Contrôle de l’âge sur les sites web : la CNIL invite à développer des solutions plus efficaces et respectueuses de la vie privée

26 juillet 2022

Comment vérifier qu’un internaute a l’âge requis pour utiliser certains sites en ligne réservés aux majeurs tout en garantissant la protection de ses données ? Après une analyse des systèmes existants, la CNIL présente ses recommandations pour développer de nouvelles solutions.

Concilier protection de la jeunesse, sécurité et respect de la vie privée

L’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. Il est alors nécessaire de mettre en place un système de vérification de l’âge de l’internaute.

Ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles. Ils peuvent, par ailleurs, présenter des risques pour la vie privée. La CNIL rappelle qu’à défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. Ils doivent être réservés aux sites pour lesquels cela est nécessaire, le principe restant que l’accès aux sites web doit se faire par défaut sans contrôle d’identité ou d’âge.

Le contrôle de l’âge de l’internaute, dans un objectif de protection de la jeunesse, est compatible avec le règlement général sur la protection des données (RGPD), à condition de présenter des garanties suffisantes pour minimiser les atteintes à la vie privée et éviter que le contrôle de l’âge soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant leur site. En outre, il convient d’éviter que les données soient captées par un tiers pour des usages malveillants (violation de données biométriques, hameçonnage, usurpation, chantage…).

Les solutions existantes

Dans sa position, la CNIL analyse les solutions existantes et précise les conditions à respecter pour garantir leur sécurité.

Elle rappelle notamment qu’il est possible d’utiliser la carte bancaire : si certains mineurs ont une carte bancaire (ou peuvent s’en procurer une) pour accéder à un site, la vérification par carte bancaire n’en demeure pas moins efficace dans la plupart des cas pour protéger les plus jeunes et s’appuie sur une technologie éprouvée, qui peut aussi être utilisée pour contrôler l’accès à des sites gratuits. L’analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur, sans reconnaissance faciale biométrique, permet également de bloquer l’accès des plus jeunes et d’autoriser l’accès des personnes ayant nettement plus de 18 ans ; elle présente en revanche des risques d’erreur pour les personnes proches de l’âge de 18 ans.

Dans les deux cas, ces solutions doivent être opérées par des tiers présentant un niveau de sécurité et de fiabilité suffisant, pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. D’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre.

Les recommandations de la CNIL pour développer des solutions plus efficaces et respectueuses de la vie privée

La CNIL précise dans sa position l’architecture souhaitable pour des dispositifs nouveaux destinés à améliorer l’efficacité du contrôle de l’âge tout en préservant la vie privée des internautes.

Elle insiste d’abord sur la nécessité que la solution soit opérée non pas par les sites pornographiques mais par un tiers de confiance, apportant des garanties suffisantes attestées par un système de label ou de certification.

Elle recommande ensuite que ce tiers de confiance puisse se voir transmettre une preuve d’âge fiable par une administration ou une entreprise qui connaît l’internaute et peut certifier son âge. Cette preuve serait ensuite transmise par le site de confiance ou par l’internaute lui-même au site dont l’internaute demande l’accès.

Le système préconisé par la CNIL permettrait d’apporter une triple protection de la vie privée : 

  • celui qui fournit la preuve d’âge connaît l’identité de l’utilisateur mais ne sait pas quel site est consulté ;
  • celui qui transmet la preuve d’âge au site peut connaître le site ou service consulté mais ne connaît pas l’identité de l’utilisateur ;
  • le site ou service soumis à la vérification de l’âge sait que l’internaute est majeur et qu’une personne le consulte, mais ne connaît pas son identité.

Bien que le RGPD soit déjà applicable pour ces systèmes, la CNIL estime donc urgent qu’un encadrement spécifique soit rapidement proposé pour des dispositifs plus efficaces, fiables et respectueux de la vie privée.

 

Voir les recommandations complètes de la CNIL

 

La vérification de l'âge via un tiers de confiance - infographie