Rapport Children's Online Privacy Protection Act de 1998
Ce rapport décrit les problèmes relatifs à la loi COPPA (Children's Online Privacy Protection Act) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations. Remarque : de nombreux problèmes de ce rapport sont semblables à ceux du rapport HIPAA. Si les deux rapports sont ajoutés au tableau de bord, le nombre total de problèmes sera accru. Pour éviter cela, vous pouvez créer des onglets pour chaque rapport ou n'ajouter qu'un rapport au tableau de bord.
Pourquoi est-ce important
La loi COPPA exige que la U.S. Federal Trade Commission émette et applique des règles pour protéger la collecte de données en ligne et l'utilisation d'informations personnelles concernant des enfants de moins de 13 ans. L'objectif principal est de permettre aux parents de contrôler les informations collectées en ligne auprès de leurs enfants.
On pense souvent par erreur que la loi COPPA ne concerne que les opérateurs de sites Web destinés aux enfants de moins de 13 ans qui collectent des informations personnelles, les sites Web qui présentent des dessins animés ou des personnages, font la promotion de produits destinés aux enfants, utilisent des modèles d'enfant, des polices et couleurs pour enfants ou proposent des jeux. Il est important de savoir que la loi COPPA concerne aussi les sites Web "grand public" qui collectent sciemment des informations personnelles auprès d'enfants de moins de 13 ans. Il est essentiel pour tous les opérateurs de sites Web d'évaluer leurs propriétés afin de déterminer s'ils entrent dans le cadre de la loi COPPA.
Cette législation s'applique aux opérateurs de :
- Sites Web commerciaux ou de services en ligne destinés aux enfants de moins de 13 ans, qui collectent des informations personnelles auprès des enfants
- Sites grand public qui collectent sciemment des informations personnelles auprès d'enfants de moins de 13 ans
- Sites grand public qui disposent d'une section enfants et qui collectent des informations personnelles auprès d'enfants de moins de 13 ans
Les sites web exploités à l'étranger doivent être en conformité avec la loi COPPA s'ils s'adressent à des enfants aux Etats-Unis ou s'ils collectent sciemment des informations personnelles auprès d'enfants aux Etats-Unis
Exigences de la loi COPPA
La Federal Trade Commission résume les exigences COPPA pour les opérateurs des sites web concernés comme suit :
- Publier une charte de confidentialité sur la page d'accueil du site Web et fournir un lien vers cette charte sur chaque page où des informations personnelles sont collectées.
- Publier un avis destiné aux parents sur les pratiques de collecte de données du site et obtenir l'accord vérifiable des parents avant toute collecte d'informations personnelles auprès d'enfants.
- Donner aux parents le contrôle sur la divulgation des informations personnelles de leur enfant à des tiers.
- Donner aux parents l'accès aux informations personnelles de leur enfant, la possibilité de supprimer ces informations et la possibilité de refuser toute future collecte ou utilisation des informations.
- Ne pas imposer comme condition de participation d'un enfant à un jeu, concours ou toute autre activité, la divulgation de plus d'informations personnelles que raisonnablement nécessaire pour participer à cette activité.
- Garantir la confidentialité, la sécurité et l'intégrité des informations personnelles collectées auprès d'enfants.
Meilleures pratiques pour la conformité avec la loi COPPA
- Assurez-vous d'une bonne compréhension des exigences COPPA. Mieux vous comprendrez les exigences, plus il vous sera facile de développer des stratégies pour vous y conformer.
- Déterminez votre stratégie COPPA. Déterminez l'applicabilité de COPPA à vos sites Web et développez des stratégies de conformité. Exemple : si votre site Web est principalement destiné aux adultes, il peut être judicieux d'éviter de collecter sciemment des informations personnelles auprès des enfants en ne demandant pas l'âge ou la date de naissance.
- Développez des chartes et des normes. Elaborez les chartes de confidentialité, définissez les principes de collecte de données et déterminez les normes techniques permettant le refus et le consentement des parents.
- Evaluez et corrigez les sites Web existants. Identifiez et révisez tous les formulaires collectant des informations personnelles. Si l'âge n'est pas requis, il est logique de ne pas le demander. S'il est requis, vous devrez mettre en place des mécanismes adaptés pour obtenir le refus et le consentement des parents.
- Examinez les nouveaux sites Web. Formez toutes les parties prenantes des sites Web (y compris les tiers), intégrez les normes aux processus métier de création de contenu/conception de sites web et intégrez la vérification de la conformité dans les processus d'assurance qualité.
- Prévoyez l'agrément Seal Program/Safe Harbor. La souscription à un programme Safe Harbor FTC agréé COPPA et géré par un organisme tiers objectif tel que TRUSTe peut offrir de précieux conseils d'implémentation et servir de première ligne de défense.
- Effectuez une surveillance continue. Mettez en oeuvre des processus de surveillance continus destinés à s'assurer que :
- Les nouveaux sites Web sont conformes aux normes COPPA établies
- Les parties prenantes des sites Web reçoivent la formation adéquate
- Les modifications apportées aux sites web existants ne créent pas de non conformités par rapport à la loi COPPA