Vérification de l'âge des mineurs en ligne : pour un cadre équilibré entre efficacité et protection de la vie privée

Comment vérifier qu'un utilisateur à l'âge requis pour utiliser certains services en ligne tout en respectant sa vie privée ? La CNIL propose une solution pour y remédier.

La question de la vérification de l’âge des mineurs en ligne se trouve une fois de plus sous les projecteurs. Alors que le numérique constitue aujourd’hui indéniablement une composante centrale de la vie des mineurs, un nombre croissant d’études mettent en évidence les effets néfastes potentiels d’une telle évolution, telle que la récente étude du Washington Post s’appuyant sur un document interne de Meta, admettant avoir conscience de l’impact négatif que peut avoir Instagram sur la santé mentale les adolescentes.

La nécessaire mise en place d’un espace numérique adapté à l’âge des utilisateurs est également mise en lumière par les réglementations entourant la protection des données personnelles et de la vie privée. Ainsi, le RGPD définit clairement des règles spécifiques concernant les mineurs numériques, et notamment des conditions particulières liées à leur consentement (article 8).

La question de la création d’un espace numérique ajusté constitue de ce double point de vue un enjeu social majeur pour nos sociétés digitales. Elle en soulève cependant une autre, plus épineuse et plus concrète, qui est celle des mécanismes d’identification de l’âge des utilisateurs en ligne. Le flou juridique entourant les modalités pratiques des procédés de vérification d’âge dans l’espace numérique est le symptôme du dilemme qu’ils incarnent: la vérification d’âge doit, d’un côté, être suffisamment efficace pour ne pas devenir entièrement inutile ; elle ne peut, de l’autre, se révéler excessivement intrusive et provoquer une violation du droit des utilisateurs à leur vie privée. Une balance entre efficacité et protection des données s’avère donc aussi délicate que nécessaire à atteindre.

L’intensité croissante des débats entourant la vérification de l’âge des utilisateurs pousse aujourd’hui un certain nombre d’acteurs à durcir leurs procédés: cela est notamment le cas d’Instagram, dernier réseau social à avoir annoncé la mise en place d’une vérification plus sévère et complète de l’âge de ses utilisateurs.

Durcissement des procédés de vérification de l’âge des utilisateurs: l’exemple d’Instagram

Le 23 juin 2022, Instagram annonçait la mise en place d’un système obligeant l’intégralité des utilisateurs (aux États-Unis dans un premier temps) voulant définir leur âge comme supérieur à 18 ans à prouver la véracité de cette information par le biais d’une des trois méthodes suivantes:

  • Premièrement, en uploadant un document d’identité valide, qui sera ensuite supprimé sous 30 jours.
  • Deuxièmement, en enregistrant une vidéo de soi qui sera ensuite analysée en utilisant une technologie de reconnaissance faciale permettant d’estimer l’âge d’une personne apparaissant sur une vidéo.
  • Troisièmement, en demandant à trois followers de l’utilisateur ayant 18 ans minimum de confirmer l’âge de cet utilisateur.

Instagram n’est pas un cas isolé s’agissant de l’implémentation de ce genre de mécanisme de vérification d’âge: ainsi, Roblox annonçait de manière similaire en septembre 2021 la mise en place d’un système obligeant les utilisateurs à prouver leur âge par le biais de la communication d’une pièce d’identité avec photo ainsi qu’un selfie.

La diffusion des pratiques de vérification d’âge mentionnées ci-dessus interroge cependant quant à leur pertinence. Permettent-elles réellement d’atteindre un équilibre satisfaisant entre efficacité du dispositif d'identification et respect de la vie privée des utilisateurs ?

On peut en douter. En effet, la communication de documents d’identité, ou encore de selfies photos ou vidéos représentent des traitements de données personnelles fortement intrusifs. Plus particulièrement, l’utilisation de technologies de reconnaissance faciale implique un traitement sensible de données à caractère biométrique de l’utilisateur. Dans le même temps, de tels mécanismes sont loin d’être infaillibles et leur efficacité reste à prouver. La possibilité de fournir une fausse pièce d’identité, de s’accorder avec d’autres utilisateurs du réseau social, ou l’utilisation de technologies de deep fake, de plus en plus accessibles, semblent autant de manières de contourner les mécanismes de vérification d’âge proposés ci-dessus.

Face au constat du caractère peu satisfaisant des mesures de vérification d’âge progressivement implémentées par les fournisseurs de services numériques, une autre solution doit être envisagée. Dans ce cadre, le LINC (laboratoire d’innovation numérique de la CNIL) publiait, ce 21 juin 2022, une démonstration de faisabilité d’une solution de vérification d’âge innovante, efficace, et respectueuse de la vie privée.

Vers une vérification d’âge équilibrée et respectueuse de la vie privée : la proposition de la CNIL

La solution proposée par la CNIL se base sur l’intervention d’un tiers de confiance dans la procédure de vérification d’âge de l’utilisateur d’un service numérique. Quatre acteurs interviennent dans le cadre d’une telle proposition : l’utilisateur du service soumis à une restriction d’âge, le fournisseur du service, le tiers de confiance connaissant de manière certaine l’âge de l’utilisateur (par exemple: une banque, un fournisseur d’énergie, un fournisseur internet…), et une autorité certificatrice ayant en amont vérifié la fiabilité du tiers de confiance.

Les différentes étapes du mécanisme proposé par la CNIL sont les suivantes :

  • L’utilisateur souhaite accéder à un service en ligne, ce dernier faisant l’objet d’une limite d’âge. Le service en ligne fournit à l’utilisateur un “challenge”, autrement dit un document contenant des données aléatoires. Ce document ne mentionne pas le service en ligne concerné.
  • L’utilisateur transmet le document au tiers de confiance de son choix.
  • Le tiers de confiance signe le document si l’utilisateur a bien l’âge requis grâce à une clé secrète que lui seul possède. Rien n’indique dans cette signature la nature ou l’identité du tiers de confiance signataire.
  • L’utilisateur transmet le document signé au service en ligne.
  • Le service en ligne vérifie la validité du document ainsi signé par le tiers de confiance grâce à une clé publique mise à disposition par ce tiers de confiance.
  • L’utilisateur se voit ensuite accorder l’accès au service en ligne si la signature est valide, prouvant que le tiers de confiance a bien confirmé l’âge de l’utilisateur.

Une telle procédure de vérification d’âge représenterait un important progrès en ce qu’elle est à la fois extrêmement fiable et respectueuse de la vie privée de l’utilisateur. Extrêmement fiable d’abord car dans un tel schéma, la vérification opérée par le tiers de confiance ne peut être contournée, et l’implémentation de standards de certification rigoureux peut très simplement empêcher des acteurs frauduleux de se faire passer pour des tiers de confiance. Respectueuse de la vie privée ensuite, car dans le cadre de cette procédure de vérification d’âge, la transmission de données personnelles relatives à l’utilisateur est restreinte au maximum. Le fournisseur de service ne reçoit aucune donnée de la part de l’utilisateur, à part le fait que ce dernier ait bien l’âge suffisant pour accéder au service, ou non. De même, le tiers de confiance ne dispose d’aucune autre information que de la demande de l’utilisateur visant à attester de son âge.

Ainsi, à l’heure où la nécessité d’un espace numérique adapté à la maturité des utilisateurs devient de plus en plus évidente, une réflexion sérieuse sur le développement d’un système équilibré de vérification d’âge en ligne doit être engagée. La proposition mise en avant par la CNIL par le biais du LINC nécessitera la mise en place d’un écosystème et d’une gouvernance propre à grande échelle. Il s’agit cependant d’une solution extrêmement prometteuse conciliant à la fois les impératifs d’efficacité et de protection de la vie privée. Une démarche s’inscrivant dans le sillon d’une innovation responsable qui, sans se priver des formidables opportunités offertes par le numérique, prend également en considération les besoins spécifiques de certains utilisateurs, notamment dans ce cas les plus jeunes d’entre eux.