Comment vérifier efficacement l’âge des utilisateurs qui souhaitent accéder à un site protégé ? Le gouvernement va prochainement tester un dispositif qui permettra de répondre à cette problématique. Depuis juillet 2020, un texte de loi impose aux sites pornographiques de “vérifier efficacement l’âge de leurs visiteurs”. En France, l’accès à des contenus de ce type est interdit aux mineurs de moins de 18 ans. Actuellement, les utilisateurs effectuent cette vérification au moyen d’un simple clic de consentement, qui approuve par déclaration la majorité de l’utilisateur. Cette solution, peu fiable, sera prochainement remplacée par une vérification plus poussée de l’âge de l’utilisateur. C’est en tout cas l’ambition du gouvernement qui va tester un tout nouveau dispositif dès la fin du mois de mars. La simple déclaration ne suffira plus : il faudra prouver sa majorité.
Le principe de double anonymat
« Nous travaillons à faire émerger une solution de vérification d’âge qui respecte un principe de double anonymat », a expliqué Jean-Noël Barrot, ministre délégué chargé du Numérique.
« Celui qui fournit l’attestation de majorité ne sait pas ce pour quoi elle va être utilisée. Ce peut être un opérateur télécom, un fournisseur d’identité numérique ou tout autre organisme susceptible d’attester de la majorité d’une personne. » Inversement, le site sur lequel l’attestation de majorité est utilisée ne connaît pas l’identité de la personne. C’est ce qu’on nomme le principe de double anonymat.
Grâce à cette méthode, le gouvernement espère rendre applicable sa loi auprès des éditeurs de sites pornographiques pour vérifier l’âge. L’objectif est surtout d’obtenir l’adhésion des utilisateurs finaux, qui doivent réaliser cette vérification d’une manière simple et rapide, et surtout en parfaite confiance. Rappelons la problématique complexe de ce dispositif porteur de risques importants notamment concernant la vie privée. Il s’agit alors de trouver l’équilibre entre protection des mineurs, respect de la vie privée, et tolérance de l’expérience utilisateur.
Le rôle essentiel des tiers de confiance
Selon le ministre délégué au Numérique et l’avis de l’Arcom et de la CNIL, le double anonymat constitue “le système le plus robuste” qui existe à ce jour.
La CNIL (Commission Nationale de l’Informatique et des Libertés) préconise le recours à un tiers de confiance indépendant destiné à faire obstacle à la transmission directe de données identifiantes relatives à l’utilisateur au site. Cela répond au double objectif d’empêcher les mineurs de consulter des contenus inadaptés, tout en minimisant les données collectées sur les internautes par les éditeurs de ces sites.
Le contrôle de l’âge se divise en pratique en deux opérations distinctes :
- d’une part l’émission de la preuve de l’âge,
- d’une autre part, la transmission de cette preuve.
Confier ces deux opérations à des acteurs différents permet de renforcer à un niveau maximal la protection de la vie privée. La solution idéale serait que la preuve de l’âge transite par l’utilisateur directement, au moyen d’une signature cryptographique. Cela permettrait que le tiers qui transmet la preuve de l’âge n’ait pas connaissance du site visité, et inversement que le site visité ne puisse connaître le fournisseur de la preuve.
Dans ce contexte, la CNIL souhaite la création d’une certification encadrant les acteurs tiers qui interviennent dans la gestion de la preuve de l’âge. À la manière de la certification PVID, la CNIL considère que cette démarche d’encadrement pourrait s’en inspirer, afin d’attester de la qualité et de la fiabilité du prestataire, tout en évitant les services moins sérieux voire frauduleux.
Quelles solutions pour vérifier l’âge ?
La CNIL a identifié plusieurs solutions existantes permettant de vérifier l’âge des utilisateurs :
La vérification par estimation sur la base d’une analyse faciale : technique d’estimation d’âge se basant sur l’analyse du visage, sans chercher à identifier la personne. Toutefois, le risque d’erreur peut être significatif, notamment pour les personnes proches de l’âge des 18 ans.
La vérification par analyse du document d’identité accompagné d’une vérification faciale : puisque fournir une pièce d’identité seule est facilement contournable en utilisant un faux document ou un document volé, certains systèmes embarquent également une vérification du visage. La “détection du vivant” permet de contrer toute tentative de contournement. Ce procédé est beaucoup plus fiable et est d’ailleurs utilisé pour la vérification d’identité selon le référentiel PVID de l’ANSSI.
La vérification par un service d’authentification : le recours à des solutions tierces d’identification comme celle proposée par FranceConnect. Cette solution est peu satisfaisante car l’utilisation d’un tel dispositif pourrait entraîner le risque d’associer une identité officielle à certaines informations intimes voire à une supposée orientation sexuelle.
D’autres solutions sont aussi mentionnées comme la vérification par validation d’une carte de paiement, un système de vérification hors ligne ou encore une vérification par inférence.
L’avenir de la confiance sur internet ?
Prouver son âge de manière fiable, sans fournir directement au site ses données précises d’identité, voilà la promesse du double anonymat, qui se veut respecter la vie privée des internautes. Quelle que soit la solution utilisée, il est nécessaire de garantir sa fiabilité, la confidentialité des informations et de minimiser les données échangées.
Faire appel à des tiers de confiance offre plusieurs avantages, notamment la garantie de la protection de l’identité de l’utilisateur et le respect du principe de minimisation des données, tout en maintenant un niveau élevé de fiabilité des données transmises.
Reste que pour être réellement efficace, le double anonymat ne devra pas seulement être utilisé par les sites pornographiques pour vérifier l’âge. Il devra aussi être utilisé sur d’autres services en ligne interdits aux mineurs. On peut imaginer qu’il soit applicable pour certains sites de jeux (notamment les jeux d’argent en ligne et les paris sportifs) et pourquoi jusqu’aux réseaux sociaux qui imposent eux aussi un âge minimal.