La CNIL vient de publier un dossier complet sur la vérification d’âge. Vérification à laquelle sont désormais astreints tous les sites pornographiques. Plusieurs d’entre eux ont rendez-vous devant les tribunaux, suite à une procédure ouverte par le président de l’Arcom, nouveau nom du CSA.
C’est le 6 septembre que se tiendra à Paris l'audience de blocage des sites PornHub, TuKif, xHamster, xnxx et xVideos. Sauf surprise, devraient suivre ensuite les dossiers RedTube et YouPorn, et peut-être plus tard celui des trois sites de la galaxie Jacquie et Michel.
Point commun de toutes ces affaires ? Des pages pornographiques à trop faible portée de clics des mineurs, en contrariété avec l’article 227-24 du Code pénal qui prohibe cette accessibilité.
Les sites mis à l’index ne peuvent plus se contenter d’un disclaimer d’âge, maigre solution rejetée par le législateur depuis juillet 2020. Quant à Jacquie et Michel, seul acteur à avoir mis en place une solution de contrôle d’âge par carte bancaire, son choix n’a pas été jugé suffisamment robuste par le président de l’Arcom. L’autorité exige en effet une solution beaucoup plus fiable pour s'assurer de la majorité d'un internaute.
Lors des débats parlementaires, précédant la loi du 30 juillet 2020 sur les violences conjugales, la députée LREM Bérangère Couillard n’avait donné aucune piste aux éditeurs, expliquant que ces derniers ont « la liberté des moyens ». En somme, à eux de se débrouiller.
Deux ans plus tard, au cœur de l’été, la CNIL vient de publier un dossier sur le sujet. Dans son panorama, elle constate que les principaux systèmes sur le marché sont tous « contournables et intrusifs », contraignant l’autorité à appeler « à la mise en place de modèles plus respectueux de la vie privée ».
Vers une diminution du nombre de sites librement consultables
De ce constat, elle « rappelle l’importance d’informer et de sensibiliser enfants, parents, responsables légaux et personnels de la communauté éducative et de l’encadrement de la jeunesse sur les bonnes pratiques informatiques, compte tenu de l’importance croissante des outils numériques dans la vie des citoyens ».
Et celle-ci de privilégier des actions en bout de réseaux, à savoir chez les utilisateurs par exemple à l’aide de logiciels de contrôle parental plutôt que des « solutions centralisées ou imposées ».
« Cette logique présente une limite », est-elle contrainte de relever, puisque « la loi prévoit en effet que, dans certains cas, c’est aux éditeurs de sites (par exemple, des sites pornographiques) qu’incombent des obligations de vérification de l’âge ».
Aux avant-postes de la régulation des données, la CNIL va jusqu’à anticiper « une multiplication des obligations de vérification de l’âge pour certains services », et ce sur l’autel d’une « meilleure protection de la jeunesse en ligne ». Avec pour conséquence, ou risque, « la diminution du nombre de sites dont la consultation se ferait librement ».
Un mouvement qui l’oblige à émettre des recommandations et même des « mises en garde » puisque la protection des mineurs ne doit pas négliger d’autres principes comme les sacro-saints principes de minimisation et de sécurité des données traitées par ces éditeurs. D’autant que des catégories visitées sur les sites pornos, il est simple de déduire l’orientation sexuelle d’un individu, donnée ô combien sensible dans le RGPD.
Sites de méfiance, tiers de confiance
Ce jour, elle remet donc une deuxième pièce dans la machine, après avoir déjà dessiné une première série de lignes rouges dans son avis du 3 juin 2021, portant sur le projet de décret relatif à la procédure de blocage des sites pornographiques.
Elle plaide encore et toujours pour une solution basée sur un tiers de confiance, articulée autour de la transmission d’une preuve d’âge. Elle rappelle l'existence de ce démonstrateur développé par l’autorité avec Olivier Blazy, professeur à l’École polytechnique et le PEReN, ou Pôle d’expertise de la régulation numérique de l’État.
En outre, elle recommande une évaluation tierce de l’ensemble des vérificateurs d’âges, avec une solution de labellisation inspirée « des modalités d’encadrement existant pour les prestataires de vérification d’identité à distance (PVID), qui impose une qualification de l’ANSSI sur la base de standards précis et auditables ».
Relevons qu’à ce jour, du côté de l’Agence nationale de la sécurité des systèmes d’information, « aucun prestataire de vérification d’identité à distance n’est certifié », une dizaine de solutions étant en phase de certification.
Aucune solution satisfaisante sur le marché
Prenant un peu plus de hauteur, la CNIL note que l’efficacité des outils de contrôle de l’âge actuellement sur le marché « est tributaire des règles de fonctionnement d’Internet, conçu comme un réseau ouvert, accessible librement aux utilisateurs comme aux éditeurs de sites ». Et, sans négliger l’importance de la protection des mineurs, elle juge nécessaire « de veiller à préserver les multiples bénéfices liés à ce modèle ouvert (innovation, liberté d’expression, autonomie des utilisateurs, etc.) ».
Dans son tri des solutions actuellement en place, la commission a trois exigences : « une vérification suffisamment fiable, une couverture complète de la population ainsi que le respect de la protection des données et de la vie privée des individus et de leur sécurité ».
Passage en revue
La carte bancaire ? Elle est contournable (des mineurs peuvent détenir un tel moyen de payement), non accessible à tous (tous les majeurs n’en disposent pas, au regard de leurs revenus), et peut susciter un risque d’hameçonnage.
L’analyse faciale ? Outre les risques d’erreur, ce système peut entraîner des risques de chantage à la webcam.
Une vérification dans un bureau de tabac ou une grande surface ? « Cette modalité ne saurait être déployée pour le seul usage de la consultation de sites à caractère pornographique, car elle pourrait être stigmatisante pour la personne concernée ». En outre, la CNIL anticipe un risque de développement de marché parallèle, à l’instar des cigarettes ou de l’alcool.
La vérification des documents d’identité ? Peu fiable et facilement contournable, sauf lorsque l’image scannée est comparée avec une captation en direct. « Cependant, dès lors qu’il conduit au traitement de données biométriques, son usage devrait être particulièrement encadré et doit en principe, en application du RGPD, être prévu par une norme juridique spécifique ou reposer sur un consentement libre des personnes ».
Le recours à FranceConnect et assimilés ? Si ces solutions n’ont pas été pensées pour une telle finalité, « le recours à ces dispositifs conduirait à un risque d’association d’une identité officielle à des informations intimes et à une supposée orientation sexuelle ».
Enfin, la vérification d’âge par inférence ? L’analyse de l’historique de navigation est jugée trop intrusive. L’analyse des réponses à un questionnaire pour deviner la maturité d’une personne est d’une « fiabilité relative », outre qu’elle pourrait discriminer la population sur l’autel des compétences individuelles.
Enfin, « l’analyse de la navigation sur les services propres à l’éditeur du site », qui permet de vérifier l’âge sur les grandes plateformes par exemple. La solution est jugée intéressante, mais « les données produites sur les services de la plateforme doivent être distinguées des données récoltées par le traçage de la navigation de l’utilisateur sur d’autres sites »
La CNIL recommande à tout le moins qu'à chaque strate, un tiers de confiance fasse écran, à l’image de son démonstrateur. Reste qu’« il n’existe pas aujourd’hui de solution remplissant [les] trois exigences d’une façon satisfaisante ».
Où sont les lignes directrices de l'Arcom ?
Elle demande aux pouvoirs publics et aux acteurs du secteur de se saisir du sujet pour trouver une solution respectueuse de ces principes.
Sous forme d’appel du pied, elle se souvient que le décret de mise en œuvre de la procédure de blocage a invité l’Arcom (ex-CSA) à « adopter des lignes directrices concernant la fiabilité des procédés techniques permettant de s'assurer que les utilisateurs souhaitant accéder à un contenu pornographique d'un service de communication au public en ligne sont majeurs ».
Des lignes toujours pas publiées par l’autorité indépendante. En décembre 2021, peu avant sa transformation en Arcom, le Conseil supérieur de l’audiovisuel se contentait de nous expliquer que « l’édiction de lignes directrices est une possibilité pour le Conseil, non une obligation. Elles ne conditionnent pas l’application de l’article 227-24 du Code pénal ».
Quand des éditeurs de sites X proposent des services de VPN
De son côté, la CNIL rappelle aussi que « toutes les solutions proposées peuvent facilement être contournées », par le simple usage d’un VPN. De même, reconnait-elle, « il est difficile d’attester que la personne qui utilise une preuve d’âge est bien celle qui l’a obtenue ». Ces législations ont aussi d’autres effets, comme au Royaume-Uni, où des éditeurs ont tout simplement proposé des services VPN.
L'autorité indépendante souligne les revers de ces législations : « l’évolution vers un monde numérique fermé, où les individus sont incités à s’inscrire principalement dans des univers authentifiés (via la création de comptes utilisateurs) pour éviter une multiplication des contrôles d’identité ou d’attributs d’identité (âge, adresse, diplômes, etc.) présente des risques importants pour les droits et libertés des individus, qu’il est nécessaire de prendre en compte ».
D'ailleurs, selon nos informations, plusieurs associations ont récemment contacté Twitter pour faire part de « leurs inquiétudes » et interroger le service en ligne « sur sa politique de protection de l’enfance ». Après les sites pornos, le petit oiseau ?
