Informatique

Vérification de l’âge en ligne : la CNIL n’est pas

Vérification de l’âge en ligne : la CNIL n’est pas satisfaite des solutions existantes







Cliquer sur « J’ai plus de 18 ans » est une bien mince barrière pour empêcher les mineurs d’accéder à des contenus réservés aux adultes en ligne. C’est pourtant la seule vérification qu’ont imposée de nombreux sites pornographiques pendant de longues années, mais une loi votée au mois de juillet 2020 est venue resserrer l’étau sur les éditeurs de sites. Au mois de décembre 2021, l’Arcom avait ainsi mis en demeure cinq des sites pornographiques les plus consultés en France de se mettre en règle avec les obligations légales sous peine d’être bloqués. Au mois de mars, constatant que les éditeurs ne s’étaient pas mis en règle, l’Arcom assignait en justice plusieurs d’entre eux.




Tour de vis réglementaire

La loi de juillet 2020, et plus particulièrement son décret d’application publié en juin 2021 portant sur la vérification de l’âge des internautes, a fait l’effet d’un coup de tonnerre pour les services en ligne soumis à l’obligation de vérifier l’âge des utilisateurs. Le texte de loi précise clairement que le simple régime déclaratif qui s’appliquait jusqu’alors n’allait plus suffire, sans pour autant avancer de réelle solution permettant de proposer une solution alternative.

Sur le sujet, c’est à l’Arcom de publier ses directives, mais cela n’empêche pas la CNIL de se prononcer sur le sujet. La commission a ainsi été amenée à s’exprimer sur le décret de juin 2021, et publiait hier une évaluation des différentes approches envisagées pour offrir des outils de vérification de l’age adaptés. 

L’analyse de la CNIL a cherché à vérifier la conformité des solutions de vérification de l’âge sur trois critères : « une vérification suffisamment fiable, une couverture complète de la population ainsi que le respect de la protection des données et de la vie privée des individus et de leur sécurité. »





Pas de solution parfaite aux yeux de la CNIL

La première solution envisagée par la CNIL est celle de la vérification d’âge par validation d’une carte de paiement, une solution « déjà mise en place par un certain nombre d’acteurs » précise la Commission. La CNIL y voit une méthode imparfaite, qui présente notamment des risques en termes de phishing : en multipliant les sollicitations de la carte de crédit de l’internaute, celui-ci pourrait être plus susceptible de se laisse berner par un faux site cherchant à voler ses données de carte bancaire à des fins malveillantes.

Deuxième solution, la reconnaissance faciale. La CNIL y voit plusieurs inconvénients : tout d’abord une nette tendance à faire des erreurs, notamment pour « les mineures et mineurs proches de 18 ans ou les jeunes majeures et majeurs. » Mais le caractère intrusif de la solution, qui accède nécessairement à la webcam de l’utilisateur conduit également la CNIL à recommander le recours à des tiers de confiance certifier pour déployer ce type de solution.

De la même manière, la solution consistant à pousser les utilisateurs à acquérir hors ligne une « carte à gratter » leur permettant de récupérer un identifiant et mot de passer d’accès à un service en ligne n’est pas sans défaut. La CNIL indique ainsi que « cette modalité nécessite une gouvernance particulière, avec une autorité éditant les cartes et gérant les systèmes d’authentification. »

Les autres solutions envisagées, la vérification de l’âge par analyse de documents d’identité, les recours à des outils de vérification proposés directement par l’état font face aux mêmes défis, avec la mise en place d’un écosystème certifié capable d’encadrer les acteurs chargés de la vérification d’identité, tout en créant un risque « d’association d’une identité officielle à des informations intimes et à une supposée orientation sexuelle » dans le cas des solutions d’authentification étatiques.

Dernière approche envisagée, les systèmes de « vérification de l’âge par inférence », qui consistent à « deviner » l’âge de l’internaute en s’appuyant sur certaines informations tierces, comme l’historique de navigation, ses réponses à un questionnaire ou l’analyse de la navigation sur les services propres à l’éditeur du site. Trois solutions qui ne conviennent évidemment pas à la CNIL, qui les juge soit peu compatible avec la protection des données, peu fiables ou réservées à un petit nombre d’acteurs.





Esquisser des pistes

Si la CNIL trouve à redire dans l’ensemble des solutions analysées, elle esquisse néanmoins une piste développée par ses propres services : conçue par le laboratoire d’innovation numérique de la CNIL en collaboration avec le pôle d’expertise de régulation numérique, la Commission met en lumière son outil démontrant la faisabilité d’un mécanisme de vérification d’âge respectueux de la vie privée. Celui-ci repose sur un concept cryptographique, les « preuves à divulgation nulle de connaissance » (« zero-knowledge proof ») », qui permet à des personnes de prouver leur majorité sans avoir à révéler d’autres informations.

La solution s’appuie néanmoins elle aussi sur un écosystème de tiers certifiés et d’une autorité de contrôle capable d’émettre ces certifications. Pour l’instant, la démonstration de la CNIL n’est qu’une preuve de concept, présentée pour la première fois au mois de juin, mais elle invite les personnes intéressées à expérimenter avec sa solution. Celle-ci est disponible sur github, adullact et dockerhub.io.





Source link

Articles similaires

Bouton retour en haut de la page