Par Anne-Charlotte Andrieux et Sara Bakli
Dans la continuité de son précédent avis rendu le 3 juin 2021[1], la CNIL s’intéresse à nouveau aux modalités de mise en œuvre des mesures de protection des mineurs sur les sites pour adultes.
La règlementation impose aux éditeurs de sites internet réservés aux internautes majeurs de contrôler l’accès à leur contenu. En l’absence d’un tel contrôle, les sites sont prestement mis en demeure de se conformer à l’article 227-24 du Code pénal, par le Conseil supérieur de l’audiovisuel.
L’infraction visée par cet article est constituée par le fait de diffuser, quel qu’en soit le support, un message à caractère violent, incitant au terrorisme, ou pornographique, de nature à porter gravement atteinte à la dignité humaine ou à inciter les mineurs à se livrer à des jeux les mettant physiquement en danger.
Toutefois, les dispositifs mis en place jusqu’alors, sollicitant de l’utilisateur qu’il coche une case par laquelle il garantit avoir plus de 18 ans, s’avèrent aisément contournables.
Mettant en balance la protection du jeune public et le principe fondamental de protection de la vie privée des internautes, la CNIL a estimé que la vérification de l’âge des internautes est nécessaire dans un impératif de protection de mineurs.
La CNIL attire toutefois l’attention des éditeurs de site sur les dispositifs de vérification de l’âge qui seraient disproportionnés et attentatoires à la vie privée.
Conditions légales de la vérification de l’âge à l’entrée d’un site internet
L’accès à certaines sites – pornographiques, achats d’alcool, jeux d’argent et paris en ligne… – est réservé aux personnes majeures.
Contrôle de l’âge sur internet et respect des droits RGPD
Les dispositifs de vérification de l’âge à l’œuvre ne sont pas toujours efficaces. Lorsqu’ils le sont, les éditeurs de site doivent vérifier que le dispositif de vérification ne porte pas d’atteinte disproportionnée à la vie privée des internautes.
Le contrôle de l’âge doit en particulier être compatible avec le règlement général sur la protection des données (RGPD). Les objectifs visés seront ainsi :
- Présenter des garanties suffisantes pour minimiser les atteintes à la vie privée ;
- Eviter que le contrôle de l’âge ne soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant le site[2].
Dans ses lignes directrices sur le consentement du 28 novembre 2017, le CEPD a rappelé la nécessité de vérifier l’âge lors de la consultation des sites, découlant implicitement de l’article 8.2 du RGPD.
Un seuil d’âge à partir duquel le mineur peut, dans certains cas, valablement consentir seul au traitement de ses données est ainsi fixé :
« Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».
Contrôle de l’âge sur internet : l’impérative protection des mineurs
- Le principe de protection des mineurs
Le Code de la justice pénale des mineurs, entré en vigueur le 30 septembre 2021, entérine les principes de protection des mineurs, initialement consacrés par l’ordonnance du 2 février 1945[3].
Ils sont renforcés par la Loi du 5 mars 2007 (précitée), par un dispositif protecteur visant à interdire la vente à des mineurs de vidéocassettes, vidéodisques et jeux électroniques[4].
Est également visée l’interdiction de l’installation, à moins de deux cents mètres d’un établissement d’enseignement, d’un point de vente ou de mise à disposition du public d’objets à caractère pornographique. La peine étant portée à 2 ans de prison et 30 000 euros d’amende.
- La protection des données personnelles des mineurs
La protection des données personnelles est spécifique en ce qui concerne les mineurs.
En France, l’article 45 de la Loi n° 78-17 du 6 janvier 1978 dite informatique et libertés fixe l’âge de la majorité numérique à quinze ans. A partir de cet âge, le mineur peut consentir seul au traitement de ses données. En-deçà, le traitement n’est licite que si le consentement a été donné ou autorisé par le titulaire de la responsabilité parentale.
Là encore, la vérification de telles modalités de consentement peut comporter des risques pour la vie privée (vérification de la carte d’identité, …).
Les dispositifs de contrôle insuffisants ou disproportionnés
La vérification de l’âge et du consentement parental constitue une obligation de moyen pour le fournisseur de services en ligne, qui doit fournir des « efforts raisonnables », « compte tenu des moyens technologiques disponibles ».
Faiblesses des dispositifs existants en matière de contrôle de l’âge
La CNIL a listé des dispositifs existants ou envisagés de contrôle d’âge :
- La déclaration: par l’enfant, par le titulaire de l’autorité parentale, par un tiers (reconnaissance sociale) ;
- L’analyse des documents d’identité ;
- L’intelligence artificielle: étude du comportement de l’utilisateur (temps de lecture…), reconnaissance faciale.
Elle relève que les dispositifs existants ou envisagés sont généralement insatisfaisants en raison soit :
- De la collecte massive de données personnelles emportant des risques quant à la protection des données ;
- De l’insuffisance de certains dispositifs de contrôle, en raison du risque de contournement.
Dispositifs préconisés par la CNIL en matière de contrôle de l’âge
Selon la CNIL, le dispositif utilisé doit pouvoir permettre de contrôler l’âge tout en préservant la vie privée des internautes.
- La vérification de l’âge par un « tiers de confiance » privé ou institutionnel
En premier lieu, la vérification de l’âge ne doit pas être opérée par les sites dont l’accès est contrôlé, mais par un « tiers de confiance ». Le tiers de confiance, pouvant être privé ou institutionnel, apporte des garanties suffisantes attestées par un système de label ou de certification.
Il aura la capacité de recevoir, de la part d’une administration ou d’un organisme privé connaissant l’internaute, une preuve d’âge fiable.
Cette preuve serait directement transmise au site dont l’accès est contrôlé soit par l’internaute, soit par le biais du tiers de confiance.
Dans ce contexte, un triple niveau de sécurité serait instauré :
- Le tiers apportant la preuve d’âge connaît l’identité de l’utilisateur, mais ne sait pas quel site est consulté ; ou
- S’il connaît le site consulté, il ne connaît pas l’identité de l’utilisateur ;
- Le site consulté sait que l’internaute est majeur, et qu’il consulte le site, mais il ne connaît pas son identité.
- Les principes à mettre en œuvre en matière de contrôle d’âge
La CNIL considère que la mise en place d’un système efficace de vérification de l’âge et du consentement ne doit pas empêcher la possibilité de naviguer librement en ligne, sans s’identifier.
Ainsi, il est nécessaire d’investir des systèmes de vérification de l’âge et du consentement parental qui soient respectueux de certains principes :
- Proportionnalité et minimisation, découlant de l’article 5 du RGPD ;
- Robustesse: s’agissant des dispositifs de contrôle de l’âge ;
- Simplicité et standardisation: pour des systèmes de vérification incluant l’âge et l’autorisation parentale, pouvant être utilisés pour un grand nombre d’applications ;
- Intervention d’un tiers: l’intervention d’un tiers de confiance pouvant permettre de répondre aux exigences ci-dessus listées[5].
L’urgence de proposer et d’encadrer des dispositifs plus efficaces, fiables et respectueux de la vie privée a été soulignée par la CNIL. Cette alerte est à l’origine de l’adoption d’un récent décret du 3 octobre 2021, confiée à l’ARCOM[6] : le décret précise les modalités de mise en œuvre des « mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique ».
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.
[1] Délibération 2021-069 du 3 juin 2021
[2] En particulier, il faut éviter que des usages malveillants puissent avoir lieu (violation de données).
[3] Les grands principes étant l’atténuation de la responsabilité pénale des mineurs, la primauté de l’éducatif sur le répressif, la spécialisation des juridictions et des procédures.
[4] La peine encourue est d’un an de prison et de 15 000 euros d’amende.
[5] Ibid (recommandation n°7 de la CNIL).
[6] Autorité de régulation de la communication audiovisuelle et numérique.