Guide de mise en œuvre de la loi de New York sur la protection des données des enfants

Cette page a été mise à jour pour la dernière fois le 19 mai 2025.

Le Bureau du procureur général (OAG) publie ces orientations avant la date d'entrée en vigueur, le 20 juin 2025, de la loi new-yorkaise sur la protection des données relatives aux enfants (NYCDPA ou loi), codifiée dans la loi générale sur les affaires de New York (N.Y. Gen. Bus. Law) §§ 899-ee et seq.  

Ces orientations apportent des éclaircissements sur les principales questions posées à l'OAG dans le cadre de l'Advanced Notice of Proposed Rulemaking (avis de proposition de réglementation) et des contacts pris par l'OAG avec les acteurs du secteur. La loi confère également à l'OAG le pouvoir de promulguer des règles, et l'OAG a l'intention de publier des règles pour fournir des détails et des précisions sur certains des termes abordés plus loin, sur la base de l'engagement pris avec les parties prenantes au cours de la période de mise en conformité initiale. Jusqu'à ce que de telles règles soient proposées et finalisées, l'OAG indique qu'il fera preuve de discrétion dans la poursuite des actions d'application, et prendra en compte les efforts de bonne foi d'un opérateur pour se conformer à la NYCDPA, conformément au langage clair de la loi et à ces orientations. 

Télécharger une version imprimable de ce guide

L'OAG fournit des conseils concernant 

  • l'application de la loi sur la protection de la vie privée des enfants en ligne (Children's Online Privacy Protection Act), 15 U.S.C. §§ 6501 et seqet ses règlements d'application ainsi que les orientations connexes de la Commission fédérale du commerce (collectivement, COPPA) aux mineurs de moins de 13 ans, conformément aux restrictions de traitement prévues par la NYCDPA (N.Y. Gen. Bus. Law § 899-ff(1)(a)).
  • les responsabilités de l'opérateur en ce qui concerne les drapeaux d'âge fournis par l'utilisateur en vertu de la législation de l'État de New York. Bus. gén. Law § 899-ii(1).
  • "s'adressant principalement à des mineurs" en vertu de la loi de N.Y. Bus. gén. Law § 899-ee(6).
  • "strictement nécessaire . . . des fins autorisées" en vertu de la loi de N.Y. Bus. gén. Law §§ 899-ff(2).
  • les exigences de la NYCDPA pour les écoles, les districts scolaires et leurs contractants tiers.
  • les demandes parentales de produits et de services.

Les présentes orientations font référence aux "sites web, services en ligne, applications en ligne, applications mobiles ou appareils connectés" tels qu'ils sont utilisés dans la NYCDPA.[1] collectivement comme "dispositif ou service en ligne".

Traitement en vertu de la NYCDPA et de la COPPA 

Pour les enfants de moins de 13 ans, N.Y. Bus. gén. L'article 899-ff(1)(a) de la loi autorise les traitements autorisés par la COPPA. En d'autres termes, la NYCDPA adopte la COPPA comme norme applicable au traitement des données pour les utilisateurs concernés dont l'opérateur sait qu'ils sont âgés de 12 ans ou moins, ou qui utilisent un dispositif ou un service en ligne destiné principalement aux utilisateurs concernés âgés de 12 ans ou moins.[2] Ainsi, en vertu de la NYCDPA, la COPPA régit pour ces utilisateurs les cas où le traitement des données peut avoir lieu sans le consentement des parents, les cas où il est interdit sans le consentement des parents et la manière dont le consentement des parents peut être obtenu. 

Drapeaux d'âge : N.Y. Bus. gén. § 899-ii(1) 

Le BVG reconnaît les nuances potentielles liées au moment et à la manière dont un opérateur peut se fier à une communication ou à un signal provenant de l'appareil d'un utilisateur concernant son statut d'utilisateur couvert (un "drapeau d'âge"). À l'avenir, l'OAG promulguera des règles sur les facteurs ou caractéristiques pertinents qui peuvent faire d'un drapeau d'âge un drapeau qu'un opérateur doit respecter en vertu de la loi de N.Y. sur la protection de l'environnement. Bus. gén. Law § 899-ii(1). Jusqu'à ce que ces règles soient finalisées et en vigueur, l'OAG indique qu'il fera preuve de discrétion dans la poursuite des mesures d'application de cette disposition, pour autant que les opérateurs fassent par ailleurs des efforts de bonne foi pour se conformer à toutes les autres dispositions de la NYCDPA, conformément aux présentes orientations.  

Notamment, un utilisateur couvert par la NYCDPA est un utilisateur "dont l'opérateur sait effectivement qu'il est mineur"[3] et cette exigence est indépendante de N.Y. Bus. gén. Law § 899-ii(1) concernant les drapeaux d'âge. Par exemple, un opérateur peut obtenir ou apprendre l'âge d'un utilisateur et l'associer au compte de cet utilisateur. Si l'utilisateur est mineur, l'opérateur a effectivement connaissance du fait que l'utilisateur est un utilisateur couvert partout où l'opérateur peut reconnaître le compte de l'utilisateur, y compris lorsque l'utilisateur se connecte au même service ou produit à l'aide de différents appareils ou accède à différents services ou produits à l'aide des mêmes identifiants de connexion, et il doit se conformer à la loi en conséquence.  

Principalement destiné aux mineurs 

À N.Y. Bus. gén. Law § 899-ee(1), un utilisateur couvert est défini comme suit, entre autresun utilisateur qui "utilise un site web, un service en ligne, une application en ligne, une application mobile ou un appareil connecté principalement destiné aux mineurs". N.Y. Bus. gén. L'article 899-ee(6) de la loi définit "principalement orienté vers les mineurs" comme un dispositif ou un service en ligne, "ou une partie de celui-ci, qui est destiné aux mineurs". 

L'OAG a reçu des demandes concernant la portée de l'expression "principalement destiné aux mineurs" en vertu de la NYCDPA, certaines demandes faisant référence à la norme "destiné aux enfants" en vertu de la COPPA.[4] Pour les mineurs de 12 ans et moins, N.Y. Bus. gén. L'article 899-ff(1)(a) de la loi autorise explicitement le traitement des données autorisé par la COPPA. Ainsi, tout dispositif ou service en ligne couvert par la disposition de la NYCDPA "principalement destiné aux mineurs" relève également de la norme COPPA "destiné aux enfants" et, comme indiqué ci-dessus, leurs opérateurs peuvent satisfaire aux obligations de conformité prévues par la NYCDPA en se conformant à la COPPA.

Pour les mineurs âgés de 13 à 17 ans, le BVG reconnaît que de nombreux dispositifs ou services en ligne d'intérêt général peuvent être visités par des mineurs âgés de 13 à 17 ans ou peuvent considérer les mineurs âgés de 13 à 17 ans comme une composante - mais pas la principale - de l'audience. En conséquence, la norme "principalement orienté" établie par la NYCDPA offre une certaine souplesse supplémentaire aux opérateurs par rapport à la norme prévue par la COPPA pour les enfants plus jeunes.  Les exigences de la NYCDPA ne s'appliquent qu'aux dispositifs ou services en ligne, ou à des parties de ceux-ci, qui peuvent être définis comme "principalement dirigés" ou "ciblés" vers les mineurs.

Strictement nécessaire 

La NYCDPA exige généralement qu'un utilisateur couvert donne un consentement valable avant que les données personnelles de l'utilisateur couvert puissent être traitées. Lorsque l'utilisateur concerné est âgé de 13 à 17 ans, le traitement sans le consentement de l'utilisateur n'est autorisé que si le traitement est "strictement nécessaire" pour une finalité expresse énumérée dans la loi de New York. Bus. gén. Loi § 899-ff(2) de la NYCDPA.[5] Pour faciliter la mise en conformité, les présentes orientations répondent aux questions relatives à certaines de ces finalités explicites.  

Fournir ou maintenir un produit ou un service spécifique demandé par l'utilisateur couvert 

Sous N.Y. Bus. gén. Selon l'article 899-ff(2)(a) de la loi, le traitement "strictement nécessaire" dans le but de "fournir ou maintenir un produit ou un service spécifique demandé par l'utilisateur couvert" est autorisé sans le consentement de l'utilisateur. Pour bénéficier de cette exception, le traitement doit être lié à un produit ou à un service "spécifique" "demandé par l'utilisateur couvert", ce qui signifie qu'il doit correspondre aux attentes d'un utilisateur couvert raisonnable pour un produit ou un service donné. Par exemple, les utilisateurs de la plupart des produits ou services s'attendent raisonnablement à ce que le traitement des données à caractère personnel visant à fournir une assistance à la clientèle pour un produit ou un service soit inclus. Le traitement des données à caractère personnel d'un utilisateur couvert à cette fin ne nécessite généralement pas de consentement distinct de la part de l'utilisateur.   

Par ailleurs, la plupart des utilisateurs raisonnables ne s'attendent pas à ce que les opérateurs suivent davantage leurs activités en ligne que ce qui est nécessaire pour le produit ou le service spécifique qu'ils utilisent, ou à ce qu'ils utilisent les données à caractère personnel collectées à des fins autres que la fourniture de ce produit ou de ce service. En vertu de la NYCDPA, les opérateurs doivent obtenir le consentement de l'utilisateur pour ce type de traitement non nécessaire. Si un opérateur commercialise clairement et ostensiblement son service de base comme un service qui suit des activités spécifiques de l'utilisateur afin de fournir un enregistrement de ces activités (par exemple, une plateforme de budgétisation qui suit les activités de dépenses afin de proposer un relevé mensuel des dépenses), le traitement de ce type de données d'activité de l'utilisateur à cette fin spécifique répondrait aux attentes d'un utilisateur raisonnable d'un tel service. L'opérateur n'est donc pas tenu d'obtenir un consentement pour ce traitement.  

Un opérateur ne peut toutefois pas contourner les dispositions du N.Y. Bus. gén. Law § 899-ff(1) simplement en commercialisant son service de base comme un service qui inclut le suivi des données personnelles d'un utilisateur couvert pour soutenir la personnalisation telle que la publicité comportementale ou la création d'un profil sur un individu spécifique pour afficher ou donner la priorité à certains médias. En outre, toute donnée collectée et traitée par l'opérateur en vertu de cette exception ne peut être utilisée qu'aux fins prévues (par exemple, une plateforme de budgétisation collectant des données personnelles sans rapport avec les dépenses mensuelles, telles que les coordonnées GPS en temps réel d'un appareil, ne peut se prévaloir de cette exception pour traiter les données personnelles sans rapport) ou d'une manière qui soit par ailleurs conforme à la loi sur la protection des données de l'État de New York. Bus. gén. Law § 899-ff(2). Les données personnelles ne peuvent être utilisées par l'opérateur, ses sous-traitants ou tout opérateur tiers que l'opérateur autorise à collecter les données personnelles, à aucune autre fin.  

Mener des opérations commerciales internes 

En outre, N.Y. Bus. gén. L'article 899-ff(2)(b) de la loi autorise les opérateurs à traiter des données à caractère personnel "strictement nécessaires pour .... la réalisation d'opérations commerciales internes". L'OAG indique que de nombreuses activités autorisées par la COPPA dans le but de "soutenir les opérations internes du site Web ou du service en ligne" sont également autorisées en vertu de cette section.[6] L'OAG signale également que, contrairement à la COPPA, la loi de N.Y. Bus. gén. L'article 899-ff(2) de la loi prévoit que "les opérations commerciales internes ne comprennent pas les activités liées au marketing, à la publicité, à la recherche et au développement, [ou] à la fourniture de produits ou de services à des tiers".  

Protection contre les activités malveillantes, frauduleuses ou illégales 

N.Y. Bus. gén. L'article 899-ff(2)(d) de la loi, qui traite des "activités malveillantes, frauduleuses ou illégales", autorise le traitement des données à caractère personnel à des fins de protection contre la fraude, comme le plafonnement de la fréquence de la publicité.   

Intérêts vitaux d'une personne physique 

Enfin, N.Y. Bus. gén. Law § 899-ff(2)(b), qui traite des "opérations commerciales internes", ainsi que N.Y. Bus. gén. L'article 899-ff(2)(i) de la loi, qui traite des "intérêts vitaux d'une personne physique", autorise le traitement de données à caractère personnel associées aux politiques de confiance, de santé et de sécurité de l'utilisateur d'un appareil ou d'un service en ligne sans consentement. 

Conclusion à des fins autorisées 

Comme indiqué précédemment, le BVG tiendra compte des efforts déployés de bonne foi pour se conformer à la loi dans l'exercice de son pouvoir discrétionnaire d'application de la loi de N.Y. Bus. gén. Loi § 899-ff(2), en vertu de laquelle un opérateur peut traiter des données personnelles "strictement nécessaires" à des fins énumérées sans consentement. 

Exigences pour les écoles, les districts scolaires et leurs contractants tiers 

La NYCDPA ne bouleverse pas le cadre en place pour les informations personnelles identifiables couvertes par la loi sur l'éducation de New York (N.Y. Éduquer. Law) § 2-d et ses règlements d'application, ou le Family Educational Rights Privacy Act (FERPA) fédéral, 20 U.S.C. § 1232g, et ses règlements d'application. Ces lois autorisent généralement les écoles et les districts scolaires à collecter et à utiliser des "informations personnelles identifiables" (IPI) dans les "dossiers éducatifs", tels que définis par la loi de l'État de New York (N.Y.). Éduquer. Law § 2-d(1)(d) et le règlement d'application de la FERPA, 34 C.F.R. § 99.3,[7] des étudiants à des fins éducatives.[8] Les deux lois interdisent généralement l'utilisation commerciale des IPI et prévoient également d'autres protections.[9] Les tiers avec lesquels les écoles et les districts scolaires passent des contrats pour le traitement de ces IIP sont soumis aux mêmes interdictions.[10] La loi COPPA se superpose à ces lois, avec des protections spécifiques pour les enfants de moins de 13 ans. En vertu de la COPPA, les écoles peuvent consentir à ce que les données de leurs élèves soient collectées et traitées par des tiers, si et seulement si, la collecte et le traitement sont effectués à des fins éducatives.[11] Toutefois, en vertu de la loi COPPA, les opérateurs doivent obtenir le consentement des parents pour la collecte et le traitement de données, que ce soit à l'intérieur ou à l'extérieur des écoles, qui ne sont pas destinées à des fins éducatives.[12]  

Comme nous l'avons vu précédemment, pour les enfants de moins de 13 ans, la NYCDPA, N.Y. Bus. gén. L'article 899-ff(1)(a) de la loi sur la protection des données autorise explicitement le traitement des données autorisé par la COPPA. La NYCDPA applique les mêmes normes que la COPPA pour déterminer quand les données peuvent être collectées et traitées avec l'autorisation de l'école, quand le traitement des données est interdit sans le consentement des parents et comment le consentement des parents peut être obtenu. Ainsi, pour les enfants de moins de 13 ans, le traitement des données par les écoles, les districts scolaires et les tiers avec lesquels ils passent des contrats est autorisé par la NYCDPA dans la mesure où il est autorisé par la COPPA dans le statu quo, y compris dans le cadre d'orientations spécifiques concernant les écoles.[13] Encore une fois, dans ce contexte, les opérateurs doivent toujours se conformer à la législation de l'État de New York. Éduquer. Il est interdit d'utiliser ces informations à des fins commerciales, y compris à des fins de marketing, de publicité ou à d'autres fins commerciales non liées à la fourniture de l'appareil ou du service en ligne demandé par l'école.  

Pour les enfants âgés de 13 à 17 ans, les exigences de la NYCDPA en matière de protection de la vie privée se superposent à celles de la loi de l'État de New York sur la protection de la vie privée. Éduquer. Law § 2-d similaire à celle prévue par la COPPA pour les enfants de moins de 13 ans. Les IPI des étudiants peuvent être collectées et traitées conformément aux exigences énoncées dans la loi de l'État de New York. Éduquer. L'article 2-d de la loi américaine et ses règlements d'application sont utilisés à des fins éducatives sans qu'il soit nécessaire d'obtenir un consentement éclairé distinct en vertu de la loi sur la protection de la santé publique de New York. En revanche, pour les données qui relèvent de la définition de "données à caractère personnel" de la NYCDPA[14] mais qui n'est pas soumis à la loi de N.Y. Éduquer. Si les données ne sont pas collectées conformément à l'article 2-d de la loi américaine, soit parce qu'il ne s'agit pas d'informations nominatives, soit parce qu'elles ne sont pas collectées à des fins éducatives, l'opérateur doit se conformer à la loi américaine sur la protection des données personnelles. 

Demandes parentales pour des produits ou services destinés à des mineurs âgés de 13 à 17 ans[15] 

N.Y. Bus. gén. L'article 899-ff de la loi protège la vie privée des utilisateurs couverts âgés de 13 à 17 ans en interdisant tout traitement de leurs "données personnelles" sans le consentement de l'utilisateur, sauf si ce traitement est "strictement nécessaire" à une finalité admissible énumérée. Cela inclut le traitement des données à caractère personnel strictement nécessaire "pour se conformer aux lois, règles ou réglementations fédérales, étatiques ou locales".[16]  

La NYCDPA ne perturbe donc pas les cadres juridiques existants en vertu desquels les parents peuvent légalement accepter ou conclure des accords pour des produits ou services particuliers au nom de leurs enfants. Lorsque les parents peuvent légalement accepter un produit ou un service au nom de leur enfant ou conjointement avec lui, comme les services de santé ou certains services financiers, le traitement des données est strictement nécessaire à une finalité autorisée en vertu de la loi de New York sur la protection des données. Bus. gén. Law § 899-ff(2), y compris pour fournir ou maintenir ce produit ou service, est autorisé par la NYCDPA sans consentement supplémentaire. Comme indiqué dans le présent document, l'étendue du traitement autorisé dépend en partie des attentes de l'utilisateur concerné concernant le produit ou le service spécifique en question.  

Lorsque le parent accepte un produit ou un service au nom de l'enfant, l'opérateur peut prendre en compte les attentes du parent en ce qui concerne le traitement des données à caractère personnel strictement nécessaires à des fins autorisées. La NYCDPA n'exige pas qu'un opérateur obtienne le consentement de l'enfant avant de traiter les données strictement nécessaires à l'exécution de l'accord du parent concernant le produit ou le service, y compris les données à caractère personnel de l'enfant fournies par le parent.[17] Toutefois, l'opérateur ne doit traiter les données à caractère personnel de l'enfant que dans le but de fournir le produit ou le service spécifique convenu avec les parents. Si l'opérateur souhaite traiter les données à caractère personnel de l'enfant à des fins qui ne sont pas strictement nécessaires pour ce produit ou service spécifique, il devra d'abord obtenir le consentement de l'enfant conformément à la NYCDPA.   

L'OAG reconnaît que de nombreuses lois permettent aux parents d'exercer des droits au nom de leurs enfants et fera preuve de discrétion dans la poursuite des mesures d'application contre les opérateurs qui s'efforcent de bonne foi de se conformer à toutes les lois applicables. Toutefois, l'OAG rappelle que les opérateurs doivent se conformer à la NYCDPA et que les droits accordés par la NYCDPA aux mineurs âgés de 13 à 17 ans pour contrôler le traitement de leurs données personnelles ne peuvent pas être ignorés à la légère. 

[1] Par exemple, N.Y. Bus. gén. Law § 899-ff(1).

[2] Voir, infra, p. 2 ("Principalement destiné aux mineurs") et N.Y. Bus. gén. Law § 899-ll(3) ("Rien dans cet article ne doit être interprété comme imposant une responsabilité pour les activités ou actions commerciales des opérateurs soumis à 15 U.S.C. § 6501 qui soit incompatible avec le traitement de ces activités ou actions en vertu de 15 U.S.C. § 6502.").

[3] N.Y. Bus. gén. Law § 899-ee(1)(a).

[4] 16 C.F.R. § 312.2 

[Comme indiqué ci-dessus, pour les utilisateurs âgés de 12 ans ou moins, la CDPA applique les normes de la COPPA pour déterminer si le traitement des données est autorisé, y compris les circonstances dans lesquelles le traitement peut être effectué sans le consentement des parents.

[6] 16 C.F.R. § 312.2 ; voir également 16 C.F.R. § 312.5(c)(7)-(8). Voir, en général, Federal Trade Commission, Complying with COPPA : Frequently Asked Questions - A Guide for Business and Parents and Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (dernière visite le 5 mai 2025), et surtout, id. à la section J. Exceptions au consentement parental préalable.

[Il s'agit généralement d'informations liées à un étudiant spécifique. N.Y. Comp. Codes R. & Regs. tit. 8, § 121.1(f),(m) (référence aux dispositions de la FERPA et de ses règlements d'application).

[8] N.Y. Comp. Codes R. & Regs. tit. 8, § 121.5(c) (l'utilisation doit "bénéficier aux étudiants et à l'agence éducative (par exemple, améliorer les résultats scolaires, permettre aux parents et aux étudiants d'obtenir des informations, et/ou favoriser un fonctionnement efficace et efficient de l'école)") ; voir aussi N.Y. Éduquer. Law § 2-d(5)(b)(1) ; 20 U.S.C. § 1232g(a)(4)(A).

[9] N.Y. Éduquer. Law § 2-d(3)(b)(1) ; New York State Education Department, Commercial and Marketing Memorandumhttps://www.nysed.gov/sites/default/files/programs/data-privacy-security/c-m-june-2023-guidance-final.pdf (dernière visite le 5 mai 2025), p. 2 (les données couvertes ne peuvent être utilisées "à des fins publicitaires ou pour développer, améliorer ou commercialiser des produits ou des services destinés aux étudiants"). Voir 34 C.F.R. § 99.30 (exigeant le consentement des parents ou de l'étudiant pour la divulgation d'informations nominatives, sauf si d'autres dispositions de la FERPA l'autorisent expressément) et 20 U.S.C. § 1232g(b) (exigeant le consentement des parents ou de l'étudiant pour la divulgation d'informations nominatives, sauf si d'autres dispositions de la FERPA l'autorisent expressément).  

[10] N.Y. Éduquer. Loi 2-d § 5(f).

[11] Federal Trade Commission, Complying with COPPA : Frequently Asked Questions - A Guide for Business and Parents et Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (dernière visite le 5 mai 2025).

[12] Federal Trade Commission, Press Release : La FTC déclare que le fournisseur de technologie éducative Edmodo a illégalement utilisé les informations personnelles des enfants à des fins publicitaires et a externalisé la conformité aux districts scolaires, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ed-tech-provider-edmodo-unlawfully-used-childrens-personal-information-advertising (dernière visite le 5 mai 2025).

[13] Voir Federal Trade Commission, Complying with COPPA : Frequently Asked Questions - A Guide for Business and Parents et Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions (dernière visite le 5 mai 2025) ; Federal Trade Commission, Policy Statement of the Federal Trade Commission on Education Technology and the Children's Online Privacy Protection Act, https://www.ftc.gov/system/files/ftc_gov/pdf/Policy%20Statement%20of%20the%20Federal%20Trade%20Commission%20on%20Education%20Technology.pdf (dernière visite le 5 mai 2025).

[14] N.Y. Bus. gén. Law § 899-ee(4) (définies comme "des données qui identifient ou pourraient raisonnablement être liées, directement ou indirectement, à une personne physique ou à un dispositif"). 

[Comme indiqué ci-dessous, pour les mineurs de moins de 13 ans, c'est la norme décrite dans la COPPA qui s'applique.

[16] N.Y. Bus. gén. Law § 899-ff(2)(f).

[La loi fédérale ou étatique applicable peut imposer ses propres exigences quant à la manière dont l'opérateur traite la demande des parents, et ces exigences continuent de s'appliquer. Le respect de la NYCDPA ne constitue pas une défense contre la violation d'autres lois.  Par exemple, l'OAG s'attend à ce que tout tiers sous contrat avec une agence éducative au sens de la loi N.Y. Éduquer. Law § 2-d pour continuer à se conformer aux dispositions de N.Y. Éduquer. Law § 2-d et ses règlements d'application concernant les droits parentaux et les notifications.