Contrôle de l’âge pour l’accès aux sites pornographiques
Après une analyse des systèmes existants, la CNIL publiait en juillet 2022 sa position sur les dispositifs de contrôle de l’âge sur Internet, et notamment sur les sites à caractère pornographique pour lesquels il est obligatoire. Elle se félicite aujourd’hui du lancement d’une expérimentation d’une solution conforme à ses recommandations. Dans l’attente, des dispositifs compatibles avec le RGPD existent.
L’expérimentation d’une solution conforme aux recommandations de la CNIL
La loi prévoit que l’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. L’architecture du web étant celle d’un réseau ouvert, librement accessible sans authentification, le contrôle de l’âge des internautes pose des difficultés techniques importantes et s’expose à des possibilités de contournement. Il conduit également à collecter des données personnelles et présente des risques pour la vie privée.
Consciente des enjeux en termes de protection de l’enfance et de vie privée, la CNIL, en partenariat avec Olivier Blazy, professeur à l’École polytechnique, et le Pôle d’expertise de la régulation numérique de l’État (PEReN), a conçu le prototype d’un dispositif permettant à la fois d’assurer un contrôle efficace, car reposant sur une preuve d’âge, et de garantir une forte protection de la vie privée. Ce mécanisme de contrôle suppose une mise en œuvre par des sociétés distinctes de l’éditeur du site visité et repose sur les principes suivants :
- Celui qui certifie que vous avez l’âge requis sait qui vous êtes, mais ne sait pas quel site vous visitez.
- Le site visité reçoit la preuve que vous avez l’âge requis, mais ne sait pas qui vous êtes.
L’expérimentation dont le gouvernement a annoncé récemment le lancement permettra de créer des solutions opérationnelles et commercialisables conformes à ce prototype et aux recommandations de la CNIL.
Le lancement de l’expérimentation ne nécessite pas que la CNIL rende un avis sur la solution envisagée. La CNIL a publié sa position sur le sujet dès juillet 2022 et elle va travailler avec l’Arcom et le gouvernement pour assurer la conformité au règlement général sur la protection des données (RGPD) des futures solutions.
Les dispositifs acceptables au regard du RGPD, dans l’attente du déploiement de systèmes plus vertueux
La CNIL n’a pas de compétence directe pour contrôler l’effectivité de l’interdiction des mineurs aux sites pornographiques. Son rôle se limite à vérifier que les solutions utilisées par les sites respectent les règles protégeant la vie privée fixées par le RGPD.
Contrairement à ce qui est parfois dit, le RGPD n’est pas incompatible avec un contrôle de l’âge pour l’accès aux sites pornographiques, qui est prévu par la loi. Pour apporter de la sécurité juridique, la CNIL a ainsi examiné les différentes solutions existantes du point de vue de leur conformité au RGPD et de leur niveau de sécurité.
Dans sa position publiée en juillet 2022, la CNIL a appelé au développement de nouvelles solutions. Elle a également indiqué qu’en l’attente du déploiement de systèmes plus vertueux, elle juge acceptable le recours à la vérification de l’âge par validation de la carte de paiement ou des procédés d’estimation de l’âge reposant sur une analyse faciale sans reconnaissance faciale. Dans les deux cas, elle recommande que ces systèmes ne soient pas mis en œuvre directement par le site web consulté mais par un tiers indépendant.
Si l’expérimentation menée à partir de mars sur la solution de contrôle d’âge est concluante et que celle-ci est commercialisée, la CNIL préconise que ce type de dispositif soit proposé par tous les sites soumis à une obligation de contrôle de l’âge de leurs visiteurs.
La CNIL rappelle que c’est aux sites pornographiques que revient la responsabilité de choisir et de mettre en œuvre, d’ores et déjà, une solution qui respecte les exigences légales de contrôle de l’âge, sous le contrôle de l’Arcom et du juge judiciaire.