← Tous les articles
📜Doctrine §61 juin 2026· 6 min lecture

Doctrine §6 · RGPD enfant Article 8 expliqué

Comment Fractalia respecte l'Article 8 du RGPD (consentement parental ≤15 ans) et le référentiel CNIL enfants 2021 · décryptage technique.

Équipe Fractalia

L'Article 8 en clair

Le Règlement Général sur la Protection des Données (RGPD), Article 8 paragraphe 1, exige le consentement parental vérifiable pour traiter les données personnelles d'un mineur de moins de 16 ans (la France a abaissé à 15 ans par la loi Informatique et Libertés modifiée).

Concrètement, pour les enfants 8-15 ans français : un parent doit consentir explicitement avant qu'un opérateur puisse collecter et traiter les données de l'enfant. Pas du dark pattern de "consentement implicite par usage", pas du opt-out caché. Du consentement actif documenté.

Comment Fractalia implémente Art. 8

Notre flow de signup est structuré pour respecter l'Art. 8 par design :

1. Compte parent obligatoire premier. Aucun enfant ne peut créer un profil. Le parent crée d'abord un compte adulte, vérifie son email via magic link Supabase (preuve d'accès email réel adulte).

2. Consentement explicite avant création profil enfant. Le parent voit une checkbox claire "Je consens au traitement des données de mon enfant conformément à l'Art. 8 RGPD" avant de pouvoir créer le profil enfant.

3. Données enfant minimales. Alias prénom + âge + avatar. Pas d'email enfant, pas de nom famille, pas de géolocalisation. Article 5.1.c RGPD (minimisation) respecté.

4. Effacement 1-tap. Le parent peut effacer toutes les données de l'enfant en un seul clic depuis le dashboard parent. Conforme à l'Art. 17 RGPD (droit à l'oubli).

CNIL référentiel enfants 2021

La CNIL a publié en 2021 un référentiel spécifique pour les services numériques destinés aux mineurs : 8 principes. Fractalia respecte les 8 :

1. ✅ Pas de tracker publicitaire tiers. Zéro Google Analytics, zéro Meta Pixel.

2. ✅ Données minimales. Alias prénom + âge + avatar uniquement.

3. ✅ Pas d'email enfant collecté.

4. ✅ Quiet hours non-débrayables. 20h-7h enforced techniquement.

5. ✅ Plafond notifications. 5/jour max RPC atomic SQL.

6. ✅ Pas de comparaison sociale. Mode Famille agrégé, jamais classement individuel.

7. ✅ Hébergement souverain UE. Supabase eu-west-2 (Londres UK · GDPR adequate post-Brexit).

8. ✅ Effacement 1 tap. Dashboard parent · droit à l'oubli opérationnel.

L'audit indépendant à venir

Nous publierons en Q4 2026 un audit RGPD indépendant tiers (Tanaguru ou équivalent) post v1.0 décembre 2026. Toute la documentation publique restera versionnée sur cette page.

Pour aller plus loin

← Tous les articles · Engagement de confiance · Roadmap