Politique de protection des données des enfants

La politique de protection des données des enfants définit les exigences obligatoires de protection des données applicables au traitement de données à caractère personnel impliquant des enfants, aux services destinés aux enfants, aux services susceptibles d’être accessibles aux enfants et aux autres activités de traitement pour lesquelles les données à caractère personnel d’enfants exigent des mesures de protection renforcées. Elle s’applique aux contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, notamment pour les sites web, applications, jeux, services éducatifs, plateformes en ligne, services connectés, portails clients, environnements d’apprentissage, communautés et canaux de support. La politique vise à garantir que les données à caractère personnel d’enfants sont identifiées, gouvernées, minimisées, expliquées, protégées et documentées au moyen de mesures de protection adaptées aux traitements destinés aux enfants et accessibles aux enfants. Un élément central de la politique est son recours aux éléments de preuve existants du PIMS plutôt qu’à des registres distincts propres aux enfants. La politique exige que le statut destiné aux enfants, la probabilité d’accès par des enfants, les finalités, les catégories de données à caractère personnel, les catégories de personnes concernées, les destinataires et les références de conservation soient consignés dans REG02. L’examen des risques relatifs à la vie privée et les décisions de DPIA sont orientés via REG04. Le consentement, l’autorisation parentale, le circuit de retrait et les références du reçu de consentement sont enregistrés dans REG05 lorsque cela s’applique. Les demandes d’exercice des droits impliquant des enfants sont gérées via REG06, les versions des mentions d’information adaptées aux enfants via REG07, les restrictions applicables aux sous-traitants et au partage de données via REG08, les éléments de preuve relatifs aux incidents via REG10, et les enregistrements d’audit, d’action corrective et d’amélioration via REG12. La politique fournit des exigences opérationnelles détaillées concernant la transparence adaptée aux enfants, le consentement, la responsabilité parentale, la minimisation, la conservation, la participation à l’exercice des droits, la protection de la vie privée dès la conception et le contrôle des divulgations. Avant toute collecte de données à caractère personnel d’enfants, les responsables de processus ou les propriétaires de l'entreprise doivent confirmer que chaque catégorie de données à caractère personnel est nécessaire à la finalité documentée et doivent définir les données minimales nécessaires à l’évaluation de l’âge. Les services destinés aux enfants doivent appliquer des paramètres par défaut de protection de la vie privée pour la collecte optionnelle, la visibilité, le partage, la personnalisation et les communications. Lorsque les données à caractère personnel d’enfants concernent des informations relevant de catégories particulières, hautement sensibles, de localisation, biométriques, comportementales, de communication, éducatives, de santé ou liées à la sécurité, une revue par le délégué à la protection des données ou le conseiller en protection des données est requise et enregistrée dans REG04. La politique traite également les scénarios à risque plus élevé, tels que le profilage, l’analyse comportementale, la personnalisation ayant des effets significatifs, les décisions automatisées, les fonctions de recommandation, les soupçons d’usage abusif, la divulgation préjudiciable, l’accès non autorisé, l’exploitation, les risques liés au grooming et les autres risques relatifs aux données à caractère personnel liés à la sécurité impliquant des enfants. Ces sujets sont orientés vers les processus de revue relative à la vie privée, de gestion des incidents ou d’action corrective, au moyen de REG04, REG10 et REG12 selon le cas. Pour les fournisseurs, sous-traitants, sous-traitants ultérieurs et destinataires du partage de données, le responsable Fournisseurs / Achats doit confirmer dans REG08 les restrictions documentées liées aux enfants, les instructions, la confidentialité, les attentes de restitution ou de suppression et les obligations d’assistance avant que le traitement de données à caractère personnel d’enfants ne soit autorisé. La gouvernance et la supervision sont définies au moyen de revues trimestrielles des éléments de preuve, de contrôles de préparation au lancement, d’audits annuels, de la gestion des exceptions, de l’application de la politique et de la revue annuelle de la politique. Le responsable Protection des données / responsable PIMS coordonne l’exhaustivité des éléments de preuve et l’escalade dans les enregistrements pertinents, tandis que le Top Management approuve l’approche de contrôle de la protection des données des enfants et examine les non-conformités systémiques. La politique soutient une responsabilité compatible avec les exigences d’audit en exigeant des indicateurs de surveillance pour les activités de traitement destinées aux enfants, les examens préalables à la DPIA, les problèmes ouverts relatifs aux mentions d’information ou au consentement, les problèmes de sous-traitants et de partage, les non-conformités récurrentes et l’efficacité des actions correctives, tous enregistrés dans REG12 avec les éléments de preuve sources issus des registres applicables.