Mi-juillet, les décrets d'application de la loi sur le contrôle parental ont été publiés, rendant obligatoire la possibilité de bloquer les téléchargements d'applications interdites aux mineurs ainsi que l'accès à certaines applications potentiellement déjà installées. La CNIL aurait voulu ajouter la possibilité d'activer des listes noires et blanches pour la navigation sur le web et critique le décret minimaliste concernant les FAI.
Un peu plus d'un an après le vote de la loi imposant l’installation d’un outil de contrôle parental sur tout appareil, deux décrets d'application ont été publiés au Journal Officiel le 13 juillet dernier. Quinze jours plus tard, la CNIL a mis en ligne ses avis pour le moins mitigés sur chacun d'eux.
- [Interview] Le député Bruno Studer précise les modalités du contrôle parental renforcé
- Dernière ligne droite européenne pour la loi sur le contrôle parental
- La loi sur le contrôle parental prête à passer à l’étape supérieure en France
Ces décrets devaient préciser les fonctionnalités minimales et les caractéristiques techniques du contrôle parental, ainsi que « les moyens mis en œuvre par le fabricant » pour faciliter son utilisation.
Après le vote de la loi, des caractéristiques obligatoires comme une liste noire, une liste blanche, le contrôle du temps d’écran, un contrôle d’accès ou la vérification d’âge étaient évoqués. Mais finalement, c'est un service minimum que le gouvernement a livré dans ses deux arrêtés d'application de cette loi.
Un court ajout du contrôle parental pour les FAI
Le premier ajoute, de façon très succincte, le chapitre du contrôle parental dans le Code des postes et communications électroniques et, comme le dit la CNIL dans sa délibération sur le projet de décret, « se borne à prévoir » que les fournisseurs d'accès à Internet (FAI) mettent en place des « moyens techniques et fonctionnalités minimums [...] permettant de restreindre l'accès à certains services en ligne ou de les sélectionner permettent de bloquer l'accès des mineurs à un contenu susceptible de nuire à leur épanouissement physique, mental ou moral ». Et le texte publié du décret n'est pas plus volubile sur le sujet que le projet sur lequel a planché l'autorité.
La CNIL remarque que le texte « n'impose aucune caractéristique technique pour leur fonctionnement ». Elle se permet de préciser qu'elle « s'interroge sur la portée de ce projet de décret ».
L'autorité, qui partage la volonté de mettre en place des dispositifs de contrôle automatisés, « souligne, d'une part, qu'ils doivent s'inscrire dans le cadre d'une action plus globale de sensibilisation, d'éducation et de protection de la jeunesse dans ses usages numériques ; d'autre part que ces dispositifs peuvent impliquer la collecte de données personnelles et une forme de surveillance des mineurs et qu'un équilibre doit donc être trouvé entre ce contrôle et le respect de leur vie privée et de leur autonomie ».
Dans son avis, elle rappelle avoir recommandé « à de nombreuses reprises, de favoriser l'usage de dispositifs à la main des utilisateurs plutôt que de solutions centralisées ou imposées à ceux-ci ».
Vu l'évolution des technologies, l'autorité avoue qu'il est difficile d'inscrire des solutions techniques dans le code, mais elle tacle quand même : « il n'en reste pas moins que le projet de texte ne remplit pas les objectifs que lui a assignés le législateur. La Commission relève d'ailleurs que le projet de décret pour l'application d'une obligation analogue s'imposant aux fabricants de terminaux définit, lui, des fonctionnalités minimales et des caractéristiques techniques ».
Deux fonctionnalités obligatoires concernant le blocage d'applications
Du côté des terminaux, c'est effectivement un texte de décret plus fourni qu'a publié le gouvernement. Celui-ci impose que le dispositif de contrôle parental soit proposé lors de la première mise en service de l'appareil.
En ce qui concerne les fonctionnalités exigées, c'est, par contre, le service minimum contrairement à ce qui pouvait être évoqué au moment du vote de la loi. Pas d'obligation de possibilité d'activer une liste noire de sites que le mineur ne pourrait pas consulter, ni de possibilité d'activation d'une liste blanche de sites consultables. Pas de contrôle du temps d’écran, de contrôle d’accès ou de vérification d’âge. Les fabricants auront le loisir de les ajouter s'ils le désirent, mais rien de tout ça ne leur est imposé.
Seules deux fonctionnalités devront figurer obligatoirement dans le dispositif de contrôle parental proposé par les constructeurs. D'une part, ils devront mettre en place la possibilité de bloquer le téléchargement d'applications mises à dispositions dans les boutiques d'applications et dont l'accès est interdit aux mineurs ou à une certaine catégorie d'âge comme celles des réseaux sociaux, interdits aux moins de 13 ans. D'autre part, il devra aussi y être possible de bloquer l'accès à des applications du même type qui sont préinstallées sur l'appareil.
Le texte prévoit que la mise en œuvre de ces fonctionnalités se fait de façon locale et « sans entraîner de collecte ou de traitement de données à caractère personnel de l'utilisateur mineur par des serveurs. Ces dispositions ne font pas obstacle à la création d'un compte sur un serveur pour accéder à des boutiques d'applications logicielles ».
Les données traitées lors du fonctionnement de ces fonctionnalités ou d'autres fonctionnalités ajoutées volontairement par le constructeur ne peuvent être utilisées dans un autre cadre que celui du fonctionnement du dispositif. Il est aussi précisé que ces données ne peuvent être collectées « à des fins commerciales, telles que le marketing direct, le profilage ou la publicité ciblée sur le comportement ».
Déception de la CNIL
Dans son avis, la CNIL fait remarquer qu'il n'était prévu, dans le projet de décret qu'elle a analysé, « aucune fonctionnalité de contrôle parental obligatoire pour ce qui concerne la navigation sur internet ». Ce n'est toujours pas le cas dans le décret finalement publié.
Par contre, l'autorité expliquait que « le projet de décret prévoit que ces fonctionnalités minimales ne sont obligatoires que « sous réserve de faisabilité technique » » et estimait « indispensable de modifier le projet de texte afin de prévoir une formulation plus adéquate ». Dans le décret final, cette réserve n'est plus présente.
L'autorité recommandait d'ajouter d'autres fonctionnalités minimales comme la possibilité d'établir des listes blanches et listes noires de sites ou d'applications. Elle demandait aussi qu'il soit précisé que les fonctionnalités puissent être activées de manière individuelle. Elle n'a pas été écoutée par le gouvernement sur ces points non plus.
La CNIL regrette aussi que le projet de décret ne protège pas clairement les données des utilisateurs majeurs qui mettront en place le contrôle parental. « Dès lors que les fonctionnalités minimales peuvent être mises en œuvre localement, sans remontée de données vers des serveurs distants et sans création de compte sur un serveur, elle considère que les données des utilisateurs majeurs devraient faire l'objet de garanties similaires à celles des utilisateurs mineurs », expliquait-elle. Le texte publié n'ajoute pas de protection en ce sens.
Les décrets entreront en vigueur 12 mois après leur publication, c'est-à-dire à partir du 11 juillet 2024.
