C’est une nouvelle règle inscrite dans la loi : les sites pornographiques qui sont accessibles en France ont l’obligation de vérifier de manière efficace l’âge des internautes, de façon à empêcher les mineurs d’accéder à des contenus qui ne sont pas de leur âge. Le but est louable : les enfants accèdent aujourd’hui trop facilement au X et il faut que cela cesse.
Mais l’échafaudage juridique qui a été érigé pour contraindre les éditeurs de sites X à réagir, sous peine de blocage par les fournisseurs d’accès à Internet après décision de justice, est branlant, car incomplet. Ni le législateur ni le régulateur (Autorité de régulation de la communication audiovisuelle et numérique) ne donnent la recette à suivre.
En somme, c’est aux sites de se débrouiller. L’Arcom évalue ensuite la solution retenue et indique si elle est appropriée ou non. Et pour l’instant, rien ne trouve grâce à ses yeux : l’Arcom a par exemple mis en demeure le site « Jacquie et Michel » de mieux faire, sous peine de restriction d’accès. Pourtant, le site est paradoxalement l’un des rares à tenter un vrai contrôle.
Comment vérifier l’âge des internautes sur les sites X ?
C’est dans ce contexte étrange que la Commission nationale de l’informatique et des libertés (Cnil) a apporté sa contribution, le 26 juillet 2022. L’autorité s’est efforcée de passer en revue les systèmes existants (vérification de l’âge par validation de la carte de paiement, par analyse faciale, par vérification hors ligne, par analyse de documents d’identité, par des outils proposés par l’État, par inférence).
Les conclusions étaient prévisibles : « ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles ». En outre, la Cnil prévient que certaines solutions « peuvent, par ailleurs, présenter des risques pour la vie privée » : des données personnelles sont en jeu dans ce processus de vérification.
Par exemple, une carte bancaire peut être octroyée à un mineur. Un enfant peut aussi éventuellement subtiliser la CB d’un parent pour tromper le système. Une analyse des traits du visage a aussi ses limites : outre le caractère symboliquement assez dérangeant dans ce contexte, la reconnaissance faciale rencontre parfois des erreurs.
Quant aux solutions qui pourraient être envisagées, la Cnil prévient qu’elles peuvent reposer sur des préalables techniques contraignants ou ne pas avoir atteint un degré de maturité suffisant. Les systèmes de vérification de l’âge par inférence par exemple, qui consistent entre autres à deviner la maturité d’un internaute via un questionnaire, sont incertains.
Cela étant, ce n’est pas parce qu’une piste n’est pas absolument parfaite et qu’elle ne satisfait pas complètement des objectifs qui peuvent être contradictoires qu’il ne faut rien faire. La Cnil admet les limites d’un tel exercice, mais formule malgré tout des recommandations et soutient le développement de solutions qui ne mettent pas en difficulté la vie privée.
« À défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. »
La Cnil
Première et principale requête : la solution qui permet de contrôler l’âge doit être opérée par un tiers de confiance, de manière totalement indépendante du site X. Pour établir la fiabilité de ce tiers, un système de labellisation ou de certification pourrait être imaginé, avec des critères objectifs à satisfaire, à même de fournir des garanties suffisantes.
Autre exigence évidemment majeure : que le degré de sécurité de la solution soit assez élevé pour limiter des incidents, comme une fuite de données. En filigrane, on devine qu’il faut sécuriser les échanges et chiffrer les éventuelles données faisant l’objet d’un stockage. Par ailleurs, la collecte des données devrait être minime et la plus provisoire possible.
Le plan imaginé par la Cnil implique un processus traversant trois plateformes : le site X, le site qui vérifie l’âge en connaissant l’identité de l’internaute et le site qui se fait le lien entre les deux. Ce serait « une triple protection de la vie privée », estime la Commission nationale de l’informatique et des libertés. Elle a d’ailleurs produit une infographie pour schématiser son idée :
- celui qui fournit la preuve d’âge connaît l’identité de l’utilisateur, mais ne sait pas quel site est consulté ;
- celui qui transmet la preuve d’âge au site peut connaître le site ou service consulté, mais ne connaît pas l’identité de l’utilisateur ;
- le site ou service soumis à la vérification de l’âge sait que l’internaute est majeur et qu’une personne le consulte, mais ne connaît pas son identité.
Avec l’arrivée future de l’application d’identité numérique, combinée avec la carte nationale d’identité électronique, on pourrait imaginer qu’elle puisse générer des jetons d’authentification qui confirmeraient le caractère majeur ou mineur de l’internaute, sans exposer son identité. Mais l’usage d’un tel service régalien pour accéder à du X ne fera pas l’unanimité.
En somme, l’enjeu qui se dessine est de déterminer quel est le degré d’exigence que l’on cherche à atteindre avec ce contrôle de l’âge sur les sites web interdits aux mineurs, sachant que l’efficacité absolue n’existe pas et que l’on fait face à des nécessités contradictoires — vérifier avec certitude l’âge d’un individu, mais sans trop mettre en péril sa vie privée.
Une sacrée quadrature du cercle à résoudre, en somme. Et à défaut d’avoir une solution parfaite, il faut garder l’objectif essentiel de la loi : éviter un accès trop facile des mineurs aux contenus pornographiques. Arrivera-t-on à empêcher tous les mineurs de voir du X ? Sans doute pas. Mais par rapport à la situation actuelle, où c’est open bar, ce ne sera pas pire.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
