Un collégien de 12 ans confie son anxiété à votre application. Il pense que ses secrets sont en sécurité. 56 % des jeunes le croient. Mais ce qu'il vient de taper est une donnée personnelle sensible, traitée par votre système, enregistrée dans vos logs, potentiellement utilisée pour entraîner votre modèle. Et vous avez des obligations légales précises à son égard.
Le 5 mai 2026, la CNIL et le Groupe VYV ont publié les résultats d'une enquête inédite, menée par Ipsos BVA auprès de 3 800 jeunes de 11 à 25 ans dans quatre pays européens (France, Allemagne, Suède, Irlande). Les chiffres sont saisissants. En France, 86 % des jeunes utilisent une IA conversationnelle, et ce taux atteint 66 % dès 11-12 ans. Près d'un jeune sur deux (48 %) y évoque des sujets personnels ou intimes. Et seuls 32 % déclarent savoir ce que deviennent les données qu'ils partagent avec ces outils.
Pour les développeurs d'applications, d'outils SaaS, et les agences web qui les conçoivent, ce constat n'est pas une curiosité sociologique. C'est un signal réglementaire. La CNIL a classé les données des mineurs en ligne parmi ses priorités de surveillance pour 2026. L'IA Act entre en application progressive à partir d'août. La loi SREN de mai 2024 a renforcé les obligations des plateformes à l'égard des mineurs. Si votre application est accessible à des jeunes de moins de 18 ans et qu'elle intègre une fonction conversationnelle ou de traitement de données personnelles, ce qui suit vous concerne directement.
Les chiffres qui changent tout
L'enquête Ipsos BVA mérite d'être lue dans le détail, car elle documente un changement de nature des usages, pas simplement de volume. Les IA conversationnelles ne sont plus des outils d'aide aux devoirs. Elles sont devenues des espaces de confidence.
Un usage quasi-universel dès le collège
86 % des jeunes Français de 11 à 25 ans utilisent une IA conversationnelle. 66 % des 11-12 ans y ont déjà recours, et 94 % des 17-18 ans. Trois jeunes sur cinq l'utilisent depuis plus d'un an : nous ne sommes plus en phase d'expérimentation.
Un espace de confidence inattendu
48 % évoquent des sujets personnels ou intimes. 33 % considèrent l'IA comme un "psy" dans certains cas, proportion qui monte à 46 % chez les jeunes présentant une suspicion de trouble anxieux généralisé, soit plus d'un jeune français sur quatre.
Une illusion de confidentialité documentée
56 % des jeunes pensent que l'IA peut "garder secrètes" leurs conversations. 51 % qu'elle peut protéger leurs informations. Pourtant, seuls 32 % savent réellement ce que deviennent leurs données. 34 % ayant confié des sujets personnels déclarent s'être sentis mal à l'aise après coup.
Le précédent Character.AI : en 2024-2025, plusieurs adolescents se sont suicidés aux États-Unis après avoir développé des relations émotionnelles intenses avec des chatbots de la plateforme. Des familles ont porté plainte, et les tribunaux américains ont commencé à reconnaître la responsabilité potentielle des développeurs. En octobre 2025, Character.AI a interdit les conversations ouvertes pour les moins de 18 ans et déployé un modèle d'IA distinct pour les mineurs. Ces mesures ont été qualifiées par les avocats des plaignants de "trop peu, trop tard". En Europe, la réglementation vise à anticiper ce scénario.
Quand votre application est-elle concernée ?
La question n'est pas "est-ce que mon app est destinée aux enfants ?" mais "est-ce que des enfants l'utilisent ?" La CNIL, la loi SREN et l'IA Act raisonnent en termes de risque réel, pas d'intention déclarée. Dès lors que vous avez des raisons de savoir, ou devriez avoir des raisons de savoir, que des mineurs utilisent votre service, les obligations renforcées s'appliquent.
Le cadre juridique : trois textes à maîtriser
Le consentement parental : 15 ans en France
Pour tout traitement reposant sur la base légale du consentement (article 6.1.a), le RGPD impose d'obtenir l'autorisation du titulaire de l'autorité parentale pour les mineurs en dessous d'un seuil fixé par chaque État membre : 15 ans en France, 16 ans en Allemagne et en Irlande, 13 ans en Belgique. Entre le seuil national et 18 ans, le mineur peut consentir seul, mais des obligations renforcées de protection et d'information s'appliquent.
Vérification d'âge et interdiction des dark patterns
La loi SREN (Sécuriser et Réguler l'Espace Numérique) renforce les obligations des plateformes : vérification d'âge avant l'accès à certains contenus, interdiction des pratiques d'interface manipulatrices (dark patterns) ciblant les mineurs, procédures de retrait accélérées pour les contenus préjudiciables. Elle confie à la CNIL et à l'ARCOM des pouvoirs renforcés de contrôle et de sanction dans ce domaine.
Systèmes à haut risque interagissant avec des enfants
Le règlement européen sur l'intelligence artificielle classe comme "à haut risque" les systèmes d'IA qui interagissent avec des enfants dans des contextes éducatifs ou de bien-être. Ces systèmes devront garantir des filtres et mécanismes de sécurité documentés, une traçabilité des décisions, et une supervision humaine. La CNIL est l'autorité nationale de surveillance désignée en France pour cette catégorie de systèmes dans le domaine du travail et de l'éducation.
Quand un ado vous parle de ses angoisses, c'est une donnée sensible
C'est le point que beaucoup de développeurs ne voient pas venir. Une conversation avec un chatbot n'est pas simplement un texte. Si un mineur évoque sa santé mentale, ses convictions religieuses, son orientation sexuelle ou son origine ethnique dans cette conversation, les échanges contiennent des données sensibles au sens de l'article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions strictement encadrées.
En pratique, aucun système d'IA conversationnelle grand public n'a obtenu de consentement explicite au traitement de données de santé au sens de l'article 9.2.a du RGPD. La CNIL recommande une approche de conception préventive : mettre en place des garde-fous techniques pour détecter et limiter activement la collecte de données sensibles dans les interfaces conversationnelles accessibles aux mineurs, plutôt que de tenter de les traiter après coup sous une base légale difficile à justifier.
Collecter sans filtrer
- Aucune détection des données sensibles dans les conversations
- Historique complet des échanges stocké sans durée limite
- Conversations utilisées pour l'entraînement du modèle sans information claire
- Politique de confidentialité générique, non adaptée aux mineurs
- Aucun mécanisme de signalement des contenus à risque (idées suicidaires, auto-mutilation)
Concevoir pour protéger
- Filtres techniques limitant la collecte de données sensibles dans les conversations
- Durée de conservation des historiques de conversation définie et limitée
- Information claire sur l'usage des conversations pour l'entraînement, avec opt-out
- Politique de confidentialité rédigée dans un langage adapté aux mineurs
- Mécanisme de détection et de signalement automatique des contenus à risque vers des ressources d'aide
Les 6 obligations concrètes pour votre application
- Vérifiez votre base légale pour chaque traitement : si vous traitez des données de mineurs sur la base du consentement, ce consentement doit être obtenu auprès du titulaire de l'autorité parentale pour les moins de 15 ans. Le consentement implicite ("en utilisant l'application, vous acceptez") n'est pas valide pour les traitements impliquant des données de personnes vulnérables.
- Réalisez une DPIA avant tout déploiement : le traitement de données de mineurs via une IA conversationnelle répond aux critères de risque élevé selon les lignes directrices du Comité européen de la protection des données (CEPD). Une DPIA (article 35 du RGPD) est obligatoire, pas facultative. Elle doit documenter les risques identifiés et les mesures mises en place pour les atténuer.
- Implémentez le privacy by design pour les mineurs : l'article 25 du RGPD impose d'intégrer la protection des données dès la conception. Pour les mineurs, cela signifie : minimisation maximale des données collectées dans les conversations, suppression automatique des historiques après une durée définie, et désactivation par défaut des fonctionnalités de profilage.
- Adaptez votre politique de confidentialité : une politique rédigée pour des adultes n'est pas conforme pour des mineurs. La CNIL recommande une version simplifiée, en langage clair et accessible, expliquant concrètement ce qui se passe avec les données de conversation, si elles servent à entraîner un modèle, et comment les supprimer.
- Mettez en place des mécanismes de signalement des contenus à risque : si votre application peut recevoir des confidences sur des idées suicidaires, de l'auto-mutilation ou une détresse psychologique grave, vous avez une responsabilité éthique et réglementaire de détecter ces situations et d'orienter l'utilisateur vers des ressources humaines qualifiées. Character.AI l'a appris à ses dépens : attendre une catastrophe pour réagir n'est plus une option acceptable.
- Préparez votre documentation pour l'IA Act : à partir d'août 2026, les systèmes d'IA à haut risque interagissant avec des enfants devront être documentés de façon renforcée. Commencez dès maintenant à tenir un registre technique de votre système : données d'entraînement, paramètres de sécurité, résultats des tests de conformité, procédures de supervision humaine.
Votre application mentionne-t-elle clairement le traitement des données des mineurs ?
RGPDKit génère des politiques de confidentialité conformes au RGPD, adaptées à votre situation réelle : avec IA, avec mineurs, avec des clauses spécifiques sur les conversations et l'entraînement des modèles.
Ce que la CNIL construit pour la suite
L'enquête de mai 2026 n'est pas seulement un état des lieux. Elle lance une initiative concrète. La CNIL et le Groupe VYV ont annoncé la création de la plateforme AI*me, qui vise à fédérer chercheurs, acteurs de santé, éducateurs et régulateurs pour mieux comprendre les usages des IA par les jeunes, développer des outils adaptés, et faire émerger des repères de confiance à l'échelle européenne.
Pour les développeurs d'applications, ce signal est à double lecture. D'un côté, la CNIL reconnaît que l'IA conversationnelle peut jouer un rôle complémentaire utile dans le soutien aux jeunes en difficulté. Elle ne cherche pas à interdire ces usages. De l'autre, elle annonce clairement que les plateformes qui ne prendraient pas leurs responsabilités de protection des données et de sécurité des mineurs feront l'objet d'une attention renforcée. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de près de 487 millions d'euros. Les données des mineurs figurent parmi ses priorités explicites pour 2026.
Pour les éditeurs d'applications
Vous construisez le produit. C'est à vous de concevoir les garde-fous techniques et de rédiger la documentation réglementaire avant le déploiement.
- DPIA avant tout lancement impliquant des données de mineurs
- Filtres techniques sur les données sensibles dans les conversations
- Politique de confidentialité en langage accessible aux jeunes
- Documentation IA Act en cours de constitution dès maintenant
- Des outils de conformité comme AiActo peuvent vous aider
Pour les agences web et intégrateurs
Vous développez ou intégrez des fonctionnalités IA pour vos clients. Votre responsabilité de sous-traitant couvre les choix techniques que vous faites.
- Alertez vos clients dès qu'une fonctionnalité IA conversationnelle peut toucher des mineurs
- Documentez par écrit vos recommandations de conformité (DPIA, base légale, politique de confidentialité)
- Vérifiez que vos contrats de sous-traitance (article 28 du RGPD) couvrent les spécificités des données de mineurs
- Ne déployez pas de fonctionnalité de profil ou de scoring sur des utilisateurs dont l'âge n'est pas vérifié
Questions fréquentes
À partir de quel âge faut-il le consentement parental pour traiter les données d'un mineur ?
En France, l'article 8 du RGPD, tel que transposé par la loi Informatique et Libertés, fixe ce seuil à 15 ans. En dessous de 15 ans, le consentement d'un titulaire de l'autorité parentale est obligatoire pour tout traitement reposant sur la base légale du consentement. Entre 15 et 18 ans, le mineur peut consentir seul, mais des obligations renforcées d'information et de protection s'appliquent. Ce seuil varie selon les États membres : 16 ans en Allemagne et en Irlande, 13 ans en Belgique. Si votre application est accessible dans plusieurs pays européens, vous devez appliquer le seuil de chaque pays pour ses ressortissants.
Mon application n'est pas destinée aux mineurs. Suis-je quand même concerné ?
Oui, dès lors que vous avez des raisons de savoir, ou devriez avoir des raisons de savoir, que des mineurs utilisent votre service. La CNIL et la loi SREN ne limitent pas les obligations aux seules applications explicitement "pour enfants". Si votre app est accessible sans vérification d'âge et que des mineurs l'utilisent en pratique, les obligations de protection renforcée s'appliquent. L'argument "ce n'est pas fait pour les mineurs" n'est pas une défense valable si vous ne disposez d'aucun mécanisme pour l'empêcher.
Les conversations d'un mineur avec un chatbot sont-elles des données sensibles ?
Cela dépend du contenu. Si un mineur évoque sa santé mentale, ses convictions religieuses, son origine ethnique ou sa vie sexuelle dans une conversation, ces échanges contiennent des données sensibles au sens de l'article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions strictement encadrées. L'enquête CNIL-VYV révèle que 33 % des jeunes utilisent déjà un chatbot comme "psy". Votre système de logging ou d'entraînement de modèle peut donc contenir des données de santé mentale de mineurs sans que vous en ayez eu conscience.
Faut-il une DPIA pour une application utilisant une IA conversationnelle avec des mineurs ?
Oui, dans la quasi-totalité des cas. Une DPIA est obligatoire dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le traitement de données de personnes vulnérables, dont les mineurs, déclenche systématiquement cette obligation selon les lignes directrices du CEPD. L'IA Act renforce cette exigence : les systèmes d'IA à haut risque interagissant avec des enfants devront être documentés de façon renforcée à partir d'août 2026.
Qu'est-ce que la loi SREN et que change-t-elle pour les développeurs ?
La loi SREN (Sécuriser et Réguler l'Espace Numérique) de mai 2024 renforce les obligations des plateformes numériques concernant la protection des mineurs. Elle impose une vérification d'âge avant l'accès à certains contenus, des procédures de retrait accélérées pour les contenus préjudiciables aux mineurs, et l'interdiction des pratiques d'interface manipulatrices (dark patterns) à leur égard. Elle donne à la CNIL et à l'ARCOM de nouveaux pouvoirs de contrôle et de sanction, avec des amendes pouvant atteindre 1 % du chiffre d'affaires mondial pour les plateformes ne respectant pas les obligations de vérification d'âge.
Comment adapter la politique de confidentialité d'une application accessible aux mineurs ?
La politique doit être rédigée dans un langage adapté au niveau de compréhension des mineurs : phrases courtes, vocabulaire simple, exemples concrets. Elle doit expliquer clairement quelles données sont collectées dans les conversations, si elles servent à entraîner un modèle d'IA, combien de temps elles sont conservées, et comment les supprimer. La CNIL recommande une version courte et accessible depuis l'interface principale, en complément d'une notice longue exhaustive. Une icône ou un lien visible "Mes données" est une bonne pratique de conception pour les interfaces jeunesse.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.