Vérification de l'âge en ligne : la difficile conciliation entre protection de mineurs et anonymat

44% des 11-18 ans déclarent avoir déjà menti sur leur âge sur les réseaux sociaux, d'après l'enquête "Génération numérique" publiée en mars 2021. Une proportion assez importante qui s'explique par le fait que certaines plateformes ne sont accessibles à partir d'un certain âge (13 ans dans la majorité des cas) mais sont en même temps devenues incontournables dans la vie sociale des adolescents.

Une obligation de moyen

Juridiquement, en vertu du Règlement général sur la protection des données (RGPD), les fournisseurs de services en ligne opérant au sein de l'Union européenne ont une obligation de moyen pour la vérification de l'âge. Ils doivent fournir des "efforts raisonnables" "compte tenu des moyens technologiques disponibles".

Dans le même temps, il est indispensable de préserver la capacité à naviguer en ligne librement. C'est ainsi que la Commission nationale de l'informatique et des libertés (Cnil) a défini 6 principes à respecter : la proportionnalité, la minimisation, la robustesse, la simplicité, la standardisation et l'intervention d'un tiers.

La date de naissance lors de l'inscription

Or, aujourd'hui, il n'existe pas de norme industrielle. Les entreprises utilisent donc chacune des systèmes différents. Dans la majorité des cas, les réseaux sociaux demandent la date de la naissance de l'internaute lors de son inscription. En dessous de 13 ans, il ne peut pas accéder au service. Cette limite est inscrite dans plusieurs législations, dont la loi française. Si la personne a entre 13 et 18 ans, certaines fonctionnalités seront désactivées par défaut sur la plupart des plateformes. Ces restrictions ont été mises en place à mesure que les réseaux sociaux étaient accusés de laisser les mineurs accéder à des contenus inappropriés et/ou choquants.

En théorie, le système semble simple. En pratique, les plateformes doivent mettre en place des systèmes de vérification d'âge qui – tout en étant fiables – doivent respecter la vie privée des mineurs et leur anonymat en ligne. Instagram, filiale de Meta, vient de présenter de nouvelles fonctionnalités pour vérifier l'âge de ses utilisateurs lorsqu'ils changent leur âge pour le faire passer à 18 ans ou plus. Il va désormais avoir recours à un algorithme de reconnaissance des traits du visage développé par la start-up britannique Yoti. Les utilisateurs devront ainsi fournir une vidéo de leur visage qui sera analysée. La marge d'erreur de cette technologie serait d'environ 1,5 an pour les 13-19 ans, d'après l'entreprise.

Ce système pose nécessairement des questions sur la protection des données biométriques des mineurs bien que la start-up promette évidemment n'en garder aucune copie.

La problématique des sites pornographiques

Les mêmes problématiques se posent pour les sites pornographiques. Le débat a été relancé en mai 2022 à l'occasion d'une procédure dans laquelle l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) souhaitait obtenir le blocage par les fournisseurs d'accès à internet (FAI) français de cinq sites pornographiques. Elle estimait que la fenêtre de consentement – un simple clic sur la page d'accueil – pour vérifier l'âge des internautes n'était pas recevable.

Ce système n'est en théorie plus autorisé en France. Les éditeurs de site sont désormais tenus d'utiliser d'autres systèmes plus robustes. Or, la loi ne précise pas les moyens à utiliser. "Le choix d'une solution technique conforme au RGPD et ne posant pas de risque en ce qui concerne la vie privée", avait simplement déclaré le Sénat lors de l'examen du texte. Cependant, l'Arcom n'a pas réussi à obtenir le blocage à cause d'une erreur de procédure qui rendait caduque l'assignation des FAI.

Cette problématique dépasse les frontières. En avril 2019, le législateur britannique a adopté une loi obligeant les sites pornographiques à mettre en place un système de vérification de l'âge avant que les internautes puissent accéder au contenu. La mise en pratique de ce système de filtrage a été un véritable flop. En pratique, comment vérifier l'âge d'une personne tout en protégeant son identité, se demandaient de nombreux experts. En octobre 2019, le gouvernement a finalement laissé tomber.

Un exemple de parcours via un tiers certifié

Plusieurs recherches sont en cours pour trouver des solutions techniques adaptées. Le laboratoire d'innovation numérique de la Cnil (Linc), Olivier Blazy, professeur de l’Ecole polytechnique et chercheur en cryptographie et le Pôle d’Expertise de la Régulation Numérique (PEReN) de l’Etat ont développé un exemple de mise en oeuvre d'un système de vérification de l'âge. Leurs travaux ont été publiés le 21 juin. Il repose sur des briques de base utilisées en cryptologie. Elles permettent à des personnes identifiées de prouver qu'une situation est réelle sans avoir à révéler les informations relatives à cette situation.

En pratique, la personne souhaitant se connecter à un site soumis à une limite d'âge choisit un tiers certifié, tel qu'une banque, un fournisseur d'énergie... Elle s'y connecte et fournit le document au tiers qui le signe si elle a l'âge requis sans qu'il ne sache la raison de l'utilisation ultérieure du document. La personne revient sur le premier service et lui fournit le document signé. Il vérifie que celui-ci correspond au document qu'il avait délivré que la signature est valide. Par conséquent, le site ne sait rien sur la personne à part qu'elle a l'âge requis, ni sur l'organisme qui a validé le document, concluent les chercheurs.

Sélectionné pour vous

Une partie du code source de Twitter a été publiée en ligne

Le gouvernement dévoile son projet de loi pour encadrer les influenceurs

La France bannit TikTok des smartphones gouvernementaux, mais aussi Facebook et Tinder