Comment mettre en place un système permettant de vérifier l'âge d'un internaute pour s'assurer qu'il puisse visiter un site interdit aux moins de 18 ans tout en assurant le respect de la vie privée. Voilà un exercice périlleux d'équilibriste qu'a tenté d'exécuter la CNIL en rendant un avis sur la question.
En préambule, la commission nationale de l'informatique et des libertés rappelle quelques éléments de droit. Ainsi, la loi française et certains règlements européens soumettent la fourniture de certains services ou biens à des conditions d’âge, ce qui oblige les sites en question à procéder à une vérification de l’âge du client : achat d’alcool, jeux d’argent et paris en ligne, certains services bancaires, etc. « Dans une optique de meilleure protection de la jeunesse en ligne, la Commission anticipe une multiplication des obligations de vérification de l’âge pour certains services. Plus largement, la numérisation croissante des procédures publiques comme privées accroît l’importance d’apporter à chacun la faculté d’émettre seulement une preuve d’attribut (preuve de majorité, preuve de résidence, preuve de diplôme, etc.) sans dévoiler les autres éléments constitutifs de l’identité », explique la Cnil.
Recourir à un tiers de confiance : plus facile à dire qu'à faire ?
Dans d'autres cas, comme celui des sites diffusant des contenus pronographiques, la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales est venue réaffirmer les obligations en matière de vérification de l’âge, qui sont codifiées à l’article 227-24 du code pénal. Des mises en demeure ont par ailleurs été envoyées aux sites ne s'étant pas mis en conformité, suivi par une demande de blocage en mars 2022 pour ceux qui ne se sont pas encore pliés à cette réglementation. La vérification de l'âge des internautes pour ce type de site s'avère sensible, consistant d'un côté à assurer le respect de la loi, et de l'autre la protection de la vie privée des individus. Ce qui implique par exemple aux sites de ne pas avoir à collecter des pièces d'identité, d'estimer l'âge à partir de l'historique de navigation de l'internaute sur le web et de traiter des données biométriques authentifiantes (reconnaissance faciale...).
« La Cnil préconise également, de façon plus générale, le recours à un tiers de confiance indépendant destiné à faire obstacle à la transmission directe de données identifiantes relatives à l’utilisateur au site ou à l’application proposant des contenus pornographiques. Par ses préconisations, la Cnil poursuit le double objectif d’empêcher les mineurs de consulter des contenus inadaptés à leur âge, tout en minimisant les données collectées sur les internautes par les éditeurs de sites à caractère pornographique », indique par ailleurs la commission.
Une torpille nommée VPN
Mais concrètement comment faire ? La Cnil ménage le chèvre et le chou en recommandant aux sites soumis à une obligation de vérification d'âge de s'appuyer sur des solutions tierces « dont la validité aura été vérifiée de manière indépendante ». De là à parler d'usine à gaz, on n'en est pas loin. « La Cnil recommande le passage par un tiers vérificateur indépendant, dont l’utilisation est placée sous le contrôle de l’individu », poursuit l'organisme. « Ce tiers indépendant serait notamment chargé, d’une part, de retenir une ou plusieurs solutions permettant d’émettre une preuve de l’âge valide et, d’autre part, de garantir au site visité que l’utilisateur a l’âge requis pour accéder au contenu demandé au moyen de signatures cryptographiques permettant de vérifier l’authenticité de l’information et de sa source ».
D'autant qu'un contournement possible semble facile à effectuer : « l’usage d’un simple VPN localisant l’internaute dans un pays qui ne demande pas une vérification de l’âge de cet ordre peut permettre à un mineur de contourner un dispositif de vérification de l’âge appliqué en France, ou de contourner le blocage d’un site web qui ne respecte pas ses obligations légales. De même, il est difficile d’attester que la personne qui utilise une preuve d’âge est bien celle qui l’a obtenue », admet la Cnil...qui n'hésite pas à renvoyer la patate chaude : « La Cnil a analysé plusieurs solutions existantes permettant de vérifier en ligne l’âge des utilisateurs, en vérifiant s’ils ont les propriétés suivantes : une vérification suffisamment fiable, une couverture complète de la population ainsi que le respect de la protection des données et de la vie privée des individus et de leur sécurité. La CNIL constate qu’il n’existe pas aujourd’hui de solution remplissant ces trois exigences d’une façon satisfaisante. Elle appelle donc les pouvoirs publics et les acteurs du secteur à développer de nouvelles solutions ».
Un démonstrateur face au principe de réalité
Parmi les solutions envisagées : l'achat - dans des grandes surfaces ou des bureaux de tabac où un contrôle de l'âge peut être effectué - de cartes à gratter permettant de récupérer un identifiant et un mot de passe pour accéder à des contenus interdits. On imagine que si les contrôles sont aussi efficaces que ceux effectués pour empêcher des mineurs d'acheter de l'alcool ou des cigarettes, les contenus web prohibés risquent bien de passer sous tous les yeux. Sans compter le partage à grande échelle via les réseaux sociaux des précieux sésames de couples identiant et mots de passe. D'autres solutions apparaissent plus problématiques du point de vue de la préservation de l'intégrité des données personnelles voire de la sécurité tout court (cartes de paiement, analyse faciale et de documents d'identité...)
Mais la Cnil a aussi réfléchi à titre exploratoire sur un système de vérification original, en partenariat avec le Olivier Blazy, professeur en cybersécurité à l'Ecole Polytechnique et le PEReN. Ce dernier, dont le code source est librement accessible, modifiable et réutilisable - commercialement ou non - sous réserve de mentionner la source, s'appuie sur trois prérequis : un site web dont l’accès à son contenu nécessite de vérifier que l’internaute dispose de l’âge minimum requis ; un ou plusieurs site « accrédité(s) » pour vérifier l’âge réel des internautes ; une autorité « de confiance » permettant l’accréditation de ces sites. Reste maintenant de confronter ce démonstrateur à l'épreuve de la vraie vie et voir s'il sortira - ou non et un jour - des cartons.