateformes de jeux et de streaming intégrant des fonctionnalités interactives ou commerciales, attractives pour les mineurs ;

    - Les services numériques intégrant de l’IA, tels que les chatbots et les métavers, où l’exposition des mineurs aux risques peut être accrue.

Bien que la mise en oeuvre des lignes directrices ne soit pas obligatoire, en pratique, elles constituent un outil d’interprétation et de supervision pour les coordinateurs des services numériques (en France, l’ARCOM) et le Comité européen des services numériques, afin de les guider dans leurs activités de supervision et de contrôle.


3. Les principales recommandations des lignes directrices

    3.1 L’assurance de l’âge

Les plateformes doivent adopter des mécanismes d’assurance de l’âge robustes, précis et proportionnés afin d’empêcher l’exposition des mineurs à des contenus préjudiciables ou inadaptés à leur âge, tels que la pornographie, les jeux d’argent ou certains services addictifs. 

Les lignes directrices distinguent entre l’estimation de l’âge (évaluation approximative) et la vérification de l’âge (contrôle sur des pièces d’identité ou les portefeuilles d’identité numérique européens). L’auto-déclaration est, par principe, écartée comme étant insuffisante. 

Les fournisseurs doivent réaliser en amont une analyse de proportionnalité et de nécessité, garantir la conformité au RGPD et en publier les résultats. 

    3.2 Inscription et paramètres de compte

La procédure d’inscription est la première étape permettant d’intégrer des paramètres de protection renforcés. A ce titre, il est demandé aux plateformes de :

    - Utiliser un langage adapté, compréhensible par les enfants, et accessible pour expliquer les risques et bénéfices de l’inscription et leur permettre de supprimer facilement leurs comptes ;

    - Décourager les inscriptions de mineurs en dessous de l’âge légal et obtenir le consentement parental lorsque la loi l’exige ;

    - Configurer les comptes des mineurs en mode “privé” par défaut afin que leurs informations personnelles, leurs données et contenus sur les réseaux sociaux ne soient visibles que par leurs contacts approuvés ;

    - Empêcher tout procédé incitant les mineurs à réduire le niveau de protection ;

    - Restreindre ou désactiver par défaut les fonctionnalités favorisant un usage excessif du service, telles que la lecture automatique, les notifications “push” durant les périodes de repos, les “streaks” (séries d’usage continu) et les filtres algorithmiques pouvant affecter l’image corporelle.

    3.3 La conception des interfaces

Les interfaces doivent être adaptées à l’âge du mineur, accessibles (y compris pour les mineurs en situation de handicap) et fournir des outils de gestion du temps (par exemple, rappels, tableaux de bord d’utilisation). 

Les plateformes doivent éviter les “dark patterns” tels que le défilement infini, les signaux d’urgence ou les boucles de récompenses persuasives.

Les fonctionnalités basées sur l’IA, telles que les chatbots, ne doivent pas être activées par défaut, doivent comporter des avertissements clairs et adaptés aux enfants, et respecter les exigences de transparence tout au long des interactions.

    3.4 Les pratiques commerciales

La vulnérabilité des mineurs face aux pratiques commerciales manipulatrices, trompeuses ou agressives constitue une préoccupation majeure. Afin de limiter l’exposition des mineurs à des pratiques commerciales manipulatrices, les plateformes doivent :

    - Interdire la publicité fondée sur le profilage des mineurs, conformément à l’article 28.2 du DSA, dès lors que la plateforme a connaissance “avec une certitude raisonnable” que le destinataire du service est un mineur ;

    - Garantir la transparence et l’identification des contenus de nature commerciale ;

    - Empêcher l’exposition des mineurs à des produits ou services préjudiciables aux mineurs, tels que les jeux d’argent, les produits amaigrissants ou les services pour adultes ;

    - Éviter les pratiques de monétisation trompeuses, notamment les boîtes à butin (“loot boxes”), les monnaies virtuelles ou les modèles de type “pay-to-win” ;

    - Afficher les prix dans la devise nationale et mettre en place des mécanismes de contrôle parental pour l’approbation ou la limitation des dépenses.

Ces règles viennent compléter la directive du 11 mai 2005 sur les pratiques commerciales déloyales et la réglementation sur la protection des consommateurs.

    3.5 Les outils de modération et de signalement

Les lignes directrices prévoient des conditions de modération renforcées spécifiques aux mineurs pour réduire le risque d’exposition aux contenus et comportements préjudiciables. A ce titre, les plateformes doivent :

    - Définir les comportements préjudiciables ou illégaux en des termes clairs, compréhensibles pour les mineurs ; 

    - Mettre en œuvre un service de modération, disponible 24h/24 et 7j/7, combinant détection automatisée et supervision humaine ;

    - Mettre en place des mesures de protection concernant les contenus générés par l’IA et les systèmes de recommandation ;

    - Fournir des outils de signalement visibles, accessibles et adaptés aux enfants ;

    - Mettre en place des options de retour utilisateur (du type “montrer moins” ou “cela me met mal à l’aise”) influençant directement les systèmes de recommandation afin de donner aux enfants les moyens de mieux contrôler les flux ;

    - Proposer des ressources spécifiques d’aide accessibles ;

    - Garantir que les mineurs puissent bloquer ou désactiver des utilisateurs, contrôler les commentaires et donner leur accord explicite pour participer à des groupes.

Les outils de contrôle parental doivent compléter (et non remplacer) ces mesures de protection.

    3.6 La gouvernance et le suivi

Désormais, le principe de protection des mineurs devra être intégré dans la gouvernance d’entreprise des éditeurs de plateformes numériques. Ainsi, les plateformes devraient :

    - Nommer des responsables dédiés à la sécurité numérique des enfants et former leur personnel aux droits et aux risques spécifiques aux mineurs ;

    - Réaliser des évaluations régulières des risques (de type analyse d’impact), incluant une évaluation annuelle de l’impact sur les droits de l’enfant et associer les mineurs, leurs tuteurs et des experts aux processus d’évaluation des risques ;

    - Suivre et adapter les mesures de protection en fonction de l’évolution des risques, des changements technologiques et des retours des parties prenantes.

Et d’une manière générale, respecter les obligations de transparence en rédigeant des conditions générales claires, compréhensibles et adaptées aux enfants.


       Les lignes directrices de la Commission sur la protection des mineurs au titre de l’article 28 du DSA constituent un cadre global visant à intégrer les droits de l’enfant dans l’architecture des services numériques. En combinant des évaluations fondées sur les risques, les principes de protection de la vie privée et de sécurité dès la conception, ainsi que des standards de services adaptés à l’âge, elles offrent à la fois une feuille de route pour la conformité et une vision prospective de la protection des enfants en ligne.

Bien que non contraignantes, ces mesures devraient constituer le standard de référence pour les coordinateurs des services numériques et les autorités nationales en matière d’application. 

La Commission européenne a prévu de revoir ces lignes directrices dans un délai de 12 mois et de les adapter si nécessaire, compte tenu des retours d’expérience et de l’évolution des technologies.


Vous exploitez une plateforme en ligne : le Cabinet se tient à votre disposition pour vous accompagner dans la mise en conformité de votre plateforme.

* * * * * * * * * * *


(1) Guidelines on measures to ensure a high level of privacy, safety and security for minors online, pursuant to Article 28(4) of Regulation (EU) 2022/2065 

(2) La stratégie “Better Internet for Kids” (BIK+) est une initiative mise en oeuvre par la Commission européenne en mai 2022. L’objet de la stratégie Better Internet for Kids est d’améliorer l’environnement numérique pour s’assurer que les enfants aient accès à des services en ligne sûrs et adaptés à leur âge.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2025 


Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (6) adwords (3) ai (25) anssi (3) arcep (3) arcom (15) audiovisuel (3) audit (1) base de données (3) bitcoin (1) blockchain (6) cbpr (4) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (17) commerce (4) communication (8) compliance (32) confidentialité (3) conformité (19) consommateurs (3) contrat (8) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (17) données personnelles (31) dpf (2) droit d'auteur (11) dsa (8) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (5) eu (17) europe (16) formation (1) fraude (2) gdpr (27) google (4) hébergeur (5) ia (17) ico (1) informatique (11) informatique et libertés (4) intelligence artificielle (16) internet (32) jeu vidéo (3) liberté d'expression (3) logiciel (11) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (10) originalité (5) privacy shield (2) propriété intellectuelle (13) protection des données (10) publicité (6) référencement (4) réglementation (12) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (11) rgpd (21) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (7) site web (3) us (3) vie privée (21)