Qui la COPPA couvre réellement

La COPPA s'applique à tout site web commercial, application mobile, appareil connecté ou service en ligne qui est soit dirigé vers des enfants de moins de 13 ans, soit qui a une connaissance effective qu'il collecte des informations personnelles auprès d'un enfant de moins de 13 ans. La portée est plus large que la plupart des éditeurs ne le supposent, car la FTC interprète les deux critères de manière agressive.

Un service est dirigé vers les enfants sur la base d'une analyse multifactorielle : thème, contenu visuel, utilisation de personnages animés ou d'activités orientées enfants, musique, âge des modèles, présence de célébrités populaires auprès des enfants, langue, publicité sur le service qui est elle-même destinée aux enfants, et preuves empiriques fiables sur la composition du public. Un site grand public peut devenir un service à audience mixte dès qu'une section est construite autour de contenus destinés aux enfants.

Trois erreurs que les éditeurs commettent systématiquement :

• Croire qu'une barrière d'âge dans les Conditions d'utilisation lors de l'inscription est suffisante. Elle ne l'est pas, à elle seule, lorsque le reste du site signale une intention orientée enfants.
• Supposer qu'absence d'utilisateurs connectés signifie absence d'exposition à la COPPA. Les identifiants persistants — cookies, adresses IP, identifiants d'appareils, identifiants publicitaires — constituent des informations personnelles au sens de la COPPA lorsqu'ils sont collectés auprès d'un enfant.
• Traiter la COPPA comme indépendante des lois sur la vie privée des États. Le Code de conception adapté à l'âge de Californie, la loi sur les données des enfants du Connecticut et les propositions fédérales s'appuient tous sur les définitions de la COPPA ; un programme COPPA solide est le fondement de la conformité à toutes ces réglementations.

Ce que l'amendement de 2025 a réellement changé

La règle finale de la FTC de janvier 2025, première mise à jour globale depuis 2013, a modernisé la COPPA de cinq manières concrètes que les éditeurs doivent intégrer.

Opt-in séparé pour la publicité tierce

Les opérateurs ne peuvent plus inclure les divulgations publicitaires tierces dans un consentement parental unique pour l'utilisation du service. La publicité comportementale sur un service destiné aux enfants nécessite désormais un consentement parental vérifiable distinct, en opt-in, différent du consentement à l'utilisation du service lui-même. Le groupage — norme historique pour les applications et sites pour enfants financés par la publicité — est désormais expressément interdit.

Informations personnelles élargies

L'amendement a élargi la définition des informations personnelles pour inclure les identifiants biométriques capables d'authentifier un individu, notamment les empreintes digitales, les empreintes vocales, les images de la rétine ou de l'iris et les modèles de géométrie faciale. Il a également précisé que les identifiants délivrés par un gouvernement de n'importe quel gouvernement, pas seulement américain, sont qualifiés. Les éditeurs exploitant des fonctionnalités de recherche vocale, des assistants IA ou des outils de téléchargement de photos sur des services destinés aux enfants doivent cartographier ces flux par rapport à la nouvelle définition.

Limites de conservation des données

La nouvelle règle oblige les opérateurs à publier une politique de conservation écrite limitant le stockage des informations personnelles des enfants à ce qui est raisonnablement nécessaire pour atteindre l'objectif pour lequel elles ont été collectées. La conservation indéfinie n'est plus autorisée et la politique doit être liée depuis la notice de confidentialité.

Méthodes de consentement parental vérifiable renforcées

L'amendement a formalisé le menu des méthodes VPC acceptables et a ajouté une option d'authentification basée sur la connaissance utilisant des questions à choix multiples dynamiques auxquelles seul le parent peut répondre. Les méthodes classiques — transaction par carte de crédit, formulaire signé, conférence vidéo avec un opérateur formé, vérification par pièce d'identité officielle — restent disponibles mais doivent être documentées par événement de consentement.

L'avis de changement substantiel déclenche une nouvelle VPC

Tout changement substantiel aux pratiques de données — nouvelles catégories de données collectées, nouveaux destinataires tiers, nouveaux accords publicitaires — déclenche un nouveau consentement parental vérifiable. Les opérateurs ne peuvent pas s'appuyer sur un consentement de 2018 pour autoriser une intégration publicitaire de 2026.

Le consentement parental vérifiable en pratique

Le consentement parental vérifiable est le cœur de la COPPA, et c'est la partie que les éditeurs mettent le plus souvent en œuvre de manière insuffisante. La norme juridique exige un consentement raisonnablement conçu pour s'assurer que la personne fournissant le consentement est bien le parent de l'enfant — et non simplement un consentement collecté de n'importe quelle manière.

Les méthodes approuvées par la FTC que les éditeurs doivent connaître :

• Transaction par carte de crédit ou de débit avec une notification au titulaire de la carte. Une petite charge ou une autorisation à zéro dollar est acceptable lorsqu'elle est accompagnée d'une notice de transaction.
• Vérification de pièce d'identité officielle via un fournisseur d'identité tiers sécurisé, avec destruction de la pièce d'identité immédiatement après vérification.
• Authentification basée sur la connaissance — nouvelle option introduite par la règle de 2025 — utilisant des questions à choix multiples dynamiques issues de sources publiques.
• Formulaire de consentement signé renvoyé par courrier, fax ou scan électronique.
• Conférence vidéo avec un opérateur formé qui confirme l'identité par rapport à une pièce d'identité officielle présentée.
• E-mail-plus — uniquement autorisé pour les informations personnelles à usage interne uniquement, et nécessite une étape de confirmation ultérieure. Ne comptez pas sur l'e-mail-plus pour les données publicitaires.

La question opérationnelle clé est la documentation. Pour chaque utilisateur enfant, l'opérateur doit être en mesure de démontrer, sur demande de la FTC : quelle méthode a été utilisée, qui était le parent vérificateur, quelles catégories de données ont été autorisées, quels tiers ont été nommés et l'horodatage du consentement. Un CMP moderne de style FlexyConsent devrait s'intégrer au fournisseur VPC et stocker cette trace dans le même journal d'audit que les événements de consentement aux cookies.

Le consentement aux cookies sur les sites destinés aux enfants

La COPPA et la bannière de cookies se situent sur des niveaux juridiques différents mais doivent fonctionner ensemble. Les bannières de consentement aux cookies au titre du GDPR/ePrivacy ou des lois étatiques comme la CCPA ne satisfont pas à la COPPA, et le consentement parental vérifiable ne dispense pas l'opérateur des obligations de divulgation liées aux cookies. Les opérateurs servant des enfants doivent faire fonctionner les deux niveaux en coordination.

Bloquer le suivi jusqu'à l'obtention du VPC

Sur une page destinée aux enfants, aucun cookie publicitaire ou analytique ne peut se déclencher avant que le VPC soit obtenu pour cet utilisateur. Une bannière classique « tout accepter » n'est pas le bon outil — l'état par défaut doit être rien ne se déclenche jusqu'à ce que le consentement parental soit enregistré, et même alors uniquement pour les catégories autorisées par le parent.

Restreindre la liste des fournisseurs aux partenaires conformes COPPA

La liste des fournisseurs sur un site destiné aux enfants est nécessairement plus courte que sur un site grand public. Les SSP, DSP et fournisseurs d'analyse doivent garantir contractuellement qu'ils n'utilisent pas les données des enfants à des fins de ciblage comportemental et ne transfèrent pas l'enfant à des réseaux comportementaux en aval. La plupart des grands SSP publient un mode d'inventaire conforme à la COPPA ; configurez votre stack dans ce mode et supprimez les partenaires non conformes.

Afficher les contrôles parentaux dans le pied de page

La notice de confidentialité doit inclure une section claire et en langage simple adressée aux parents avec des instructions pour consulter, modifier ou révoquer le consentement pour leur enfant. Un lien permanent en pied de page libellé comme Pour les parents répond aux attentes d'accessibilité de la FTC et crée une trace défendable lorsqu'un enquêteur effectue un audit d'utilisabilité.

Le schéma d'application de la FTC en 2024–2026

L'application sous la COPPA s'est accélérée depuis la transaction YouTube de 2019 qui a relancé l'appétit de la FTC pour les affaires impliquant de grands éditeurs. Les schémas issus des décrets de consentement récents offrent une feuille de route sur ce que la FTC recherche réellement lors d'une enquête.

• Les identifiants persistants comme principale preuve. La FTC assigne régulièrement les journaux publicitaires de l'opérateur et les corrèle avec les données d'audience pour démontrer que des identifiants ad-tech ont été attribués à des utilisateurs enfants identifiables sans VPC. Les documents internes qualifiant l'audience d'« enfants » ou de « kids » tandis que le programme de confidentialité la traite comme un public général sont catastrophiques.
• La mauvaise gestion des fournisseurs comme facteur multiplicateur. Lorsqu'un opérateur transmet des données d'enfants à un SSP non conforme à la COPPA, les deux parties deviennent responsables. La FTC a poursuivi des opérateurs principaux et des réseaux en aval dans des actions parallèles.
• Les constats de schémas de comportement. Un seul manquement VPC peut constituer un constat ; un schéma de manquements sur plusieurs interfaces produit devient un chef d'accusation de pratiques trompeuses au titre de la Section 5 du FTC Act, élargissant à la fois la sanction et la portée du décret de consentement.
• L'escalade des sanctions civiles. La sanction civile maximale par infraction prévue par le FTC Improvements Act a été ajustée à la hausse chaque année ; en 2025, elle dépassait 50 000 dollars par infraction, chaque enfant étant traité comme une infraction distincte dans certaines affaires.

Mettre en place une stack prête pour la COPPA

Mettre en œuvre la COPPA d'une manière qui résiste réellement au contrôle de la FTC est un problème de coordination entre les équipes produit, technique, publicité et juridique. Le travail se décompose en six flux opérationnels.

1. Classifier chaque propriété et interface

Pour chaque domaine, sous-domaine, application et point de terminaison d'appareil connecté, déterminez s'il est destiné aux enfants, à une audience mixte ou à un public général. Documentez l'analyse. Une interface à audience mixte — par exemple, une page d'accueil comportant à la fois du contenu adulte et du contenu enfant — doit appliquer la COPPA uniquement aux utilisateurs qui se déclarent eux-mêmes de moins de 13 ans via une barrière d'âge neutre, et non à tous les utilisateurs.

2. Construire la barrière d'âge correctement

Une barrière d'âge neutre demande la date de naissance d'une manière qui ne laisse pas entendre que les utilisateurs plus âgés bénéficient d'un accès plus large. Demander avez-vous 13 ans ou plus ? n'est pas neutre et la FTC l'a signalé. Un simple sélecteur jour-mois-année, utilisé une fois par appareil avec un cookie inaltérable, est l'approche standard.

3. Intégrer un fournisseur VPC

À moins que votre équipe produit n'envisage d'exploiter le VPC en interne, intégrez un fournisseur spécialisé — plusieurs fournisseurs approuvés par la FTC existent — et rendez l'intégration appelable depuis votre CMP, votre flux d'inscription et votre portail de gestion du consentement parental. Stockez l'enregistrement d'audit par événement dans la base de données du CMP, pas dans le silo du fournisseur VPC.

4. Configurer les stacks publicitaires et analytiques en mode COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network et les principaux DSP proposent tous un indicateur tag pour le traitement destiné aux enfants. Définissez-le sur chaque appel publicitaire provenant d'une interface destinée aux enfants ou d'un utilisateur authentifié de moins de 13 ans. Vérifiez avec la documentation du fournisseur que l'indicateur déclenche réellement une diffusion contextuelle uniquement, et pas simplement une réduction de la documentation.

5. Connecter les contrôles parentaux et la suppression

Les parents ont le droit de consulter, modifier et supprimer les données de leur enfant à la demande. Créez un portail parental accessible depuis la notice de confidentialité, qui authentifie le parent, affiche les données enregistrées et propose des contrôles granulaires. La suppression doit être propagée à tous les tiers répertoriés dans l'enregistrement de consentement dans un délai raisonnable — la plupart des opérateurs s'engagent sur 30 jours.

6. Auditer chaque trimestre

Effectuez une révision trimestrielle couvrant : les changements dans la liste des fournisseurs, les nouvelles interfaces produit, la conformité à la conservation, le renouvellement du décret de consentement et les mises à jour des orientations de la FTC. La FTC publie régulièrement des mises à jour de ses orientations commerciales sur la COPPA ; abonner votre équipe de confidentialité à la liste de diffusion de la FTC est l'investissement de conformité le moins coûteux qui soit.

Les pièges courants à éviter

Des schémas répétés d'échec apparaissent dans les audits des éditeurs et les décrets de consentement de la FTC :

• Traiter la COPPA comme un problème d'inscription. La plupart de l'exposition à la COPPA provient d'identifiants ad-tech anonymes sur des pages destinées aux enfants, et non de comptes enregistrés.
• Supposer que les « publicités contextuelles » signifient par défaut une conformité à la COPPA. Certains réseaux publicitaires « contextuels » définissent toujours des identifiants persistants en arrière-plan ; vérifiez le comportement réel des cookies.
• Laisser les lancements produit dépasser la revue de confidentialité. Une nouvelle fonctionnalité ajoutée sans revue du décret de consentement peut invalider l'ensemble de votre programme. Ajoutez une porte de confidentialité à votre processus de publication.
• Oublier les interfaces d'appareils connectés et de CTV. La COPPA couvre explicitement les téléviseurs connectés, les assistants vocaux et les consoles de jeux. De nombreux éditeurs omettent encore cela dans leur inventaire.
• Des enregistrements de consentement obsolètes. Un changement substantiel aux pratiques de données annule le VPC précédent. Les éditeurs qui effectuent des changements ad-tech mensuellement ont besoin d'un processus pour actualiser le VPC, faute de quoi l'exposition s'accumule.

À quoi ressemblera la COPPA en 2027 et au-delà

Deux trajectoires vont remodeler cet espace dans les dix-huit prochains mois. Premièrement, des propositions fédérales comme la KOSA — le Kids Online Safety Act — ajouteraient des obligations de diligence supplémentaires par-dessus la COPPA, notamment des obligations de conception de contenu et des exigences plus strictes en matière de vérification de l'âge. Que la KOSA soit adoptée intégralement ou en parties, la direction réglementaire est à davantage d'obligations, pas moins. Deuxièmement, l'expansion État par État des codes de conception pour les enfants — Californie, Connecticut, Maryland et d'autres en attente — crée un patchwork que les éditeurs doivent satisfaire en parallèle de la COPPA fédérale. Les opérateurs qui traitent la conformité COPPA de 2026 comme une base, avec une capacité supplémentaire pour superposer les exigences étatiques, sont ceux qui n'auront pas à tout réarchitecturer en 2027.

Conclusion

La COPPA en 2026 n'est plus une exigence de niche pour les développeurs d'applications pour enfants — c'est une infrastructure de confidentialité grand public pour tout éditeur dont l'audience comprend des enfants, même partiellement. L'amendement de 2025 a fermé les lacunes dans lesquelles les éditeurs avaient l'habitude de s'engouffrer, notamment le raccourci du consentement groupé pour la publicité. Déployez une barrière d'âge défendable, intégrez un fournisseur de consentement parental vérifiable, configurez votre stack publicitaire en mode COPPA et documentez tout dans un journal d'audit CMP aux côtés de vos événements de consentement aux cookies standard. Faites-le bien et le trafic destiné aux enfants reste monétisable. Faites-le mal et vous lirez votre propre décret de consentement sur le site web de la FTC avec une sanction civile de plusieurs millions de dollars attachée.