La vérification de l’âge en ligne est un sujet complexe qui pose de graves risques pour la sécurité et la vie privée. C’est pourquoi l’autorité française chargée de la protection des données (la CNIL) a publié une analyse visant à clarifier sa position sur la vérification de l’âge en ligne et expliquant dans les grandes lignes comment les éditeurs peuvent satisfaire leurs obligations légales.
La CNIL a examiné les différents types de système de vérification de l’âge, et notamment les systèmes utilisés sur les sites à caractère pornographique (pour lesquels un tel contrôle est obligatoire). La CNIL estime les systèmes actuels faciles à contourner et appelle au développement d’alternatives plus respectueuses de la vie privée.
L’identification d’une personne peut aider à vérifier son âge, mais permet aussi de relier cette personne à son activité en ligne, laquelle « renferme des informations particulièrement sensibles et intimes ».
Par conséquent, la nécessité d’identifier l’âge des internautes soulève des enjeux en matière de protection des données personnelles et de la vie privée.
Les internautes doivent s’identifier pour accéder à certains sites Internet ou pour réaliser certaines activités en ligne (par exemple, pour acheter des biens sur un site de commerce électronique).
« La vérification de l’âge est susceptible de modifier la protection de la vie privée de l’internaute. » Bien que l’accès à des sites ou services en ligne ne nécessite pas toujours de s’identifier, si un utilisateur ne délivre pas à l’éditeur d’un site des informations sur son identité, son accès au site sera bloqué.
Compte tenu de l’importance croissante des technologies numériques dans nos vies, la CNIL souligne le caractère essentiel de l’éducation et de la sensibilisation des mineurs, parents, tuteurs et de la communauté éducative aux bonnes pratiques en ligne.
À cet égard, dans le cadre de son travail sur les droits numériques des mineurs, la CNIL a publié en août 2021 des recommandations d’ordre général à suivre pour respecter les obligations prévues par le RGPD et la législation en matière d’accès des mineurs aux réseaux sociaux. Ces recommandations viennent renforcer les normes qui consistent à
« vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ».
Les systèmes de vérification de l’âge devraient reposer sur six piliers : la minimisation, la proportionnalité, la robustesse, la simplicité, la standardisation et l’intervention d’un tiers.
💡 La CNIL tend à favoriser les systèmes sous le contrôlé des utilisateurs plutôt que les systèmes centralisés ou imposés. Dans cette optique, le contrôle parental semble être la solution la plus respectueuse des droits des personnes, car il encourage les foyers à limiter l’accès aux informations sensibles.
Certains services financiers, les jeux d’argent et les paris en ligne, l’achat d’alcool et d’autres produits font l’objet de restrictions liées à l’âge en vertu du droit français et de diverses règles européennes. Ces sites sont donc tenus de vérifier l’âge de leurs clients. « En outre, certains services imposent contractuellement des conditions d’âge (accès aux paramètres d’une application pour les enfants, par exemple). »
« Les éditeurs de sites web ont alors mis en place des systèmes de vérification de l’âge [car] le cadre légal impose déjà une justification d’identité relativement robuste. »
💡 La CNIL anticipe un renforcement des exigences relatives à la vérification de l’âge pour certains services afin de mieux protéger les enfants en ligne. Toutefois, elle met en garde contre des exigences déraisonnables en matière de vérification de l’âge en ligne qui risqueraient d’entraîner « la diminution du nombre de sites dont la consultation se ferait librement ».
Les méthodes de vérification de l’âge doivent être gérée à court terme par un tiers fiable.
Lors du recours à un tiers de confiance, comme la CNIL le conseillait dans sa décision du 3 juin 2021, la vérification de l’âge est divisée en deux opérations distinctes :
Cette preuve peut être émise par de nombreuses organisations qui connaissent l’utilisateur, dont des prestataires de services d’identité numérique, mais aussi un commerçant, une banque ou encore une administration.
2. Ensuite, le site Internet consulté doit recevoir cette preuve de l’âge certifiée avant d’accorder ou non l’accès au contenu demandé.
Toutefois, ces deux facteurs soulèvent d’importants enjeux en matière de protection des données et de la vie privée, notamment du fait d’une volonté de laisser les internautes naviguer de façon anonyme ou sans divulguer de données permettant de les identifier.
🚀 Pour protéger efficacement les données des personnes tout en vérifiant leur âge, la CNIL recommande de recourir à un tiers impartial.
La CNIL conseille aux sites soumis à une obligation de vérification de l’âge de ne pas procéder eux-mêmes aux opérations de contrôle, mais plutôt de recourir à des solutions tierces dont la validité a été vérifiée de façon indépendante afin de préserver un niveau élevé de protection des données.
🚀 Pour transmettre une preuve valable de l’âge à un site, *la CNIL conseille de recourir à « un tiers vérificateur indépendant* dont l’utilisation est placée sous le contrôle de l’individu ».
Un tiers serait donc chargé de choisir une ou plusieurs méthodes pour émettre une preuve légitime de l’âge « au moyen de signatures cryptographiques permettant de vérifier l’authenticité de l’information et de sa source ».
Les mesures de protection utilisées dans cette preuve de faisabilité empêchent :
Ce tiers de confiance pourrait prendre la forme d’un service de « gestion des attributs » qui permettrait à chaque utilisateur de choisir un prestataire notoire pour divulguer ses données (comme une compagnie d’électricité pour attester d’une adresse ou un service d’identité pour attester d’un âge).
💡 D’après sa Communication sur « la nouvelle stratégie européenne pour un internet mieux adapté aux enfants » (PDF), le travail de la Commission européenne avance en ce sens.
La CNIL a examiné différentes solutions existantes de vérification de l’âge en ligne pour déterminer si elles respectaient les critères d’une solution suffisamment fiable. Vous pouvez lire son analyse en cliquant ici.
La CNIL développe actuellement un système de vérification de l’âge axé sur la protection de la vie privée. Pour mener ce projet à bien, le Laboratoire d’Innovation Numérique de la CNIL (le LINC) a montré qu’un système reposant sur un protocole sécurisé qui emploierait des « preuves à divulgation nulle de connaissance » était réalisable.
Cette technique repose sur une méthode utilisée en cryptographie qui permet aux utilisateurs de fournir une preuve de leur âge sans divulguer la moindre information supplémentaire.
Ce démonstrateur explique comment il est possible de garantir la sécurité de l’identité d’un utilisateur et le principe de minimisation des données grâce à un système tiers tout en conservant un niveau élevé de confiance dans l’exactitude des données fournies.
👋 Cliquez ici pour découvrir le Démonstrateur du mécanisme de vérification de l’âge respectueux de la vie privée.
Quelle que soit la méthode employée pour déterminer l’âge d’un utilisateur, celle-ci doit être fiable, les données doivent rester privées et le volume de données transféré doit se limiter au minimum.
