Le Pôle d'expertise de la régulation numérique vient de diffuser une étude sur le contrôle d’âge en ligne. La synthèse pourrait se résumer en quelques mots : « it’s complicated ». Cependant, un PoC (ou « proof of concept ») est sur la rampe, en collaboration entre le PEReN, la CNIL et l'école Polytechnique.
Le sujet est dans le cœur de l’actualité avec cette procédure judiciaire initiée par l’ARCOM contre cinq sites pornographiques toujours en cours. L’objectif ? Imposer à Pornhub, Ttukif, xHamster, Xnxx, et Xvideos un contrôle d’âge, sous la menace d'un blocage chez les FAI. Depuis une loi de 2020, d’origine LREM, les disclaimers d’âge ne sont plus un paravent suffisant pour éviter l’infraction.
Le dossier sera bientôt jugé au tribunal judiciaire de Paris, doublé par une procédure au Conseil d’État, sans compter le dépôt prochain d’une question prioritaire de constitutionnalité et d’une question préjudicielle.
L’exercice n’est pas simple en raison du silence du législateur, des textes d’application et de la passivité de l’Arcom sur les moyens qui doivent être mis en œuvre par les éditeurs de sites X.
Comment trouver « LA » solution qui puisse passer entre les fourches du Code pénal, tout en respectant les règles du RGPD ? Ces contenus flirtent en effet avec les orientations sexuelles qu’il est simple de déduire en analysant les catégories visitées par l’internaute. La CNIL a déjà fixé plusieurs lignes rouges dans une délibération sur le sujet, interdisant par exemple analyse biométrique et autres fournitures d’une pièce d’identité.
De son côté, le Pôle d'expertise de la régulation numérique (PEReN), dont la mission est de fournir aux services de l'État une assistance technique, vient de publier un « panorama critique des solutions actuellement déployées » en matière de contrôle d’âge.
Son constat ? « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ».
Un contrôle d'âge non limité au porno
Le document rappelle utilement que la question du contrôle d’âge ne concerne pas seulement les contenus pour adultes. Le RGPD fixe par exemple à 16 ans l’âge à partir duquel un mineur est en capacité de consentir seul à un traitement de données à caractère personnel. Dans la marge de manœuvre laissée aux États membres, le seuil peut être abaissé jusqu’à 13 ans. La France, pour sa part, a opté pour 15 ans à l’occasion de la loi d’adaptation suite à l’entrée en application du RGPD, le 25 mai 2018.
De même, rappelle le PEReN, « la législation sur les services numériques (DSA) va introduire une interdiction de la publicité ciblée pour les mineurs. Les modalités de mise en œuvre de cette interdiction qui était au cœur des négociations restent à être définies. Ce texte interdira aux plateformes d’utiliser les données personnelles des mineurs dont elle a la connaissance effective qu’elles collectent à des fins de publicité ciblée. Par ailleurs, le texte devrait préciser que cette obligation ne doit pas conduire à la collecte d'informations personnelles supplémentaires ».
Son étude sur le sujet de la détection des mineurs relève que les grandes plateformes ne se sont pour l'instant contentés que d’un système auto-déclaratif, par définition plus que fragile. Certes, « afin de réduire la présence de mineurs sur leurs plateformes, la plupart des réseaux sociaux utilisent donc en complément une méthode de détection de mineurs en continu. Activée en arrière-plan, celle-ci se fonde le plus souvent sur la recherche de mots-clés prédéfinis dans le contenu publié par l’utilisateur et pouvant suggérer son âge ». Mais là encore, ce système montre ses limites, déjà parce qu’« un utilisateur mineur présent sur une plateforme sans y publier de contenu ne pourra jamais être détecté comme tel par ce type d’algorithme ».
D’autres moyens parallèles sont encore mis en œuvre : signalement des mineurs, examen humain, et autres méthodes reposant sur des « signaux faibles »… Le PEReN cite aussi l’exemple de Yoti, « une entreprise britannique qui revendique aujourd’hui 500 millions de vérifications », et dont la solution « repose sur l’estimation de l’âge à partir d’une courte vidéo ou photo de l’utilisateur et d‘intelligence artificielle, avec une marge d’erreur auto-déclarée de 1 an et demi pour les utilisateurs âgés entre 13 et 24 ans ».
Un panorama des solutions disponibles
Le dossier dresse un panorama des solutions disponibles pour vérifier la majorité, avec trois piliers : le « contrôle d’âge », « l’estimation algorithmique » et enfin le volet « déclaratif », éprouvés tour à tour par la combinaison de sept critères (« facilité d’implémentation », « lisibilité », « commodité » et « degré d’intrusion dans la vie privée », « robustesse à la fraude », « performance » et enfin « flexibilité de la méthode ».)
Chacune des méthodes est passée au crible et aucune n’apporte de résultat 100 % satisfaisant. Le contrôle par carte bancaire ? Il n’offre pas de « granularité sur l’estimation de l’âge », sans compter qu’en France, « il est possible de détenir une carte bancaire avant 18 ans. Cette méthode ne pourrait donc pas être utilisée par exemple dans le cas des sites pornographiques ».
La vérification par un bureau de tabac ? Tributaire de la fiabilité des contrôles exercés par les buralistes, elle « peut être perçue comme contraignante pour certains utilisateurs ».
L’usage d’une base de données nationale ? « L’acceptabilité sociale de cette méthode est conditionnée à l’existence d’un mécanisme de double anonymat afin de garantir que le tiers ayant accès à la base nationale ne connaisse pas le service depuis lequel la requête de vérification a été émise ».
Le contrôle d’une pièce d’identité, d’une photo ? « Elle présente l’inconvénient de demander aux utilisateurs un document identifiant et des données biométriques ».
Si le PEReN juge intéressant le futur « Service de garantie de l’identité numérique », avec contrôle de la puce intégrée dans la carte d’identité, il est encore dubitatif sur les solutions de contrôle parental : « les modalités d’application précises de la loi ne sont pas encore connues ». Autre inconnue, « la part des parents qui utiliseraient réellement le dispositif ». Se posent aussi de multiples questions pour « son implémentation sur le parc existant d’une part, et son efficacité sur des ordinateurs partagés » d'autre part.
L’auto-déclaratif est certes peu contraignant, mais il n’est évidemment ni fiable ni robuste. Quant au « profilage social basé sur le contenu publié par l’utilisateur », il « dépend du contenu publié par l’utilisateur et n’est donc pas applicable à toutes les plateformes ». Quant aux estimations basées sur des données biométriques, elles souffrent de marges d’erreur, outre qu’elles génèrent des traitements sur des données biométriques de jeunes enfants.
Pas de solution uniforme
De multiples solutions existent donc, avec une efficacité variable, sachant qu'aucune ne peut s’imposer uniformément à l’ensemble des services en ligne. Un contrôle d’âge à l’entrée d’un site pornographique n’est pas nécessairement duplicable sur un réseau social où une politique de modération peut réduire les risques d’expositions à certains contenus. De même, doit jouer le principe de proportionnalité. Pour le Pôle d’expertise, il apparaîtrait ainsi « démesuré de demander une carte d’identité pour accéder aux contenus de Disney, au motif que certains sont déconseillés aux moins de 13 ou 16 ans ».
Le sujet est aussi empreint de plusieurs risques. « Il est fréquent que les grandes plateformes effectuent elles-mêmes la vérification de l’âge. Or cette situation les conduit à collecter davantage de données personnelles qu’elles sont ensuite en mesure de croiser avec d’autres données en leur possession ou d’utiliser à des fins commerciales. Certaines plateformes en effet utilisent le prétexte d’une vérification d’âge pour demander une date de naissance précise, qui est alors utilisée pour raffiner le profilage et le ciblage publicitaire de leurs utilisateurs majeurs ».
Double tiers de confiance
Pour le minimiser, le Pôle préconise le passage par un tiers de confiance. « En l’absence de tiers, un site à accès restreint endosserait également le rôle de vérificateur d’âge de ses utilisateurs. Il pourrait alors rattacher des données personnelles ou sensibles en sa possession à l’identité de la personne. Le mécanisme de tiers permet de pallier ce problème en reportant la vérification de l’âge sur un service extérieur de vérification, vers lequel l’utilisateur est automatiquement redirigé ».
Et pour solidifier davantage cette organisation, il plaide en faveur d’un système de double tiers de confiance, où un nouvel intermédiaire serait « chargé de transférer les informations entre le site à accès restreint et le site vérificateur, de sorte que ce dernier ne connaisse pas le site réellement visité ».
Aucune naïveté du PEReN qui sait que « ce cumul de tiers n’apporte cependant pas de garantie d’anonymat en cas de collusion entre deux des entités concernées ».
Un PoC CNIL-PEReN-Polytechnique
Celui-ci imagine cependant une solution qui ferait intervenir une extension de navigateur, baptisée VérifÂge, chargée du transfert des jetons. Cette extension, interopérable, « permettrait à l’internaute de récupérer de manière automatique des demandes d’âge sur les sites à accès restreint puis de les faire valider lorsqu’il navigue sur un service de vérification d’âge, pour renvoyer enfin les jetons correspondants aux sites concernés ».
Le code devrait être « open source » et une autorité serait chargée « d’accréditer ou révoquer les tiers autorisés à valider ces jetons afin de garantir l’effacement des données et un haut niveau de protection de celles potentiellement sensibles ».
Fait notable, le rapport relève que la CNIL, en partenariat avec l’École polytechnique et le PEReN, ont développé un PoC (proof of concept) de vérification d’âge par double anonymat. Et « cette preuve de concept pourrait être rendue disponible fin mai ».
